你认为你做得很好。你的保安很聪明。您的所有帐户都启用了双因素身份验证。但黑客有办法绕过这一点：SIM卡交换。

这是一种毁灭性的攻击方法，对那些成为受害者的人来说会造成可怕的后果。幸运的是，有办法保护你自己。下面是它的工作原理，以及你能做什么。

什么是sim卡交换攻击(a sim-swap attack)？

“SIM卡交换”并没有什么固有的问题。如果您丢失了**，运营商会进行SIM卡交换，并将您的**号码移动到新的SIM卡上。这是一项例行的****任务。

问题是黑客和有组织的犯罪分子已经找到了如何欺骗电话公司进行SIM卡交换的方法。然后，他们可以访问受基于SMS的双因素身份验证（2FA）保护的帐户。

突然，你的电话号码和别人的电话联系起来了。罪犯会收到所有的短信和电话。

双因素身份验证是针对密码泄露问题而设计的。许多网站无**确保护密码。它们使用散列和盐析来防止第三方读取原始形式的密码。

更糟糕的是，许多人在不同的网站上重复使用密码。当一个网站遭到黑客攻击时，攻击者现在拥有了攻击其他平台帐户所需的一切，从而产生滚雪球效应。

为了安全起见，许多服务要求人们在登录到帐户时提供一个特殊的一次性密码（OTP）。这些OTP是动态生成的，仅有效一次。它们也会在短时间后过期。

为了方便起见，很多网站都会将这些OTP以短信的形式发送到你的**上，这有其自身的风险。如果攻击者可以通过窃取您的**或进行SIM卡交换来获取您的电话号码，会发生什么情况？这让那个人几乎可以不受限制地进入你的数字生活，包括你的银行和金融账户。

那么，SIM交换攻击是如何工作的呢？好吧，这取决于攻击者诱使一个电话公司的雇员将你的电话号码转移到他或她控制的SIM卡上。这种情况可以通过电话进行，也可以亲自在电话商店进行。

要做到这一点，攻击者需要了解受害者的一些情况。幸运的是，社交媒体充斥着可能会愚弄安全问题的传记细节。你的第一所学校，你的宠物，或者你的爱人，还有你母亲的娘家姓都可以在你的社交账户上找到。当然，如果失败了，网络钓鱼总是存在的。

SIM卡交换攻击非常复杂且耗时，因此更适合针对特定个人的目标入侵。很难按比例完成。然而，也有一些广泛的SIM卡交换攻击的例子。一个巴西有组织犯罪团伙在相对较短的时间内成功地交换了5000名受害者。

一个“端口输出”的骗局是类似的，涉及劫持您的电话号码“移植”到一个新的蜂窝运营商。

相关：短信双因素认证不是完美的，但你仍然应该使用它

谁的风险最大？

由于所需的努力，SIM卡交换攻击往往有特别惊人的结果。动机几乎总是经济上的。

最近，加密货币交易所和钱包成为热门目标。与传统金融服务不同的是，比特币不存在退单，这一事实加剧了比特币的受欢迎程度。一旦寄出，就不见了。

此外，任何人都可以创建加密货币钱包，而无需向银行注册。这是你最接近匿名的地方，钱是有关的，这使它更容易洗赃款。

比特币投资者迈克尔·塔平（Michael Tarpin）是一位众所周知的受害者，他在一次SIM交换攻击中损失了1500枚硬币。这发生在比特币创下历史最高值的几周前。当时，塔平的资产价值超过2400万美元。

当ZDNet记者马修·米勒（Matthew Miller）成为SIM卡交换攻击的受害者时，黑客试图用他的银行购买价值2.5万美元的比特币。幸运的是，在钱离开他的账户之前，银行能够撤销这笔费用。然而，攻击者仍然能够垃圾米勒的整个网络生活，包括他的谷歌和推特帐户。

有时，SIM卡交换攻击的目的是让受害者难堪。2019年8月30日，Twitter和Square创始人杰克·多西（Jack Dorsey）吸取了这个残酷的教训。黑客劫持了他的账户，并在他的信息源上贴上种族主义和反犹太主义的绰号，数百万人跟帖。

你怎么知道袭击发生了？

SIM卡交换帐户的第一个标志是SIM卡失去所有服务。您将无法通过数据计划接收或发送短信或电话，或访问互联网。

在某些情况下，您的电话供应商可能会在将您的号码移动到新的SIM卡之前，向您发送一条短信，通知您正在进行交换。米勒就是这样：

“At 11:30 pm on Monday, 10 June, my oldest daughter shook my shoulder to wake me up from a deep sleep. She said that it appeared my Twitter account had been hacked. It turns out that things were much worse than that.

After rolling out of bed, I picked up my Apple iPhone XS and saw a text message that read, ‘T-Mobile alert: The SIM card for xxx-xxx-xxxx has been changed. If this change is not authorized, call 611.'”

如果您仍然可以访问您的电子邮件帐户，您可能还会开始看到奇怪的活动，包括帐户更改通知和您没有下的在线订单。

你应该如何回应？

当发生SIM卡交换攻击时，您必须立即采取果断的行动，以防止情况变得更糟。

首先，打电话给你的银行和信用卡公司，要求冻结你的账户。这将防止攻击者使用您的资金进行欺诈性购买。因为你实际上也是身份盗窃的受害者，所以联系各信用机构并要求冻结你的信用也是明智的。

然后，通过将尽可能多的帐户移动到一个新的、未受污染的电子邮件帐户，尝试“领先”攻击者。取消旧电话号码的链接，并使用强密码（和全新密码）。如果您无法及时联系到任何客户，请联系****部。

最后，你应该和警察联系并报案。我说得太多了你是犯罪的受害者。许多房主的保险单包括身份盗窃保护。提交一份警方报告可能会让你对你的保单提出索赔，并追回一些钱。

如何保护自己免受攻击

当然，预防总比治疗好。防止SIM卡交换攻击的最好方法就是不要使用基于SMS的2FA。幸运的是，有一些令人信服的替代方案。

你可以使用基于应用的身份验证程序，比如googleauthenticator。对于另一个安全级别，您可以选择购买物理验证器令牌，如YubiKey或Google Titan密钥。

如果你一定要使用基于文本或通话的2FA，你应该考虑购买一张其他地方都不用的专用SIM卡。另一种选择是使用谷歌语音号码，尽管这在大多数国家是不可用的。

不幸的是，即使您使用基于应用程序的2FA或物理安全密钥，许多服务也会允许您绕过这些，通过发送到您的电话号码的短信重新访问您的帐户。像googleadvancedprotection这样的服务为那些有可能成为攻击目标的人提供了更加防弹的安全保障，“比如记者、活动家、商业领袖和政治竞选团队。”

相关：什么是谷歌高级保护和谁应该使用它？