|
|
| |
「SIM掉包術」 凸顯「兩階段驗證」資安漏洞
|
 SIM掉包術已成網路詐騙最常見手法之一。
|
|
|
(綜合外電報導)根據紐約時報和網安部落格KrebsOnSecurity的報導,發動這次攻擊的駭客,很有可能是近年惡名昭彰的「SIM掉包術」詐騙份子。這種騙術的原理,雖然和所有騙局一樣都是針對人性弱點,進行所謂「社交工程」,但其攻擊手法,卻又和各大網站普遍採行「兩階段驗證」中的漏洞有關。
許多人或許已注意到,在使用Yahoo、Google和各大社群媒體時,若是剛換手機門號,或是第一次從家用電腦以外的裝置來登入帳號時,都會被要求額外輸入透過簡訊傳送的一次性密碼,藉此確認你是帳戶的真正所有者。這種必須經由兩個步驟登入,一般稱為「雙重驗證」或「兩階段驗證」的認證機制,是網路盛行後,由於駭客攻擊案例不斷增加,專家極力推薦,網路業者也順勢採行的帳號安全強化措施。
但儘管有專家的背書,2階段驗證依然並非萬無一失、滴水不漏,尤其是在2019年爆發推特執行長Jack Dorsey的帳號也遭人入侵,被駭客用來散發不雅貼文長達15分鐘的尷尬事件後,此一安全機制的弱點,以及犯案者所採用的「SIM掉包術」,也成業界最頭痛的問題。
「SIM掉包術」是利用行動通訊業者的客服作業中,若是接到用戶打來電話表示遺失門號,可以將舊門號直接移轉到新的SIM卡上的一種服務,來進行掉包和詐騙。駭客只需先行蒐集受害者的個人資料,如證件編號、住址電話等資訊,然後打電話到電信業者的客服中心,聲稱手機遺失,必須將門號轉移到新的SIM卡上,藉由個資的提供,再加上軟硬兼施的社交工程,說服客服人員「協助」,進而掌控受害者的門號,接管該門號所有訊息和來電。
接著,當駭客登入受害者的推特帳號,開始進行更改密碼和電子郵件位址等入侵動作時,即使推特送出兩階段驗證密碼到用戶門號,此時收到簡訊的卻已經變成了駭客的SIM卡,而非受害者本人手機。就在駭客逐一接管受害者各大網路帳號同時,受害者的手機卻因為SIM卡轉移而斷訊,渾不知自己的網路身分正遭到冒用。
正因為此一詐騙方式完全繞過網站內部安全機制,因此就連推特自家高層主管也無法倖免於難。而歷年來類似的SIM掉包術受害者,還包括了流行歌手Justin Bieber(其裸照因女友Selena帳號被駭而流出),虛擬貨幣大亨Michael Terpin(被盜走2380億美金),以及為數不少的個人銀行存款被冒名提領案件。
有鑑於SIM掉包犯罪屢見不鮮,網路安全專家也提出幾點建議,設法降低民眾受害的機率,其中第一步,就是重新啟用SIM卡的PIN碼。近年來由於許多民眾常忘記PIN碼,因此新辦門號幾乎都是預設不用密碼,對此專家認為最好還是啟用並加以設定,至少可讓門號多一層保護。
此外,Android和Apple的APP商店都可以找到專用的兩階段驗證軟體,藉由排除對手機簡訊的依賴,來避免門號被掉包的問題;如果對軟體的密碼機制不放心,也可以購買市面上的實體USB驗證裝置,加強個人帳號或網路金融帳戶的安全性。
|
相關話題新聞 >> |
從拜登到貝佐斯 當駭客接管政要首富的官方帳號 (圖) |
交保遭撤 趙正宇收押禁見 涉貪4立委全押 法院認有逃亡串證之虞 (圖) |
蘇震清等3立委抗告失敗續押 (圖) |
蘇震清、李恆隆搶先套招 檢擬查內鬼 (圖) |
收購或封禁TikTok? 姆努欽與納瓦羅大吵 (圖) |
中國高爾夫選手創造歷史 WeChat帽子亮了 (圖) |
TikTok最快週二起訴特朗普政府 |
原爆倖存者:看了這麼多屍體 竟然流不出淚 |
原爆75週年 長崎市長再籲中央簽禁止核武器條約 (圖) |
二戰結束75週年 安倍不參拜靖國神社 只奉祭祀費 |
國家大劇院完成全球首次舞台藝術「8K+5G」直播 (圖) |
李國慶:我和俞渝被兒子告了 (圖) |
四川這地方首次通過紅外相機拍到熊貓 (圖) |
分享至 Facebook
分享至 Twitter
分享至 Plurk
分享至 Google+
Google 書籤
QQ 書籤
張貼至 myshare
轉寄好友
分享至 Facebook
分享至 Twitter
分享至 Plurk
Google Bookmarks
收藏到 QQ 書籤
張貼至 myshare
轉寄好友
LinkedIn
Netlog
Hi5
MySpace
Google+
Weibo
