有一個新發現的簡訊攻擊,幾乎看不見的受害者,似乎是由電信業批准,在主機板的一份報告中發現。該攻擊使用針對企業的簡訊管理服務,將受害者的簡訊悄悄地重定向給駭客,讓他們可以訪問透過簡訊傳送的任何雙因素程式碼或登入連結。
有時,提供這項服務的公司不會向被重定向的號碼傳送任何型別的訊息,或者請求許可,甚至通知使用者他們的簡訊現在將傳送給其他人。使用這些服務,攻擊者不僅能夠截獲傳入的文字訊息,而且還可以回覆。
主機板記者約瑟夫·考克斯(Joseph Cox)讓人成功地對他的號碼實施了攻擊,攻擊者只花了16美元。當他聯絡其他提供簡訊重定向服務的公司時,其中一些公司報告說他們以前見過這種攻擊。
據報道,主機板使用的特定公司已經修復了這一漏洞,但還有許多其他公司也像它一樣——而且似乎沒有任何人追究這些公司的責任。當被問及為什麼會發生這種攻擊時,AT&T和Verizon只是讓Verge與無線行業的貿易組織CTIA聯絡。CTIA沒有立即發表評論,但它告訴主機板,它“沒有跡象表明任何涉及潛在威脅的惡意活動或任何客戶受到影響。”
駭客們已經找到了許多方法來利用簡訊和**系統來獲取他人的簡訊——像SIM卡交換和SS7攻擊這樣的方法已經在野外出現了好幾年了,有時甚至被用來對付引人注目的目標。但換SIM卡後,你很容易就知道自己受到了攻擊:你的**將完全與蜂窩網路斷開連線。但是透過簡訊重定向,你可能需要很長時間才能注意到其他人正在收到你的訊息——這對於攻擊者來說已經足夠長的時間來破壞你的帳戶了。
簡訊攻擊的主要問題是它們可能對您的其他帳戶的安全產生的影響。如果攻擊者能夠獲得傳送到您電話號碼的密碼重置連結或程式碼,那麼他們就可以訪問該連結並能夠進入您的帳戶。文字訊息有時也用於傳送登入連結,如主機板上的Postmates、WhatsApp和Bumble。
這也提醒我們,如果可能的話,任何與安全相關的事情都應該避免使用簡訊——對於雙因素身份驗證,最好使用googleauthenticator或Authy之類的應用程式。一些密碼管理器甚至支援2FA內建,比如1Password或我們推薦的許多其他免費管理器。也就是說,仍然有一些服務和公司只把簡訊作為第二個因素——銀行業因此臭名昭著。對於這些服務,你需要確保你的密碼是安全的和唯一的,然後推動他們從簡訊和**行業的工作,使自己更安全。
...下內容:有時很難區分它們。在這種情況下,你應該訪問公司網站,並按照他們的官方下載連結從應用商店下載應用程式。6當心假廣告承包(附加)廣告軟體最簡單的方法之一是透過廣告。大多數線上廣告、橫幅、優惠券等,...
...超音速的新應用程式。緊隨其後的是hot-on-the-Uptime,一款可以讓你和朋友一起觀看YouTube影片的應用程式。超音速是另一個訊息應用程式,但它做了一些有趣的表情。 ...
... 這一間諜軟體名為Pegasus,是由移動安全研究公司Lookout在多倫多大學公民實驗室的協助下發現的。他們認為,這一間諜軟體已經流傳了一段時間,不過主要用於感染擁有敏感資訊的高價值目標。 ...
...者選擇退出這一資料共享安排。然而,在這幾年裡,他們悄悄地取消了這一選擇。 ...
... 簡訊閘道器不僅僅是為了讓我們的生活更方便。公司將其作為一種同時向數千部**傳送資訊的方式。雖然這項服務並不總是免費的。 ...
...碼放在這個名單上,可以防止電話銷售員和其他不需要的公司打電話給你。但是,它不包括簡訊。因此,如果你只擔心垃圾簡訊,你不需要麻煩不要打電話。 ...