公司可以悄悄地将你的短信转发给黑客，有时只需16美元

有一个新发现的短信攻击，几乎看不见的受害者，似乎是由电信业批准，在主板的一份报告中发现。该攻击使用针对企业的短信管理服务，将受害者的短信悄悄地重定向给黑客，让他们可以访问通过短信发送的任何双因素代码或登录链接。...

有一个新发现的短信攻击，几乎看不见的受害者，似乎是由电信业批准，在主板的一份报告中发现。该攻击使用针对企业的短信管理服务，将受害者的短信悄悄地重定向给黑客，让他们可以访问通过短信发送的任何双因素代码或登录链接。

有时，提供这项服务的公司不会向被重定向的号码发送任何类型的消息，或者请求许可，甚至通知用户他们的短信现在将发送给其他人。使用这些服务，攻击者不仅能够截获传入的文本消息，而且还可以回复。

主板记者约瑟夫·考克斯（Joseph Cox）让人成功地对他的号码实施了攻击，攻击者只花了16美元。当他联系其他提供短信重定向服务的公司时，其中一些公司报告说他们以前见过这种攻击。

据报道，主板使用的特定公司已经修复了这一漏洞，但还有许多其他公司也像它一样——而且似乎没有任何人追究这些公司的责任。当被问及为什么会发生这种攻击时，AT&T和Verizon只是让Verge与无线行业的贸易组织CTIA联系。CTIA没有立即发表评论，但它告诉主板，它“没有迹象表明任何涉及潜在威胁的恶意活动或任何客户受到影响。”

黑客们已经找到了许多方法来利用短信和**系统来获取他人的短信——像SIM卡交换和SS7攻击这样的方法已经在野外出现了好几年了，有时甚至被用来对付引人注目的目标。但换SIM卡后，你很容易就知道自己受到了攻击：你的**将完全与蜂窝网络断开连接。但是通过短信重定向，你可能需要很长时间才能注意到其他人正在收到你的消息——这对于攻击者来说已经足够长的时间来破坏你的帐户了。

短信攻击的主要问题是它们可能对您的其他帐户的安全产生的影响。如果攻击者能够获得发送到您电话号码的密码重置链接或代码，那么他们就可以访问该链接并能够进入您的帐户。文本消息有时也用于发送登录链接，如主板上的Postmates、WhatsApp和Bumble。

这也提醒我们，如果可能的话，任何与安全相关的事情都应该避免使用短信——对于双因素身份验证，最好使用googleauthenticator或Authy之类的应用程序。一些密码管理器甚至支持2FA内置，比如1Password或我们推荐的许多其他免费管理器。也就是说，仍然有一些服务和公司只把短信作为第二个因素——银行业因此臭名昭著。对于这些服务，你需要确保你的密码是安全的和唯一的，然后推动他们从短信和**行业的工作，使自己更安全。