在成功骗取移动服务提供商交出Twitter掌门人Jack Dorsey的电话号码之后,攻击者便开始通过Jack Dorsey的个人Twitter账户发布各种攻击性消息。
据悉,在获取了Dorsey个人账户的访问权限之后,黑客便在其账号中发布种族辱骂和反犹太主义甚至炸弹威胁等敏感信息。这些令人反感的推文上传了大约半小时后才被Twitter方面删除。
根据Dorsey账户上的一些推文内容来看,一个名为“Chuckling Squad”的黑客组织可能要对此事负责,据悉,该黑客组织过去也曾针对过其他知名人士——尤其是社交媒体大V——实施过攻击活动。
在遭遇黑客攻击大约一个半小时后,Twitter官方澄清其系统尚未受到损害,并表示,“由于移动服务提供商的疏忽,与该帐户相关联的电话号码遭到了损害,允许未经授权的人通过电话号码的短信撰写和发送推文,不过目前这个问题已经解决了。”
与此同时,Twitter官方拒绝透露移动服务提供商的名称,也并未详细说明这次黑客入侵的详细过程和解决方案。
据悉,此次攻击活动中所涉及的黑客技术叫做“SIM卡替换”(SIM swap)或者port-out scam。在这种类型的攻击中,攻击者会通过欺骗电信提供商,将目标手机号码转移到犯罪分子控制的SIM卡上。一旦犯罪分子控制了目标的手机号码,犯罪分子就可以利用它来重置受害者的密码并登录他们的在线帐户(加密货币帐户和金融账户是最常见的目标)。
简单来说,“SIM卡替换”是一种复杂的社会工程学攻击,恶意行为者会收集特定目标的身份识别信息,以便向运营商证明“我就是你”。所以在这种情况下,它能够绕过基于SMS的双因素身份验证(2FA)。
这些类型的攻击已经持续了五年之久,并且已经在2017年和2018年达到了顶峰。例如,2018年7月,美国加利福尼亚州警方逮捕了一名大学生Joel Ortiz,该学生攻击了数十个手机号码,窃取了总额超过500万美元的加密货币。这是首例被报道的人为涉嫌使用日益流行的SIM卡替换技术或SIM卡劫持窃取比特币、其他加密货币以及社交媒体账户的案件。
随后,2018年8月,美国投资者Michael Terpin向AT&T提出了一起价值高达2.24亿美元的诉讼。因为他认为这家电信巨头向黑客提供了访问他手机号码的途径,从而导致了一场重大的加密货币盗窃事件的发生。Terpin声称,他在7个月的时间里遭遇了两次黑客攻击,导致他直接损失了价值2400万美元的加密货币。
目前,美国执法部门已经将“SIM卡替换攻击”作为打击加密货币欺诈的“重中之重”。不过在针对Twitter CEO的攻击活动中,“SIM卡替换”却展示了与劫持加密货币完全不同的目的。
它允许黑客通过“Cloudhopper”向Dorsey的账户发送消息,Cloudhopper是Twitter于2010年收购的一个移动消息技术提供商,其允许用户通过SMS将消息发送到特定号码(通常为 40404)来发布推文,系统只需要确认这个账户和电话号码绑定是同一个即可。由于黑客控制了Dorsey的电话号码,所以他们能够轻松地将消息发布到他的Twitter账户中,而无需任何实际的登录行为。
值得注意的是,SMS消息可用于在Twitter上执行各种任务,包括跟踪或取消关注特定用户,打开或关闭通知以及转发消息等等。
根据最新消息显示,Twitter日前已经暂时关闭了SMS发送推文的功能。Twitter表示,关闭这一功能的目的是为了保护用户的账户。除此之外,Twitter还表示会继续改进其双重认证系统,因为这套系统同样依赖SMS,所以也可能会受到同样的威胁。不过,Twitter方面也承诺会很快在依赖SMS进行可靠沟通的市场重新上线该功能,另外还将为该功能制定长期战略,至于具体的内容暂未透露。
不过由此可见,“SIM卡替换攻击”似乎是Chuckling Squad最喜欢的劫持社交媒体帐户的方法,他们经常用此技术针对AT&T。
在过去一年中,SIM卡互换骗局已经发展成为一个日益突出且极具威胁的存在。事实证明,通过成功欺骗运营商将用户的电话号码转移到新的SIM卡或通过贿赂其中一个代理商来破坏双因素身份验证是一种非常简单的方法。由于运营商是此类攻击的薄弱环节,他们有责任寻找通过其呼叫中心和客户服务团队运行的可疑行为,以便及时找出被网络犯罪分子贿赂的欺诈行为或代表。至少,消费者应该联系他们的电话运营商并要求将额外的安全性应用到他们的帐户,例如,如果没有通过非短信渠道提供的验证码,则不允许更改帐户。
解决方案
根据卡巴斯基实验室近一年的追踪结果显示,类似“SIM卡互换”这样的攻击现在很普遍,网络犯罪分子利用“SIM卡互换骗局”不仅能够窃取凭证并捕获通过短信发送的OTP(一次性密码),而且还会对受害者造成财务影响。那么,面对这种情况,我们应该如何有效应对呢?
1. 必须避免以语音和SMS作为真实身份的验证机制
移动运营商依赖传统协议进行通信,例如,最初在20世纪70年代开发的7号信令系统(signal System No. 7)或SS7。该协议存在安全漏洞,允许拦截SMS消息或语音通话。按照今天的标准,如果你想保护银行账户等高价值信息,手机/短信不再被认为是一种可靠的安全方法。对于大多数公司来说,2018年发生在Reddit身上的那次攻击就是一个警钟。据悉,2018年6月,一名黑客利用基于SMS的双因素身份验证(2FA)通过SMS拦截入侵了Reddit部分员工的账户。随后,黑客便设法从2007数据库备份和一些Reddit用户的当前电子邮件地址访问了旧的salted和哈希密码。
除此之外,美国国家标准与技术研究院(NIST)也在一份特别出版物中明确要弃用以双因素验证方式来保护SMS,其声明称,“在使用PSTN提供带外数据(out-of-band,简称OOB)身份验证密码之前,验证者应该考虑如下一些风险指标,例如设备互换,SIM更改、号码转移或其他异常行为。”(NIST 800-63B)
有些银行使用的软件令牌可以绑定到手机IMEI号码(唯一标识符);然而,注册和维护变更是一个困难的过程,例如,当用户更换电话号码时就会产生影响。如果可能,我们建议用户选择其他方式,例如在移动应用程序中生成OTP(如谷歌Authenticator)或使用物理令牌。不幸的是,一些在线服务不提供替代方案;在这种情况下,用户必须充分了解风险。
2. 生物识别技术新时代
一些运营商已经实现了额外的安全机制,要求用户使用诸如“我的语音就是我的密码”之类的口令通过通过语音生物识别进行身份验证——这项技术表现不错,甚至可以检测语音是否为录音,或者用户是否患有流感。然而,它也被认为是一个昂贵的解决方案,特别是对于新兴市场而言,并且需要一些额外的努力来集成后端系统。
3. 自动短信服务:“您的电话号码将从此SIM卡停用”
当请求SIM更改时,运营商可以自动进行消息通知:“你的号码将从此SIM卡停用。”以提醒号码持有者已经有SIM更改请求。如果该操作是未经授权的,用户必须及时联系欺诈热线进行反馈。不过,这不会阻止劫持本身,只会提醒用户,以便他们在恶意活动的情况下能够更快地做出响应。其主要缺点是服务订阅用户可能在覆盖范围之外。
一些运营商已经为任何SIM激活行为实施了额外的确认层,提供了在其系统中配置密码的选项。与您的号码相关的任何更改都需要此密码,例如每月账单中的重大更改,甚至是您需要新的SIM卡时。与您的运营商联系,检查他们是否已经为您的号码提供额外的安全保障。
4. 流程改进
如上所述,某些流程存在缺陷,特别是在新兴市场中。剖析流程的所有阶段并了解潜在的弱点是很重要的。就莫桑比克而言,在这个蓬勃发展的黑市中可以获得假文件。然后可以将这些文档作为SIM交换的身份证明提供给运营商。
5. 在WhatsApp上激活2FA
为了避免WhatsApp被劫持,使用设备上的六位数PIN激活2FA至关重要。如果发生劫持事件,你将拥有另一层不易绕过的安全层。
6. 不要在TrueCaller等类似应用中公开自己的信息
Truecaller是一款帮助用户将那些骚扰电话或者不想接的电话全部屏蔽的软件,但是,正如我们之前提到的,欺诈者使用此工具来查找有关目标的更多信息。因此,请不要在TrueCaller等类似应用中公开自己的信息。
尽管使用诸如Evilginx之类的工具对2FA进行攻击正变得越来越复杂,但软件令牌仍然按照当今的标准提供合理的安全级别。虽然并没有“灵丹妙药”来解决该问题,但是宣布“基于SMS的2FA”的死亡是可行的方法——在网上银行、社交媒体和嗲你在邮件服务方面尤其如此。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。