虽然这类问题不像其他攻击活动那么普遍,但SIM卡更换带来的安全风险,可能远超您的想象。
想象一下,某天您可能打算登录银行账户结算这个月的按揭。突然,银行网站提示您输入的密码有误——怎么回事?意识到可能出现问题的您,马上选择点击链接“重置您的密码”。
这个过程并不复杂,但银行方面会首先输入发送至手机号码的六位数验证码,用以证明申请者确实是您本人。更奇怪的状况发生了,虽然不断申请,但手机这边一直收不到验证短信。
这确实让人有点担心,所以您打电话给银行,并意识到问题的严重性。有人完成了在线支付,但收款方绝对不是贷款银行。相反,他们把这笔资金据为己有,只留下您默默无语两眼泪。
而他们所掌握的,只是一条公开度最高的个人信息:电话号码。
可能很多朋友觉得这事可能性太低,那不妨先问问Twitter公司CEO Jack Dorsey怎么看——他在几周前,就曾遭遇过这类黑客攻击。这种方式被称为SIM换卡攻击,而且严重程度远超我们的想象。换言之,如果Twitter公司CEO的手机号码都不安全,那咱们恐怕也是时候提高警惕了。
事实上,之所以这类攻击活动还不是很常见,主要原因在于攻击者需要为此付出相当大的精力。整个攻击过程需要暴力攻击、社会工程、技术知识再加上一定的运气。
在掌握您的手机号码后,黑客要做的就是说服任何一位有权访问客户记录(例如零售商店的管理人员或者客户服务代表)的现场员工,让他们相信他(或者她)就是您。接下来,他们就可以把合法电话号更换到自己的手机SIM上。
由于并不是要询问任何与账户相关的个人信息,而只是因为手机丢失(或者其他一些听起来非常合理的理由),因此换卡过程其实并不困难。当然,对方可能要求您提供附有照片的身份证,但这些工作人员往往年纪不大、经验不足,随便弄张假身份证对方一般也不会较真。
再强调一次,攻击者会选择那些年少无知的工作人员下手。而一旦成功,无论我们的密码多么安全,都会被恶意人士轻松绕过。
我与Flashpoint公司安全研究总监Allison Nixon进行了交谈,他建议企业应重新考虑如何保护客户信息并提供密码重置服务。
这是因为我们目前正广泛使用手机号码抵御网络犯罪,但这些号码并不私密,而不可能成为可靠的安全保护形式。事实上,目前几乎所有常见的双因素身份验证与密码重置机制,依赖的都是大家的手机号码。
这背后的基本思路非常简单,服务供应商希望验证当初注册时预留的手机号码,是否与目前正在申请操作的使用者对应得上。
几乎每一位年满12岁的公民都会获得自己的手机,所以这种作法确实具有良好的普适性。但是电话号码并不安全。我在成年之后大概用过十几个手机号码,而这些号码如今已经成为他人的合法专属号码。
考虑到电话号码脆弱的安全属性,再加上其背后所保护的大量个人及财务信息,我认为应该有人站出来做点什么。更重要的是,目前绝大多数人还没有意识到SIM卡换卡风险到底有多么恐怖且普遍。
没错,这种情况并不常见,但Jack Dorsey很清楚一旦发生问题,代价到底有多么惨痛。
遗憾的是,这个问题并不容易解决。企业部署的每一套面向客户的系统都必须做出权衡——一方是满足客户需求时设置的操作门槛,另一方是给入侵者设下的挑战。坏消息来了,这种挑战的难度越高,客户正常使用时就越不方便。因此即使是为了客户安全着想,如果把这种验证门槛设得太高,使用者也只会转投其他服务商。
人总是抱有一种侥幸心理,认为坏事不会发生在自己身上,因此大家更强调操作的便捷性,而非安全保障的可靠性。这种权衡在目前乃至可预见的未来,都将一直存在。
Nixon告诉我,最好的办法当然是马上“停止这种利用电话号码实现的保护方式”。此外,她还建议对刚刚更换过验证手机号的账户进行查验,或者要求申请者提供其他一些与个人身份相关的非公开信息。
到目前为止,最好的解决方案基本就是Apple Pay形式的多终端验证。如果我在笔记本电脑上使用Apple Pay,系统会要求我使用FaceID(或者在较早版本的手机上使用TouchID)进行验证,而后才能完成付款。据我所知,换脸或者换指纹这事只存在于电影当中——只有这样,我们才能放心地通过网络管理自己的资产。
原文链接:
领取专属 10元无门槛券
私享最新 技术干货