专家血训:如何防范防不胜防的手机SIM卡劫持攻击

一个十几岁的孩子,都可以完美实施SIM卡劫持攻击,但是SIM卡劫持攻击的防御,即使是信息安全专家也会感到万分棘手

在信息安全专家的眼里,当今信息安全有四大祖传痴呆:电子邮件、芯片智能卡(例如信用卡,可被隔空读取卡号信息)、SIM卡(以及相关的短信两步认证)和人脸识别。原因很简单,数字社会这四者无处不在,但安全缺陷却代代遗传。
今天先说说SIM卡劫持这个威胁巨大同时又简单易行的黑客攻击手段的防御。
如果黑客接管了我们的手机号,意味着什么?
对于大多数人来说,几乎意味着失去对所有网络账户的控制权!
因为,无论是微信还是支付宝,手机短信双重认证都是最后的防线!
而黑客实施SIM卡劫持,欺骗移动运营商废掉你手里的SIM卡之前,必然已经掌握了你的身份证号码等关键隐私信息!
有了上述身份信息外加你的手机号,黑客几乎可以为所欲为,接管你所有的网络账户。
SIM卡劫持攻击的可怕之处在于,这是移动运营商技术和服务流程基因里的缺陷,暂时无法避免!(类似的还有伪基站攻击)同时,当今个人身份敏感信息的泄露,已经到了不可言说的可怕地步,换句话说,我们每个人都基本可以假定,黑客发起SIM攻击前所需的我们的关键身份信息(身份证号码、银行账户、住址等)已经泄露!
由于不需要任何技术背景,一个十几岁的孩子,都可以完美实施SIM卡劫持攻击,但是SIM卡劫持攻击的防御,即使是信息安全专家也会感到万分棘手:
不久前区块链行业有几位大咖级人物的遭遇SIM劫持攻击,数字钱包险些失窃,其中一位大咖Stacey Schneider有着信息安全领域的工作经验,撰文回顾了与攻击者争分夺秒抢夺账户控制权的全过程。虽然最后很惊险地重新控制了包括Coinbase钱包在内的70多个应用账户,但整个过程中暴露出的iCloud、Google两步认证、T-mobile移动运营商等诸多环节的漏洞和延误,足以引起普通人的警觉。
目前依然没有能够完全防范SIM卡劫持的完美办法,但是任何一个普通人如果能够遵守下面的原则,将能够最大限度降低被攻击的风险:
以下措施可以总结为一句话:给黑客制造尽可能多的麻烦。

  • 禁用iCloud,尤其是您的密码。虽然iCloud对外部数据传输进行加密,但iCloud也是装着所有鸡蛋的篮子,更糟糕的是可以查看到明文密码。
  • 避免任何在线帐户使用基于SMS短信的两步身份验证(2FA)。这对于您的加密货币交易和钱包服务尤为重要。其他2FA方法(例如Google身份验证器)也可以考虑,但更建议采用通用的两步认证硬件密钥(U2F)设备,例如YubiKey,Google Titan Key、Thetis、Kensington(肯辛通), 以提高安全性。
  • 设置SIM卡 PIN码(参考本文末尾的中国移动信息图)。黑客即使窃取了你的SIM卡,也需要输入PIN码才能在新手机上使用,。他们只有三次机会猜测你的PIN码。设置PIN码时请避开运营商默认码,例如1234、0000之类。
  • 在你的日常手机号之外,考虑使用专用SIM卡用于两步认证。
  • 避免使用您的日常电话号码作为帐户恢复工具。
  • 尽可能少的个人在线数字痕迹。你暴露的信息越少,黑客就越难找上门。
  • 为两步认证启用专门的电子邮件地址。该邮件地址仅用于关键在线身份,例如银行账户、社交媒体、数字资产交易等服务。
  • 使用多重签名冷钱包来存储私钥。对于加密货币数字资产拥有着来说,在“热钱包”或在线钱包中,只保留日常活动所需的资金。当下最流行的冷钱包是LedgerTrezor的设备。
  • 使用应用程序拦截垃圾邮件、诈骗电话和短信等垃圾信息。

最后,给24Ker的读者几句忠告,Face ID和指纹等生物认证技术虽然已经非常成熟和普及,但是数据泄露和造假技术的泛滥已经严重威胁到了此类认证技术的安全性。作为个人,我们一方面要保护好自己的生物认证数据,同时也要尽量避免过于依赖这些仅仅是方便,但并不安全的技术。

本文由Bcamp个人隐私与信息安全专家王亮、24Ker常年驻场BlackHat黑帽大会的信息安全技术顾问王萌提供技术咨询;与专家连线或投稿请发送邮件至editor@24ker.com

点击查看评论

我来评论

热门

登录

切换注册

记住我的登录 忘记密码 ?

第三方登录

注册

切换登录

第三方登录