短信验证不安全!黑客轻松就可拿到你的短信和密码!

风哥聊科技

发布时间: 03-1713:35数码领域创作者

据国外的新闻媒体网站《Motherboard》报道指出,最近发现了一种专门针对SMS 短信的恶意攻击,受害者几乎感受不到攻击,且讽刺的是,电信行业运营商似乎间接批准默许这种攻击。 这次利用专门锁定企业的短信发送管理服务,以便神不知鬼不觉将受害者短信转发给黑客,获得通过短信发送的验证码或登录连接。

虽然提供这类服务的公司有时并不会将任何类型短信发送给已重定向的电话号码,而会请求许可,甚至会通知用户短信将发送给其他人。 但通过这些服务,攻击者不仅能拦截内送短信,甚至还可代替回覆短信。

《Motherboard》记者Joseph Cox 就因电话号码遭黑客攻击,将自己的经历公诸于世,最夸张的是,攻击者只花16 美元就可以搞定一切。 当Cox 联系其他短信转发服务供应商时,其中一些供应商回应说以前见过这种攻击。

据报道,《Motherboard》使用服务的公司已修复漏洞,但仍有许多供应商没有任何动作,且似乎也没人要求这些公司负责。 当被问到为什么会让这种攻击真的发生,AT&T 和Verizon 只建议Cox 联系美国移动通信产业协会(Cellular Telecommunications Industry Association,CTIA)。 但CTIA 并未立即发表评论,仅表示目前没有迹象表明有任何潜在威胁的恶意活动,抑或任何顾客受到影响。

避免再使用短信验证身份,黑客有可能拿到密码并劫持帐号

长久以来,黑客已发现许多利用SMS 和蜂巢系统漏洞以获取他人短信的攻击手法,如SIM 卡劫持(SIM Swapping)和SS7(Signaling System Number 7)攻击就流传好多年了,有时甚至用来锁定名人。 但通过SIM Swapping 攻击,使用者很容易查觉自己被攻击,因为使用者的手机完全连不到蜂巢网络。 但如果通过短信转发,可能要过很久才会发觉有人收了你的短信,这让攻击者有足够时间劫持你的账号。

短信攻击的主要疑虑莫过于对其他帐号的安全造成影响。 如果攻击者能将发送到你手机号码的密码重置连接或代码拿到手,他们就能劫持你的账号。 《Motherboard》通过Postmates、WhatsApp 和Bumble 发现,有时短信也会用来发送登录联结。

这着实提醒我们,今后与安全相关的任何事情都应尽可能避免使用短信。 对于2FA 验证,做得好的像是谷歌身份验证器或Authy 之类的App。 一些密码管理器甚至支持2FA 内置,如1Password。 当前仍不乏有许多服务和公司只把短信当成第二身份验证的因素,尤以金融业最为显著。 你必须确保密码安全且独一无二,然后再致力远离短信服务,并促使电信产业进一步提升安全性。

举报/反馈