在開始之前，我們先來了解一個(gè)小故事。就在去年八月，Twitter的首席執(zhí)行官杰克·多爾西（Jack Dorsey）遭到一群黑客的妥協(xié)，杰克·多爾西借此機(jī)會(huì)向他的420萬推特粉絲發(fā)布了反猶太主義和種族主義言論。在研究了該問題之后，Twitter的團(tuán)隊(duì)確認(rèn)他已成為Sim Swapping Attack的受害者。

相同的攻擊曾被用來入侵其他知名人物，例如杰西卡·阿爾芭（Jessica Alba），并耗盡像您和我這樣的普通人的加密貨幣和傳統(tǒng)銀行帳戶。那么如何保護(hù)自己免受Sim Swap攻擊？這是所有問題的概述，以及如何保護(hù)自己免受下一個(gè)威脅。 如果能得到杰克·多爾西的方法，就能保護(hù)自己免受Sim交換攻擊的簡(jiǎn)單方法。

　　Sim交換的工作原理

現(xiàn)在，許多安全的網(wǎng)站和服務(wù)（例如銀行，電子郵件和社交媒體）將我們的手機(jī)號(hào)碼連接起來，作為第二種身份驗(yàn)證方式，目的是驗(yàn)證您是真實(shí)的人。這很容易，因?yàn)榛旧衔覀兠總€(gè)人都有一個(gè)移動(dòng)電話號(hào)碼，這為試圖創(chuàng)建大量假帳戶的不良演員創(chuàng)造了進(jìn)入障礙。

盡管此方法確實(shí)提供了一些好處和附加的安全級(jí)別，但它具有一些相當(dāng)大的漏洞。

“模擬交換”是指犯罪分子與您的電話公司和社會(huì)工程師聯(lián)系，或者欺騙他們，以將您的移動(dòng)連接更改為他們控制的設(shè)備。例如，他們可能打電話給您的提供商，并假裝是您，并說您的手機(jī)已被盜，您需要他們將服務(wù)切換到剛購買的新手機(jī)。

或者，他們可能只是口袋里有手機(jī)提供商的一名雇員，可以執(zhí)行SIM卡交換而無需進(jìn)行社會(huì)工程。

將您的SIM卡交換到新設(shè)備后，犯罪分子將收到您的所有短信和電話。然后，犯罪分子使用您的手機(jī)號(hào)碼來重置密碼并訪問所有安全帳戶，這通常會(huì)在幾分鐘之內(nèi)幫助您保護(hù)自己的加密貨幣和銀行帳戶余額。

他們還可能將您拒于社交媒體或云存儲(chǔ)服務(wù)之外，并要求贖金以換取安全返回您的個(gè)人信息。這種攻擊的唯一一線希望是，一旦發(fā)生這種情況，您將立即知道，因?yàn)槟脑O(shè)備將失去服務(wù)。

很嚇人吧？使用您電話號(hào)碼的任何服務(wù)都容易受到此類攻擊，世界上任何人都可以在沒有任何特殊技術(shù)知識(shí)的情況下執(zhí)行該攻擊。

認(rèn)為您的承運(yùn)人可以確保您的安全？普林斯頓大學(xué)今年發(fā)表的一項(xiàng)研究發(fā)現(xiàn)，包括ATT，T-Mobile和Verizon等在內(nèi)的美國(guó)主要運(yùn)營(yíng)商肯定容易受到Sim Swapping的影響。

要保持安全，就需要您采取積極行動(dòng)。這里有一些保護(hù)自己的策略。

　　首先要做的事情-啟用2FA

盡管存在Sim Swapping的風(fēng)險(xiǎn)，但您應(yīng)始終在帳戶上啟用2因子身份驗(yàn)證。通過使用用戶名和密碼之外的輔助密碼發(fā)送到您的手機(jī)，這將確保您的帳戶安全，從而可以訪問您的帳戶。2FA現(xiàn)在是大多數(shù)安全服務(wù)的標(biāo)準(zhǔn)功能，可以在登錄名和安全設(shè)置中啟用。

雖然我意識(shí)到我只是花了幾段描述基于SMS的身份驗(yàn)證的缺點(diǎn)，但現(xiàn)實(shí)是啟用它可以阻止大多數(shù)威脅。即使犯罪分子通過惡意軟件或數(shù)據(jù)泄露來發(fā)現(xiàn)您的密碼，他們?nèi)匀恍枰L問您的SMS消息才能進(jìn)入您的帳戶。

大多數(shù)攻擊者都不會(huì)費(fèi)心去執(zhí)行SIM卡交換，而只會(huì)簡(jiǎn)單地轉(zhuǎn)到?jīng)]有啟用2FA的目標(biāo)。

就是說，重要的是要記住，許多服務(wù)將使您僅使用手機(jī)號(hào)碼即可重置密碼。因此，攻擊者通常無需知道您的密碼就可以使用Sim Swap來訪問帳戶。

您的第一道防線-溝渠短信

保護(hù)自己的最簡(jiǎn)單方法是選擇可用的基于應(yīng)用程序的2FA。雖然啟用2FA總比沒有好，但許多服務(wù)提供了兩種。最常見的是基于SMS的，它將SMS發(fā)送到您的手機(jī)，并且容易受到Sim Swaps的攻擊。不太常見但更安全的是基于應(yīng)用程序的身份驗(yàn)證。

您的驗(yàn)證碼不是通過短信發(fā)送給您，而是由您的移動(dòng)設(shè)備上的Authenticator應(yīng)用生成的，其中最受歡迎的是Google Authenticator。

您需要做的就是下載一個(gè)身份驗(yàn)證器應(yīng)用程序，然后在每個(gè)帳戶上配置2FA設(shè)置時(shí)選擇基于應(yīng)用程序的身份驗(yàn)證。系統(tǒng)將提示您使用身份驗(yàn)證器應(yīng)用程序掃描QR碼，然后進(jìn)行設(shè)置！

當(dāng)要求輸入驗(yàn)證碼時(shí)，只需打開手機(jī)上的應(yīng)用程序，然后輸入顯示在您要訪問的網(wǎng)站上的6位數(shù)字即可。

身份驗(yàn)證器應(yīng)用程序不受Sim交換影響。這些應(yīng)用程序依賴于您的物理設(shè)備特有的詳細(xì)信息，而電話公司無法將其轉(zhuǎn)移到另一設(shè)備。這意味著，即使攻擊者設(shè)法接管了您的郵件，他們也將無法復(fù)制您的唯一身份驗(yàn)證碼或進(jìn)入您的帳戶。

　　最佳解決方案-私人電話號(hào)碼

盡管在理想情況下，Authenticator應(yīng)用程序可以解決我們所有的問題，但挑戰(zhàn)在于許多網(wǎng)站不支持基于應(yīng)用程序的身份驗(yàn)證。有趣的是，我所有的銀行帳戶和信用卡都提供基于SMS的身份識(shí)別作為唯一選擇。那么我們?nèi)绾伪Ｗo(hù)自己呢？

由于我們知道可以利用任何和所有運(yùn)營(yíng)商進(jìn)行此攻擊，因此我們唯一的解決方案是使用沒人知道的電話號(hào)碼。如果攻擊者不知道使用哪個(gè)號(hào)碼，則無法執(zhí)行“模擬交換”。令人高興的是，安全服務(wù)不會(huì)向攻擊者透露我們的電話號(hào)碼-他們通常必須通過其他方式來找到它們。

沒有人知道的電話號(hào)碼打敗了電話的要害，因此僅出于此目的而購買第二部電話是有意義的。

前往附近的大型零售商購買最便宜的預(yù)付費(fèi)電話并計(jì)劃。您只需要使用一次此手機(jī)。由于在這種情況下，我們不打算將此手機(jī)用作匿名工具，因此也可以在線訂購。

Mint Mobile傾向于為我們的目的提供最實(shí)惠的計(jì)劃，以5美元的價(jià)格提供7天的試用期。您可以使用與他們的服務(wù)兼容的備用手機(jī)，也可以購買便宜的，未鎖定的翻蓋手機(jī)，價(jià)格約為30美元。

有了預(yù)付費(fèi)設(shè)備后，請(qǐng)按照說明繼續(xù)操作并記下您的新私人移動(dòng)電話號(hào)碼。這是您將在所有服務(wù)中專用于2FA的數(shù)字。在繼續(xù)之前，我們將希望切換到免費(fèi)的移動(dòng)套餐，這樣您就不必每月都為Mint的無線服務(wù)付費(fèi)。那就是Google語音的來源。

導(dǎo)航到Google語音并登錄到您現(xiàn)有的Google帳戶或創(chuàng)建一個(gè)新帳戶。這是確保您的Google帳戶已啟用基于應(yīng)用程序的2FA的好時(shí)機(jī)。注冊(cè)后，您需要按照以下說明將您的私人預(yù)付費(fèi)電話號(hào)碼移植到Google語音。

完成此交易您需要支付少量費(fèi)用，通常為20美元，但作為交換，您將可以永久免費(fèi)地以該號(hào)碼接收電話和短信!這比在我的書中從Mint購買每月計(jì)劃要好。

雖然您可以使用Google語音從瀏覽器接受呼叫和短信，但我認(rèn)為這很痛苦。建議您下載Google語音應(yīng)用以在您的移動(dòng)設(shè)備上接收文本。不用說，您不應(yīng)該使用Google語音的轉(zhuǎn)發(fā)服務(wù)將文本轉(zhuǎn)發(fā)到您的主號(hào)碼，因?yàn)檫@樣做會(huì)違背本練習(xí)的目的。

在此階段，您可以收起預(yù)付費(fèi)翻蓋手機(jī)或備用設(shè)備，因?yàn)槟鷮⒉辉傩枰?/p>

現(xiàn)在，您就可以在所有帳戶上將其設(shè)置為2FA電話號(hào)碼，知道您已受到完全保護(hù)。沒有人知道您的新電話號(hào)碼，即使他們找到了它，由于啟用了基于應(yīng)用程序的2FA，他們也無法進(jìn)入您的Google帳戶進(jìn)行訪問。

　　免費(fèi)VoIP電話號(hào)碼如何？

實(shí)際上，Google語音和許多其他服務(wù)允許您免費(fèi)注冊(cè)電話號(hào)碼，為什么我們不使用這些電話號(hào)碼？您可以嘗試-但大多數(shù)服務(wù)不接受VoIP號(hào)碼。原因很簡(jiǎn)單：可以輕松，廉價(jià)地匿名獲取，因此犯罪分子和其他不良行為者經(jīng)常使用它們。

為了避免這種限制，我們首先在預(yù)付費(fèi)運(yùn)營(yíng)商處注冊(cè)了該號(hào)碼，然后將其移植到VoIP服務(wù)。您使用的服務(wù)無法知道您如何接收消息，他們只知道為VoIP服務(wù)保留了哪些號(hào)碼，并阻止了這些號(hào)碼的注冊(cè)。由于您使用的是最初為預(yù)付費(fèi)運(yùn)營(yíng)商保留的號(hào)碼，因此您會(huì)一目了然。

以上就是關(guān)于如何保護(hù)自己免受Sim Swap攻擊的全部?jī)?nèi)容。盡管實(shí)施此安全措施的成本和時(shí)間不多，但與數(shù)據(jù)泄露的財(cái)務(wù)和情感復(fù)雜性相比，它顯得蒼白。該解決方案將有效地保護(hù)您免受大多數(shù)網(wǎng)絡(luò)威脅的影響，而無需您付出太多努力。網(wǎng)絡(luò)安全無疑是積極主動(dòng)地值得付出的領(lǐng)域之一。想了解更多網(wǎng)絡(luò)安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。