如何保护自己免受SIM卡交换攻击

凯西钦

一连串被黑的 Instagram账号。针对AT＆T的2.2亿美元诉讼。一个繁华的地下犯罪团伙。它们都源于一个最近发现新的紧迫性的老问题：SIM卡交换，黑客窃取你的移动身份的骗局 - 并用它来颠覆你的生活。

在最基本的层面上，SIM卡交换是指有人说服您的运营商将您的电话号码转换为他们拥有的SIM卡。他们不是为了恶作剧电话，也不是长途话费。通过转移收到的消息，诈骗者可以轻松完成基于文本的双因素身份验证检查，以保护您最敏感的帐户。或者，如果您没有首先设置双因素，他们可以使用您的电话号码来欺骗服务以咳嗽您的密码。

“在我们看到的大多数情况下，一个足够坚定的攻击者可以接管某人的在线足迹。”

ALLISON NIXON，FLASHPOINT

SIM攻击似乎是最近一系列Instagram收购的幕后推手，以及非常不幸的，不是很好的时间，黑客发布的贾斯汀比伯去年从Selena Gomez的账户中脱颖而出。但它们也会影响你生活的其他角落。加密货币投资者本周声称SIM卡互换导致盗窃价值2380万美元的代币; 他正在起诉他的承运人AT＆T 10倍的金额。而Motherboard最近记录了一些事件，其中SIM卡劫持者从人们的支票账户中消耗了数千美元。

一个发人深省的警告：如果一个熟练的SIM卡劫持者瞄准你，那么实际上你无法阻止它们，安全公司Flashpoint的威胁研究Allison Nixon说。“在我们看到的大多数情况下，一个足够坚定的攻击者可以接管某人的在线足迹，”她说。

这是因为最终，SIM互换背后的阴谋很大程度上是你无法控制的。完美的安全卫生并不总能阻止某人愚弄您的承运人，事实上，他们甚至可能不必这样做; Flashpoint已经发现一些迹象表明SIM卡劫持者在移动商店招募零售工人以获得受保护帐户的访问权限。全面的SIM交换修复需要在2018年从根本上重新考虑电话号码的作用。“电话号码从来没有打算成为确认某人身份的方式，”尼克松说。“电话公司从来没有出售过身份证件。它被强加给他们。“

好消息是，您可以采取措施限制SIM交换攻击发生在您身上的机会 - 如果发生这种情况则限制后果。

在其中粘贴PIN

每个美国主要运营商都会为您提供在您的帐户中输入PIN码或密码的选项。拿起来吧。拥有一个保护层是另一层保护，是攻击者在破坏您的身份之前需要的另一条信息。这对内幕威胁无济于事，但总比没有好。

在AT＆T上，您可以通过转到您的个人资料，然后登录信息，然后获取新的密码来设置长度为4到8位的“无线密码” 。您还应该添加运营商称之为“额外安全性”的内容，这意味着它将需要密码来在线或在零售商店管理您的帐户。您可以再次找到登录信息，然后是无线密码，并检查管理额外的安全性。

Verizon实际上需要个人识别码，但要设置或更改密码，请访问此站点，然后登录您的帐户。输入您选择的PIN两次，单击“ 提交”，即可完成。

对于T-Mobile，你必须打电话; 从您的手机拨打611并要求在您的帐户中添加“端口验证”，这样您就可以选择6到15位的PIN码。在Sprint上，登录您的帐户，单击我的Sprint，然后转到配置文件和安全性。滚动到安全信息，然后在那里更新您的PIN。

是的，记住另一个PIN是痛苦的，特别是当你可能每隔几年才需要它时。但值得付出努力。安全公司Sophos的主要研究科学家Chet Wisniewski说：“大多数人都关闭了，因为如果他们记不起他们的PIN，他们就无法进入当地的Verizon商店并获得新手机。” “如果您可以通过移动运营商打开PIN码以防止您的号码受到操纵，那么您应该这样做。来吧把它写下来。没有人会闯进你的房子，把你的记事本从你内衣的秘密抽屉里的内衣里偷走。“

使用更好的双因素

我们最近谈过这个问题，但需要重复一遍。通过SMS获取双因素身份验证代码总比没有好，但如果SIM交换命中，它将无济于事。什么会奏效？请改用身份验证应用。

像谷歌身份验证器和Authy这样的应用程序可以为您提供额外的安全保护，例如基于SMS的双因素，但它们也会将其与您的物理设备绑定，而不是电话公司分配给您的数量。它们向您显示一个六位数的代码，每隔30秒左右更新一次，并与您连接的任何服务保持不变。

“我们面临的挑战是这些应用程序开发人员需要一个通用标识符，而他们只是认为电话号码和任何东西一样好。”

CHET WISNIEWSKI，SOPHOS

想进一步提升你的双因素吗？选择改为物理身份验证方法，如Yubikey。这些小巧的链条适合您的钥匙链，并插入计算机的USB端口，以帮助验证您的身份。（对于它的价值，你可以获得一个免费的YubiKey 4与新的WIRED订阅。）“如果你启用了一个phsyical令牌，加上你的密码，你关闭短信，那么有人真的将不得不偷你的键。这将赌注提升到另一个层面，“Wisniewski说。

并非所有服务都允许更严格的双因素。（Instagram是最值得注意的例子，尽管社交网络表示它正在努力扩展它提供的选项。）但是在你可以给自己保持安全的最佳位置上切换它。

额外措施

如果黑客有一个与您的某些在线帐户相关联的电话号码，他们有时可以完全避免双因素要求 - 这可以回到首先使用电话号码作为标识符的问题。从七位数中解脱出来很难大规模地进行，但至少尝试特别敏感的账户，或者如果你可能是一个高价值目标，这是值得的。

“如果你有一件特别的东西，你知道小偷会去追求，比如你的银行账户或你的比特币馆藏或社交媒体上的用户名，显然要将该账户与其他在线身份分开，”尼克松说。 。“如果你是一个额外的偏执狂，你可以有一个单独的电话号码，并保持该电话号码的秘密。我知道这有点过头，但有些人试图保护自己不受这种攻击媒介的影响。

例如，对于需要记录某种电话号码的服务，您可以交换Google语音号码。但是Wisniewski认为，对于大多数人来说，增加复杂性可能不值得，尤其是因为很多应用程序将您的帐户与手机相关的数字联系起来。这又回到了核心问题。

“我们面临的挑战是这些应用程序开发人员需要一个通用的标识符，他们只是认为电话号码和任何东西一样好。我们不需要国民身份证，我们也没有任何中央身份验证机构，“Wisniewski说。“他们很难找到可以用来识别你身份的东西，遗憾的是他们已经确定了电话号码，这并不是非常安全。”

你可以采取的另一个步骤是保持警惕。如果您的智能手机突然停止工作或消息停止，您就知道自己丢失了SIM卡。你越早采取措施抢占那里的账户收购，你就会越好。

二手机，划算，靠谱，就到波特虎！