本周，Vice发布了一个惊人的故事，揭示了攻击者窃取你的短信是多么容易。他们不需要访问你的**；他们甚至不需要你的SIM卡。他们只需要付一小笔钱，说服一个VoIP批发商他们是一个转售商（也是一件小事），并签署一份表格，发誓他们可以路由消息到您的号码到另一个。

正如作者Lucky225在媒体上所写：

直到2021年3月11日星期四的某个时候，NetNumber还允许任何和所有无线电话号码在没有任何授权或验证的情况下重新分配或劫持其nnid。据推测，在作者和其他记者寻求评论的同时，在证明了概念之后，他们似乎设计了一个方案，暂时不允许劫持无线号码，假装这不再是一个问题。”

[...]

此外，人们在各种服务中使用VoIP号码而不是真实的无线号码，这些人仍然容易受到这种攻击，而只有那些不关心隐私和使用真实移动号码的人才受到保护。”

我不想深入了解这种方法的本质，这种方法可以用来将你的短信从**中传送出去，但事实上，这是（而且是？）很容易做到的，而且你没有收到批准查询，甚至没有收到正在发生的通知，这让人感到不安。

虽然我确信这些业务类文本消息服务正在加强其安全性，但攻击者只需要找到一个与该号码的实际所有者不验证这种更改的服务，并且它是再见，传入的文本消息。这包括在登录未知设备上的帐户时，用于验证您是否是您的身份验证代码。

我们以前说过，我们会一直这么说，直到所有的网站和服务最终听到：这是不够安全的，仅仅使用短信，或两步认证，以保护一个人的帐户未经授权的访问。只要有可能，你应该使用一个专用的双因素身份验证应用程序，它需要物理访问你的硬件（通常是你的**）来完成帐户的登录过程。短信并不像你想象的那么安全。虽然你可能永远不会成为短信劫持的受害者，但本周的新闻显示，这绝非不可能。

很少有人会把手放在你的智能**上，想办法绕过你现有的安全机制（触摸或面部识别）来解锁它，通过你放在特定2FA应用程序上的任何二级安全机制（比如PIN），然后用它闯入你的账户。到那时，他们可能已经放弃了，或者你将重置你的2FA，并为你的关键客户在新设备上设置它，使旧代码完全无效。

你不必注册一个监控工具，当你的电话号码的短信被传送到别处时，就会提醒你(充分披露：上述媒体作者是一家此类公司的首席信息官（Okey）。但是，您可能只想这样做，因为有很多服务仍然使用文本消息，而且只使用文本消息来向您发送登录代码。

如果您的医疗保健提供商、游戏网站或其他网站不允许您使用双因素身份验证（只有两步身份验证），您几乎无能为力。选择一个强大的，独特的密码，锁定它与一个伟大的密码管理应用程序，并希望最好的。另外，不要用明显的答案回答你的安全问题；这些也应该是“密码”，你应该像跟踪任何其他密码一样跟踪它们。

最后，不要使用两步身份验证，如果这是你的全部。虽然它不是100%安全的，但最好是启用它，并强制某人跳转通过额外的环闯入您的帐户。如果你能在组合中加入一点额外的安全性，不要仅仅依赖于你的登录+密码组合。

还有一些更极端的方法，比如使用一个专用的号码作为登录码，而这个号码与你的实际电话号码根本没有关联(我想到了谷歌语音；你可以让它通过电子邮件发送你收到的短信，你也可以通过双因素身份验证锁定你的Google帐户。）虽然这可能不会阻止任何人随意劫持这个号码，但至少它可以帮助你免受有针对性的攻击。好吧，更安全。安全不是很有趣吗？