据新闻媒体网站《Motherboard》报导指出,最近发现一种专门针对 SMS 简讯的恶意攻击,受害者几乎感受不到攻击,且讽刺的是,电信产业似乎间接批准这种攻击。这次利用专门锁定企业的简讯发送管理服务,以便神不知鬼不觉将受害者简讯转发给骇客,获得透过简讯发送的双因素验证(2FA)码或登录连结。
虽然提供这类服务的公司有时并不会将任何类型简讯发送给已重定向的电话号码,而会请求许可,甚至会通知用户简讯将发送给其他人。但透过这些服务,攻击者不仅能拦截内送简讯,甚至还可代替回覆。
《Motherboard》记者 Joseph Cox 就因电话号码遭骇客攻击,将自己的经历公诸于世,最夸张的是,攻击者只花 16 美元就搞定一切。当 Cox 联络其他简讯转发服务供应商时,其中一些供应商回报说以前见过这种攻击。
据报导,《Motherboard》使用服务的公司已修复漏洞,但仍有许多供应商没有任何动作,且似乎也没人要求这些公司负责。当被问到为什幺会让这种攻击真的发生,AT&T 和 Verizon 只建议 Cox 联繫美国行动通讯产业协会(Cellular Telecommunications Industry Association,CTIA)。但 CTIA 并未立即发表评论,仅表示目前没有迹象表明有任何潜在威胁的恶意活动,抑或任何顾客受影响。
避免再使用简讯验证身分,骇客有可能拿到密码并劫持帐号
长久以来,骇客早发现许多利用 SMS 和蜂巢系统漏洞以获取他人简讯的攻击手法,如 SIM 卡劫持(SIM Swapping)和 SS7(Signaling System Number 7)攻击就流传好多年了,有时甚至用来锁定名人。但透过 SIM Swapping 攻击,使用者很容易查觉自己被攻击,因为使用者的手机完全连不到蜂巢网路。但如果透过简讯转发,可能要过很久才会发觉有人收了你的简讯,这让攻击者有足够时间劫持你的帐号。
简讯攻击的主要疑虑莫过于可其他帐号的安全造成影响。如果攻击者能将发送到你手机号码的密码重置连结或代码拿到手,他们就能劫持你的帐号。《Motherboard》透过 Postmates、WhatsApp 和 Bumble 发现,有时简讯也会用来发送登录连结。
这着实提醒我们,今后与安全相关的任何事情都应儘可能避免使用简讯。对 2FA 验证,最好使用像 Google Authenticator 或 Authy 之类 App。一些密码管理器甚至支援 2FA 内建,如 1Password。当前仍不乏有许多服务和公司只把简讯当成第二身分验证因素,尤以金融业最臭名昭彰。你必须确保密码安全且独一无二,然后再致力远离简讯服务,并促使电信产业进一步提升安全性。
- Companies can silently reroute your texts to hackers, sometimes for just $16
