当ZDNet的Matthew Miller遭遇SIM卡交换攻击时，他形容这是一个“恐怖故事”，导致他丢失了“数十年的数据”；一个多星期后，他仍在处理后遗症，包括推特和谷歌在内的一些主要科技公司也无法保证他能够重新获得攻击者捣乱的信息。

SIM卡交换是一件大事，特别是如果你也积极参与加密货币社区-一个伟大的方式让攻击者赚一点钱，你的生活一团糟。谢天谢地，对您的帐户安全实践进行一些小小的调整可以帮助您降低这个恼人的问题毁掉您一天（或一个月）的可能性。

什么是sim卡交换(sim swapping)？

SIM卡交换涉及黑客欺骗你的**供应商，使其相信你正在另一台设备上激活你的SIM卡。换句话说，他们窃取了你的电话号码并将其与SIM卡关联。

如果成功，此攻击将停用您的设备，并且他们的设备现在将成为与您的电话号码和SIM卡相关的所有文本、电话、数据和帐户的目的地。有了这些信息，攻击者可以很容易地访问你的应用程序帐户、个人数据和财务信息。他们甚至可以永远把你关在服务之外。

想想有多少应用程序和帐户使用**号码来验证您的身份，即使您使用用户名和密码登录时也不会验证身份，攻击者不知道，但您将使用哪些恢复机制重置此密钥信息。如果攻击者仅仅通过接管你的电话号码就可以假装他们是你，那么世界上所有的帐户安全性都不会有多大的好处。

sim卡交换骗局是什么样子

一个人不需要物理访问您的**就可以进行SIM卡交换，他们可以远程完成这一切，无论您的设备的品牌和型号，或您的服务提供商。他们只需要有足够的信息来说服客户支持代理他们就是你。你可能不会看到一个SIM卡交换诈骗朝你的方向前进，直到为时已晚。

最简单的方法告诉你已经被SIM卡交换的目标是当你看到从你的**奇怪的行为，如无法发送或接收短信和电话，尽管没有关闭服务；从您的提供商处收到您的电话号码或SIM卡已在其他地方激活的通知；或者无法登录任何重要帐户。考虑一下ZDNet的Matthew Miller最近的例子：

“6月10日星期一晚上11:30，我的大女儿摇了摇我的肩膀，把我从沉睡中叫醒。她说我的Twitter账户似乎被黑客入侵了。事实证明，情况远比这糟糕。

起床后，我拿起我的苹果iphonexs，看到一条短信，上面写着：“T-Mobile提醒：xxx的SIM卡已经换了。如果这项更改未获授权，请致电611。“好吧，鉴于T-Mobile如何夺走我的**服务，我无法致电611寻求帮助，因此这是一条毫无价值的信息。”

防止sim卡交换攻击

现在针对SIM卡交换攻击建立防御要比处理其中一个攻击的后果容易得多，一个是小麻烦，另一个会消耗你一周（或更多）。

谨防网络钓鱼诈骗

SIM卡交换攻击的第一步通常是（但不总是）网络钓鱼。带有恶意链接的粗略电子邮件、伪造的登录屏幕、伪造的地址栏钓鱼诈骗可以采取多种形式，但如果你知道要注意什么，它们很容易被发现。不要点击链接、下载程序或登录你不认识的网站。如果攻击者从这些攻击中获得足够的关于您的关键数据，他们将拥有尝试SIM卡交换所需的数据。

减少网上过多的个人数据

无论是除了网络钓鱼还是代替网络钓鱼，SIM卡交换的另一个早期部分涉及社会工程，基本上收集尽可能多的关于你的数据，这样黑客就可以通过电话或电子邮件可靠地为你传递信息。

为了防止这种情况发生，请尽可能多地保留您的电话号码、出生日期、邮寄地址和所有其他有损隐私的信息，如果可以避免，请不要公开共享这些信息。其中一些数据对于某些服务是必需的，但您不需要在社交媒体上搜索这些数据。你应该取消和删除任何帐户，你不再使用作为额外的预防措施。

保护您的帐户

许多数字帐户都有设置，可以帮助您收回您的帐户，如果他们曾经被盗，但他们需要正确设置之前，帐户被盗，以便有任何帮助。其中包括：

• 创建登录和密码更改所需的PIN码。这是特别重要的设置与您的**运营商，因为它是一个伟大的防御SIM卡劫持。
• 一种合适的双因素安全方法，它依赖于物理设备，如googleauthenticator或Authy，而不是基于SMS的登录验证。如果你真的想玩的话，你也可以使用一个硬件令牌来保护你的帐户。
• 强力解答与您的个人信息无关的安全恢复问题。
• 在可能的情况下，将您的智能**电话号码与您的帐户断开链接(如果你的敏感账户需要谷歌语音号码，你可以随时使用免费的谷歌语音号码。）
• 为每个帐户使用长密码、随机密码和唯一密码。
• 使用加密的密码管理器。
• 不要使用你最喜欢的服务（Google、Facebook等）登录其他服务；攻击者只需闯入其中一个就可以访问你更多的数字生活。

您还应注意可用于确定您为合法账户持有人的重要账户相关信息，例如：

• 您创建帐户的月份和年份
• 帐户上以前的屏幕名称
• 与帐户关联的物理地址
• 与账户或银行对账单一起使用的信用卡号码，可以确认您是购买的人
• 如果帐户用于在线视频游戏，则由帐户创建的内容，如角色名称

同样，保留所有关键帐户的列表将使应对SIM交换或类似身份证被盗更容易，因为您可以安全地梳理每个帐户并更改密码、电子邮件地址等。将所有这些信息安全地存储起来，即使是作为文本文件的物理打印输出，也可能不会将其保存在与数字实体关联的服务上（可以分解为）。

分散您的在线足迹

考虑使用加密的、开源的应用程序和服务，而不仅仅是谷歌、苹果、微软的应用程序，将重要数据分散开来，最敏感的数据存储在安全性最高的地方。这适用于电子邮件、短信应用程序、银行应用程序等。Google Drive和iCloud都很棒，但如果所有东西都集中在一个驱动器中，包括个人财务信息等，你就完蛋了。

此外，您应该将某些数据完全排除在云中。不要把你的报税单扔进你的谷歌硬盘，因为如果有人要访问，他们会突然有一大堆关于你的重要信息（还有很多他们可以用来假装自己是你的信息）。不管怎样，请不要把你的常用密码、备份登录密钥、密码管理器的“帐户恢复”PDF文件保存在一个简单的云存储帐户中。

如何响应sim卡交换攻击

如果您怀疑自己是SIM卡交换或任何形式的身份盗窃的受害者，请快速完成以下所有步骤：

• 向当地警察局和联邦贸易委员会提交身份盗窃报告。
• 提醒您的银行/金融机构注意潜在的身份报告，并请求冻结您的帐户和银行卡，然后联系所有三家信用机构（益百利、Equifax和TransUnion），请求冻结您的信用并标记潜在的信用欺诈。如果您怀疑您的税务身份或社会保障号码被泄露，请联系国税局。为了以防万一，你甚至可能想更改你的银行账户或信用卡号码。
• 向您的**服务提供商报告身份被盗。但是，要注意，除非你能充分证明这件事已经发生，并且你是合法的账户持有人，否则他们可能做不了什么（因为黑客把你的电话号码当成了黑客，等等）。
• 如果您有脱机/模拟帐户及其信息列表，请更改每个帐户的电子邮件地址和密码（确保新的电子邮件地址不与您的电话号码绑定；一个新的最有效），并更新任何其他帐户安全措施。最重要的出发点是你的电子邮件地址和金融机构，包括PayPal、Venmo等，以及任何与你的电话号码或谷歌/苹果账户相关的账户。
• 重要提示：如果提供了该选项，则不要向您的电话号码发送确认码或重置链接。这些将被发送给黑客，而不是你。
• 如果您无法登录帐户或重置密码，请尽快与该帐户的****联系并解释情况。你将被要求证明你的身份，所以拥有尽可能多的有关帐户的信息将有助于你夺回控制权。