公司可以悄悄地將你的簡訊轉發給駭客，有時只需16美元

有一個新發現的簡訊攻擊，幾乎看不見的受害者，似乎是由電信業批准，在主機板的一份報告中發現。該攻擊使用針對企業的簡訊管理服務，將受害者的簡訊悄悄地重定向給駭客，讓他們可以訪問透過簡訊傳送的任何雙因素程式碼或登入連結。...

有一個新發現的簡訊攻擊，幾乎看不見的受害者，似乎是由電信業批准，在主機板的一份報告中發現。該攻擊使用針對企業的簡訊管理服務，將受害者的簡訊悄悄地重定向給駭客，讓他們可以訪問透過簡訊傳送的任何雙因素程式碼或登入連結。

有時，提供這項服務的公司不會向被重定向的號碼傳送任何型別的訊息，或者請求許可，甚至通知使用者他們的簡訊現在將傳送給其他人。使用這些服務，攻擊者不僅能夠截獲傳入的文字訊息，而且還可以回覆。

主機板記者約瑟夫·考克斯（Joseph Cox）讓人成功地對他的號碼實施了攻擊，攻擊者只花了16美元。當他聯絡其他提供簡訊重定向服務的公司時，其中一些公司報告說他們以前見過這種攻擊。

據報道，主機板使用的特定公司已經修復了這一漏洞，但還有許多其他公司也像它一樣——而且似乎沒有任何人追究這些公司的責任。當被問及為什麼會發生這種攻擊時，AT&T和Verizon只是讓Verge與無線行業的貿易組織CTIA聯絡。CTIA沒有立即發表評論，但它告訴主機板，它“沒有跡象表明任何涉及潛在威脅的惡意活動或任何客戶受到影響。”

駭客們已經找到了許多方法來利用簡訊和**系統來獲取他人的簡訊——像SIM卡交換和SS7攻擊這樣的方法已經在野外出現了好幾年了，有時甚至被用來對付引人注目的目標。但換SIM卡後，你很容易就知道自己受到了攻擊：你的**將完全與蜂窩網路斷開連線。但是透過簡訊重定向，你可能需要很長時間才能注意到其他人正在收到你的訊息——這對於攻擊者來說已經足夠長的時間來破壞你的帳戶了。

簡訊攻擊的主要問題是它們可能對您的其他帳戶的安全產生的影響。如果攻擊者能夠獲得傳送到您電話號碼的密碼重置連結或程式碼，那麼他們就可以訪問該連結並能夠進入您的帳戶。文字訊息有時也用於傳送登入連結，如主機板上的Postmates、WhatsApp和Bumble。

這也提醒我們，如果可能的話，任何與安全相關的事情都應該避免使用簡訊——對於雙因素身份驗證，最好使用googleauthenticator或Authy之類的應用程式。一些密碼管理器甚至支援2FA內建，比如1Password或我們推薦的許多其他免費管理器。也就是說，仍然有一些服務和公司只把簡訊作為第二個因素——銀行業因此臭名昭著。對於這些服務，你需要確保你的密碼是安全的和唯一的，然後推動他們從簡訊和**行業的工作，使自己更安全。