更换 SIM 卡：以下是 Twitter CEO 的帐户被黑的方式

在成功诱骗移动服务提供商交出 Jack Dorsey 的电话号码后，攻击者开始通过 Jack Dorsey 的个人推特账户发布各种攻击性信息。

据悉，黑客在获取多尔西的个人账户后，在他的账户中发布了种族歧视、反犹太主义甚至炸弹威胁等敏感信息。 推特删除攻击性推文大约用了半个小时。

根据 Dorsey 账户中的一些推文，一个名为“Chuckling Squad”的黑客组织可能是罪魁祸首，该组织过去曾以其他知名人士为目标，尤其是社交媒体影响者。 ——进行了攻击性活动。

黑客入侵大约一个半小时后，推特官方澄清其系统并未受到损害，称“由于移动服务提供商的疏忽，与该帐户关联的电话号码被泄露，允许未经授权的人撰写短信并向电话号码发送推文，但该问题目前已得到解决。”

同时，推特官方拒绝透露移动服务提供商的名称，也没有详细说明黑客入侵的详细过程和解决方案。

据悉，此次攻击所涉及的黑客技术被称为“SIM卡更换”（SIM swap）或port-out骗局。 在此类攻击中，攻击者诱骗电信运营商将目标手机号码转移到不法分子控制的SIM卡中。 一旦犯罪分子控制了目标的手机号码，犯罪分子就可以使用它来重置受害者的密码并登录他们的在线账户（加密货币和金融账户是最常见的目标）。

简单来说，“SIM 交换”是一种复杂的社会工程攻击，恶意行为者收集特定目标的身份信息，以向运营商证明“我是你”。 因此，在这种情况下，它能够绕过基于 SMS 的双因素身份验证 (2FA)。

这些类型的攻击已经持续了五年，并在 2017 年和 2018 年达到顶峰。例如，2018 年 7 月，加利福尼亚州警察逮捕了一名大学生 Joel Ortiz，他窃取了数十个手机号码并窃取了总计超过500万美元。 这是第一起有人涉嫌使用日益流行的 SIM 卡交换技术或 SIM 卡劫持来窃取比特币、其他加密货币和社交媒体帐户的案件。

然后，在 2018 年 8 月，美国投资者迈克尔·特平 (Michael Terpin) 对 AT&T 提起了价值高达 2.24 亿美元的诉讼。 因为他认为这家电信巨头让黑客可以访问他的电话号码，从而导致重大的加密货币盗窃。 Terpin 声称他在七个月内遭受了两次黑客攻击，直接损失了价值 2400 万美元的加密货币。

目前，美国执法机构已将“SIM卡更换攻击”列为打击加密货币欺诈的“重中之重”。 然而比特币账号需要激活吗，在对Twitter CEO的攻击中，“SIM卡更换”表现出了与劫持加密货币完全不同的目的。

它允许黑客通过“Cloudhopper”向 Dorsey 的账户发送消息，“Cloudhopper”是 Twitter 在 2010 年收购的移动消息技术提供商，允许用户通过 SMS 向特定号码（通常是 40404）发推文，系统只需要确认该账户已绑定到同一个电话号码。 由于黑客控制了 Dorsey 的电话号码，他们无需任何实际登录即可轻松地将消息发布到他的 Twitter 帐户。

值得注意的是，SMS 消息可用于在 Twitter 上执行各种任务，包括关注或取消关注特定用户、打开或关闭通知、转发消息等。

根据最新消息，推特暂时禁用了通过短信发送推文的功能。 推特表示，关闭该功能的目的是为了保护用户的账户。 此外，推特还表示将继续完善其双因素认证系统，因为该系统也依赖短信比特币账号需要激活吗，因此也可能受到同样的威胁。 不过，推特还承诺很快将在依赖短信进行可靠通信的市场重新推出该功能，并将为该功能制定长期战略。 至于具体内容，目前还没有透露。

不过，“SIM 交换攻击”似乎是 Chuckling Squad 最喜欢的劫持社交媒体帐户的方法，他们经常使用这种技术来对付 AT&T。

在过去的一年里，SIM 卡交换诈骗已经发展成为一个日益突出和极具威胁的存在。 事实证明，有一种非常简单的方法可以通过成功诱骗运营商将用户的电话号码转移到新的 SIM 卡，或者通过贿赂其中一名代理人来击败双因素身份验证。 由于运营商是此类攻击中的薄弱环节，他们有责任寻找通过其呼叫中心和客户服务团队运行的可疑行为，以便及时识别被网络犯罪分子贿赂的欺诈行为者或代表。 至少，消费者应该联系他们的电话运营商并要求对他们的帐户应用额外的安全措施，例如不允许在没有通过非短信渠道提供的验证码的情况下更改帐户。

解决方案

根据卡巴斯基实验室近一年的跟踪结果，“SIM swapping”之类的攻击现在很普遍，使用“SIM swapping scam”的网络犯罪分子不仅可以窃取凭据并捕获通过短信发送的 OTP（一次性密码），而且还有对受害人也有经济影响。 那么，面对这种情况，我们应该如何有效应对呢？

1. 必须避免语音和短信作为真实身份的认证机制

移动运营商依靠传统协议进行通信，例如最初于 1970 年代开发的 7 号信令系统或 SS7。 该协议存在安全漏洞，允许截获 SMS 消息或语音呼叫。 按照今天的标准，如果您想保护银行账户等高价值信息，手机/短信不再被视为可靠的安全方法。 对于大多数公司来说，2018 年对 Reddit 的攻击敲响了警钟。 据悉，2018年6月，一名黑客使用基于短信的双因素认证（2FA），通过短信拦截入侵了部分Reddit员工的账户。 然后，黑客设法从 2007 年的数据库备份和一些 Reddit 用户的当前电子邮件地址中获取了旧的加盐和散列密码。

此外，美国国家标准与技术研究院 (NIST) 还在专门刊物中明确放弃使用双因素身份验证来保护 SMS。 其声明称，“当使用 PSTN 提供带外数据（out-of-band (OOB) 认证密码）时，认证者应考虑以下一些风险指标，例如设备交换、SIM 卡更改、号码转移或其他异常行为。”（NIST 800-63B）

一些银行使用可以绑定到手机 IMEI 号码（唯一标识符）的软件令牌； 但是，注册和维护更改是一个困难的过程，例如，当用户更改电话号码时。 如果可能，我们建议用户选择其他方式，例如在移动应用程序（例如 Google Authenticator）中生成 OTP 或使用物理令牌。 不幸的是，一些在线服务不提供替代方案； 在这种情况下，用户必须充分意识到风险。

2. 生物识别新时代

一些运营商已经实施了额外的安全机制，要求用户使用密码短语（例如“我的声音就是我的密码”）通过语音生物识别技术进行身份验证 - 该技术做得很好，甚至可以检测语音是否在录音，或者用户是否患有流感. 然而，它也被认为是一种昂贵的解决方案，尤其是对于新兴市场而言，并且需要付出额外的努力来集成后端系统。

3.自动短信服务：“您的电话号码将从这张SIM卡中停用”

当请求更换 SIM 卡时，运营商可以自动发送一条消息通知：“您的号码将从这张 SIM 卡中停用。” 提醒号码持有人有 SIM 卡更改请求。 如发现未经授权的操作，用户须及时联系诈骗热线进行反馈。 然而，这不会阻止劫持本身，它只会提醒用户，以便他们在恶意活动的情况下能够更快地做出反应。 它的主要缺点是服务用户可能不在覆盖范围内。

一些运营商为任何 SIM 卡激活实施了额外的确认层，提供在其系统中配置密码的选项。 与您的号码相关的任何更改都需要此 PIN，例如每月账单的重大更改，甚至当您需要新的 SIM 卡时。 请咨询您的运营商，看看他们是否为您的号码提供了额外的安全保障。

4、工艺改进

如上所述，某些流程存在缺陷，尤其是在新兴市场。 剖析流程的所有阶段并了解潜在的弱点非常重要。 就莫桑比克而言，这个繁荣的黑市上可以买到假文件。 然后可以将这些文件提供给运营商作为 SIM 交换的身份证明。

5. 在 WhatsApp 上激活 2FA

为避免 WhatsApp 被劫持，使用设备上的六位数 PIN 激活 2FA 至关重要。 如果发生劫持，您还有另一层无法轻易绕过的安全措施。

6. 不要在 TrueCaller 和其他类似应用程序中泄露您的信息

Truecaller 是一款可以帮助用户拦截不需要或不需要的电话的软件，但是，正如我们之前提到的，欺诈者使用此工具来查找有关其目标的更多信息。 因此，请不要在 TrueCaller 等应用程序中泄露您的信息。

尽管使用 Evilginx 等工具对 2FA 进行的攻击变得越来越复杂，但按照当今的标准，软件令牌仍可提供合理的安全级别。 虽然没有解决问题的“灵丹妙药”，但宣告“基于 SMS 的 2FA”消亡才是正确之道——尤其是在涉及网上银行、社交媒体和电子邮件服务时。