美国联邦通信委员会(FCC)已发布了其首批拜登时代的网络安全拟议规则。在该提案中,FCC 针对一个名为 SIM 卡交换的严重问题——这是一种常见的数字身份盗窃形式,几乎无法防范。
网络情报公司 Unit221B 的首席研究官 Allison Nixon 表示:“不幸的是,这绝对是一种需要政府监管介入的情况,因为私营公司自己完全未能解决这个问题。”
Twitter 首席执行官 Jack Dorsey 在2019 年发生了 SIM 卡交换事件。AT&T 和 T-Mobile 都卷入了诉讼,这些诉讼指控它们未能保护客户免受此类攻击。一名加密货币投资者甚至起诉一名高中生,指控他通过 SIM 卡交换窃取了他价值 2380 万美元的加密货币。
以下是您需要了解的关于这种日益常见的黑客攻击形式以及 FCC 为阻止它所做的努力。
什么是 SIM 卡交换?
Nixon 说,SIM 卡交换是指一种欺诈行为,攻击者会接管您的电话号码,并利用该号码来验证您拥有的账户。如果您启用了两因素身份验证,您通常会收到一条发送到您手机的验证码,以便登录您的账户。这个验证过程是大多数黑客进行 SIM 卡交换的原因,因为一旦他们获得了电话号码,就可以轻松访问人们的电子邮件和银行账户。
例如,如果您曾经登录过一个账户,然后收到一条通过短信发送到您手机的确认码,那么您就经历过黑客利用的那个时刻。
麦吉尔大学信息研究学院教授 Benjamin Fung 表示:“在过去一年中,SIM 卡交换攻击在不同国家急剧增加,不仅在美国,在加拿大和欧洲也是如此。”他指出,这种做法会激发许多模仿者,因为这种攻击不需要太多时间或技术技能,并且可以带来有利可图的银行账户登录访问权限。
SIM 卡交换是如何工作的?
黑客可以通过几种不同的方式做到这一点。黑客可以打电话给您的手机运营商,冒充您,说他们换了新手机,然后要求运营商将号码转到他们的手机上。或者他们可以打给不同的运营商,例如说他们想从 Verizon 换到 AT&T,然后让这个号码在新 AT&T 手机上启用。
另一种方法涉及安装在运营商网络上的恶意软件,然后利用该恶意软件控制员工账户,以便强制进行他们想要的更改。他们还可以贿赂、敲诈或勒索电话运营商的员工,以获取他们想要的号码。
Nixon 说:“受害者唯一能看到的就是他们的手机停止服务,因为运营商此时正在为另一部手机提供服务。”“看起来就像您没有支付账单而被停用了。”然后,受害者将只能眼睁睁地看着他们的账户密码被重置,直到他们被锁定在所有或大多数账户之外。
人们如何保护自己?
人们几乎无能为力来保护自己免受此侵害。Nixon 说:“问题在于,人们在互联网上识别自己的方式是错误的。”“对于网站来说,你作为一个人的身份,仅仅是你的手机。如果别人能够窃取你的电话号码,那么他们就等同于你。”
Nixon 多年来一直与 SIM 卡交换的受害者打交道,她说她见过一些情况,欺诈者比受害者更能证明自己的身份,从而证明了被盗数字身份的有效性。她的受害者通常是那些采取了所有建议的数字预防措施但仍被永久锁定账户的人。“我们建立互联网的基础存在一些裂痕,基础本身需要修复,”她说。
当 Nixon 与她的高端客户打交道时,她告诉他们要假设电话系统已被泄露,任何涉及使用电话号码进行验证的两因素身份验证都可疑。使用 Yubikey(一种在登录时需要按下按钮的物理密钥)是安全的,使用 Authy 等身份验证器应用程序(它会生成一个您需要输入的数字)或在登录时扫描条形码也是安全的。
为什么电话公司不解决这个问题?
Nixon 说,如果您带着 1000 美元走进一家电话商店,告诉他们您忘记了登录信息但想买一部手机,那么电话公司很可能会找到一种方法让您访问您的账户,因为他们想要这笔生意。这种思维方式与账户安全背道而驰。
Nixon 说:“问题在于,这些账户很容易被接管,因为这些电话公司想出售手机和服务套餐。”“如果这些公司确保了这些账户的安全,那么普通消费者购买手机就会更加困难。”
解决这个问题将涉及提高客户账户的安全性,这将增加电话公司获客的成本。Nixon 说:“除非我们看到政府强迫公司解决这个问题,否则它就不会得到解决。”
FCC 如何解决这个问题?
FCC 的拟议法规将要求电话运营商在将客户号码转接到新手机之前验证客户的身份。人们可以通过提供预先设定的密码或通过短信、电子邮件或电话接收一次性密码来验证身份。
如果有人请求更改其账户上的 SIM 卡,运营商还将必须立即通知客户。目前,这种更改会立即发生,没有任何警告,也没有机会让人提出异议或撤销更改。
如果客户无法通过这些方法验证其账户,提供商将无法对手机进行 SIM 卡交换。电话运营商还将必须为其客户提供“端口冻结”选项,该选项不允许任何 SIM 卡交换。
Fung 说:“这将消除相当数量的 SIM 卡交换案件。”“它是否能完全消除这种类型的网络攻击还有待观察,但这一举措总比没有好。”
尽管 US Telecom 就 FCC 提案的其他方面发表了声明,但电话提供商尚未对这些新要求表示不满。
Nixon 说:“几乎所有人都同意 SIM 卡交换者很糟糕。”“也许会有一些游说团体试图反对这项提案,因为它将增加提供商的成本。但你知道吗?受害者目前正在承担成本。没有人会为他们游说。”
