你認為你做得很好。你的保安很聰明。您的所有帳戶都啟用了雙因素身份驗證。但駭客有辦法繞過這一點：SIM卡交換。

這是一種毀滅性的攻擊方法，對那些成為受害者的人來說會造成可怕的後果。幸運的是，有辦法保護你自己。下面是它的工作原理，以及你能做什麼。

什麼是sim卡交換攻擊(a sim-swap attack)？

“SIM卡交換”並沒有什麼固有的問題。如果您丟失了**，運營商會進行SIM卡交換，並將您的**號碼移動到新的SIM卡上。這是一項例行的****任務。

問題是駭客和有組織的犯罪分子已經找到了如何欺騙電話公司進行SIM卡交換的方法。然後，他們可以訪問受基於SMS的雙因素身份驗證（2FA）保護的帳戶。

突然，你的電話號碼和別人的電話聯絡起來了。罪犯會收到所有的簡訊和電話。

雙因素身份驗證是針對密碼洩露問題而設計的。許多網站無**確保護密碼。它們使用雜湊和鹽析來防止第三方讀取原始形式的密碼。

更糟糕的是，許多人在不同的網站上重複使用密碼。當一個網站遭到駭客攻擊時，攻擊者現在擁有了攻擊其他平臺帳戶所需的一切，從而產生滾雪球效應。

為了安全起見，許多服務要求人們在登入到帳戶時提供一個特殊的一次性密碼（OTP）。這些OTP是動態生成的，僅有效一次。它們也會在短時間後過期。

為了方便起見，很多網站都會將這些OTP以簡訊的形式傳送到你的**上，這有其自身的風險。如果攻擊者可以透過竊取您的**或進行SIM卡交換來獲取您的電話號碼，會發生什麼情況？這讓那個人幾乎可以不受限制地進入你的數字生活，包括你的銀行和金融賬戶。

那麼，SIM交換攻擊是如何工作的呢？好吧，這取決於攻擊者誘使一個電話公司的僱員將你的電話號碼轉移到他或她控制的SIM卡上。這種情況可以透過電話進行，也可以親自在電話商店進行。

要做到這一點，攻擊者需要了解受害者的一些情況。幸運的是，社交媒體充斥著可能會愚弄安全問題的傳記細節。你的第一所學校，你的寵物，或者你的愛人，還有你母親的孃家姓都可以在你的社交賬戶上找到。當然，如果失敗了，網路釣魚總是存在的。

SIM卡交換攻擊非常複雜且耗時，因此更適合針對特定個人的目標入侵。很難按比例完成。然而，也有一些廣泛的SIM卡交換攻擊的例子。一個巴西有組織犯罪團伙在相對較短的時間內成功地交換了5000名受害者。

一個“埠輸出”的騙局是類似的，涉及劫持您的電話號碼“移植”到一個新的蜂窩運營商。

相關：簡訊雙因素認證不是完美的，但你仍然應該使用它

誰的風險最大？

由於所需的努力，SIM卡交換攻擊往往有特別驚人的結果。動機幾乎總是經濟上的。

最近，加密貨幣交易所和錢包成為熱門目標。與傳統金融服務不同的是，比特幣不存在退單，這一事實加劇了比特幣的受歡迎程度。一旦寄出，就不見了。

此外，任何人都可以建立加密貨幣錢包，而無需向銀行註冊。這是你最接近匿名的地方，錢是有關的，這使它更容易洗贓款。

比特幣投資者邁克爾·塔平（Michael Tarpin）是一位眾所周知的受害者，他在一次SIM交換攻擊中損失了1500枚硬幣。這發生在比特幣創下歷史最高值的幾周前。當時，塔平的資產價值超過2400萬美元。

當ZDNet記者馬修·米勒（Matthew Miller）成為SIM卡交換攻擊的受害者時，駭客試圖用他的銀行購買價值2.5萬美元的比特幣。幸運的是，在錢離開他的賬戶之前，銀行能夠撤銷這筆費用。然而，攻擊者仍然能夠垃圾米勒的整個網路生活，包括他的谷歌和推特帳戶。

有時，SIM卡交換攻擊的目的是讓受害者難堪。2019年8月30日，Twitter和Square創始人傑克·多西（Jack Dorsey）吸取了這個殘酷的教訓。駭客劫持了他的賬戶，並在他的資訊源上貼上種族主義和反猶太主義的綽號，數百萬人跟帖。

你怎麼知道襲擊發生了？

SIM卡交換帳戶的第一個標誌是SIM卡失去所有服務。您將無法透過資料計劃接收或傳送簡訊或電話，或訪問網際網路。

在某些情況下，您的電話供應商可能會在將您的號碼移動到新的SIM卡之前，向您傳送一條簡訊，通知您正在進行交換。米勒就是這樣：

“At 11:30 pm on Monday, 10 June, my oldest daughter shook my shoulder to wake me up from a deep sleep. She said that it appeared my Twitter account had been hacked. It turns out that things were much worse than that.

After rolling out of bed, I picked up my Apple iPhone XS and saw a text message that read, ‘T-Mobile alert: The SIM card for xxx-xxx-xxxx has been changed. If this change is not authorized, call 611.'”

如果您仍然可以訪問您的電子郵件帳戶，您可能還會開始看到奇怪的活動，包括帳戶更改通知和您沒有下的線上訂單。

你應該如何迴應？

當發生SIM卡交換攻擊時，您必須立即採取果斷的行動，以防止情況變得更糟。

首先，打電話給你的銀行和信用卡公司，要求凍結你的賬戶。這將防止攻擊者使用您的資金進行欺詐性購買。因為你實際上也是身份盜竊的受害者，所以聯絡各信用機構並要求凍結你的信用也是明智的。

然後，透過將盡可能多的帳戶移動到一個新的、未受汙染的電子郵件帳戶，嘗試“領先”攻擊者。取消舊電話號碼的連結，並使用強密碼（和全新密碼）。如果您無法及時聯絡到任何客戶，請聯絡****部。

最後，你應該和警察聯絡並報案。我說得太多了你是犯罪的受害者。許多房主的保險單包括身份盜竊保護。提交一份警方報告可能會讓你對你的保單提出索賠，並追回一些錢。

如何保護自己免受攻擊

當然，預防總比治療好。防止SIM卡交換攻擊的最好方法就是不要使用基於SMS的2FA。幸運的是，有一些令人信服的替代方案。

你可以使用基於應用的身份驗證程式，比如googleauthenticator。對於另一個安全級別，您可以選擇購買物理驗證器令牌，如YubiKey或Google Titan金鑰。

如果你一定要使用基於文字或通話的2FA，你應該考慮購買一張其他地方都不用的專用SIM卡。另一種選擇是使用谷歌語音號碼，儘管這在大多數國家是不可用的。

不幸的是，即使您使用基於應用程式的2FA或物理安全金鑰，許多服務也會允許您繞過這些，透過傳送到您的電話號碼的簡訊重新訪問您的帳戶。像googleadvancedprotection這樣的服務為那些有可能成為攻擊目標的人提供了更加防彈的安全保障，“比如記者、活動家、商業領袖和政治競選團隊。”

相關：什麼是谷歌高階保護和誰應該使用它？