破罐破摔的印尼人
8月底,一位化名为Bjorka的黑客持续在BreachForums上发布信息“印度尼西亚SIM卡(电话号码)注册13亿”。他开始公开兜售被盗数据,受害者除公民外还涉及众多印尼多家国有企业、手机运营商及大选委员会人员、高管等。
一时间印度尼西亚人在混乱中惊醒,愤怒值飙升至顶峰。
自2019年以来,印尼先后遭遇多起针对政府机关和私营企业的大规模数据泄露事件。
2020年电子商务巨头Tokopedia和Bukalapak在内的公司泄露了超过1亿印尼用户的个人数据;2021年黑客攻破了BPJS Kesehatan的数据库——该国医疗保健和社会保障数据库,导致超过2亿公民的社保详细信息(包括身份证和家庭卡)被泄露,事件严重性令人震惊。
因此9月初新闻发布会上,一名高官呼吁Bjorka停止泄露印尼公民的个人数据。但此黑客在BreachForums的新帖中大放狂言、公开嘲讽到:“别再做白日梦了”。
越来越肆无忌惮的泄密事件,如此快速、有规律的信息曝光速度,甚至让许多愤怒又挫败感达到沸点的印度尼西亚人反向支持暴露13亿张SIM卡信息的黑客。
黑客声称实施这次入侵是为了暴露数据管理的不完善。因为事件促使9月份匆忙通过一项拖延已久的个人数据保护法案,并终于成立了一个专门负责追捕黑客Bjorka的特别小组。
SIM卡交换攻击
(SIM swapping)
SIM卡交换攻击是一种复杂的、多阶段性盗窃犯罪行为,具有很大的潜在破坏性。攻击者会利用社会工程、网络钓鱼或内部威胁等方式来实施SIM卡交换攻击计划。
简单讲,攻击者首先会搜集你的电话号码和尽可能多的个人信息;
接着通过欺骗或贿赂移动网络运营商的员工等方式,将你的手机号码重新分配给犯罪分子控制的SIM卡上:比如,他们会以你的名义打电话给手机运营商,声称你的手机丢了,需要将原来的号码转移到这个新的SIM卡上;
最终,攻击者会对你的移动电话帐户执行密码重置,以便允许他们重置你的帐户登录凭据,并使用这些凭据访问帐户。
SIMhacker攻击流程(图源FREEBUF)
一旦攻击者控制了目标手机号码及帐户后,真实用户的电话将失去网络连接,无法拨打或接听电话、个人账号登陆密码再也无法登陆,攻击者就可以绕过基于短信等其他各方多因素认证窃取用户凭证,登录个人的银行帐户并窃取资金,或通过改变密码劫持其在线帐户。
据福克斯新闻网(Foxnews)报导,联邦调查局(FBI)在一份公共服务公告(PSA)中称,在2021年涉及SIM卡交换攻击诈骗的投诉数量猛增至1611起。此类案件在2018年1月至2020年12月的三年间造成了1200万美元的损失。而在2021年一种间,SIM卡交换攻击诈骗造成的经济损失飙升至7000万美元。
黑客攻击犯罪案件
2021年7月中旬,手机运营商T-Mobile因致比特币投资者损失5.5万美元而被起诉,该骗局使一名客户损失了55,000美元的比特币。原告理查德哈里斯指控T-Mobile的不当行为,包括未能充分保护客户信息、雇用适当的支持人员以及违反联邦和州法律导致他损失了1.63个比特币。
2021年美国司法部公布案件:两名黑客利用SIM卡交换攻击手段,盗窃了价值超过53万美元的加密货币,随后被捕。
SIM卡示意
(图源网络)
从2018年1月到2020年12月,联邦调查局互联网犯罪投诉中心(IC3)收到了320起与SIM卡交换事件有关的投诉,调整后的损失约为1200万美元。2021年,IC3收到1,611起SIM卡交换投诉,调整后的损失超过6800万美元。
尽管这是一条很耗时的攻击之路,当针对“特定的高价值受害者”时,SIM卡交换攻击技术是直接便捷的方式之一。即使自己不是超级富豪,也有可能会成为被攻击的目标。
如何避免自己遭
受SIM卡交换攻击?
虽然我们无法预测黑客将如何窃取自我身份,但我们可以采取一下措施最大程度减少SIM卡确实被交换攻击的后果。
1.不点击链接或下载来自未知发件人的电子邮件中的附件、不在社交媒体上分享敏感的个人信息;
2.设置额外PIN,使用不同的密码登入不同帐户,不重复使用密码,避免撞库;
3.使用更有效的2FA双重身分验证,如生物特征识别、物理安全令牌或独立的认证应用程序来访问在线帐户。
如果已遭遇了SIM卡交换攻击,应立即采取抢救措施:
1.立即联系服务商,举报欺诈行为并重新取回自己的电话号码,随后立即更改帐户密码。
2.检查信用卡,银行和其他金融帐户是否被盗刷,如果发现任何损失,立马向银行报告。
四叶草安全
原文始发于微信公众号(四叶草安全):一场噩梦从SIM卡交换攻击开始
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论