在開始之前，我們先來了解一個小故事。就在去年八月，Twitter的首席執(zhí)行官杰克·多爾西（Jack Dorsey）遭到一群黑客的妥協(xié)，杰克·多爾西借此機會向他的420萬推特粉絲發(fā)布了反猶太主義和種族主義言論。在研究了該問題之后，Twitter的團隊確認他已成為Sim Swapping Attack的受害者。

相同的攻擊曾被用來入侵其他知名人物，例如杰西卡·阿爾芭（Jessica Alba），并耗盡像您和我這樣的普通人的加密貨幣和傳統(tǒng)銀行帳戶。那么如何保護自己免受Sim Swap攻擊？這是所有問題的概述，以及如何保護自己免受下一個威脅。 如果能得到杰克·多爾西的方法，就能保護自己免受Sim交換攻擊的簡單方法。

　　Sim交換的工作原理

現(xiàn)在，許多安全的網(wǎng)站和服務（例如銀行，電子郵件和社交媒體）將我們的手機號碼連接起來，作為第二種身份驗證方式，目的是驗證您是真實的人。這很容易，因為基本上我們每個人都有一個移動電話號碼，這為試圖創(chuàng)建大量假帳戶的不良演員創(chuàng)造了進入障礙。

盡管此方法確實提供了一些好處和附加的安全級別，但它具有一些相當大的漏洞。

“模擬交換”是指犯罪分子與您的電話公司和社會工程師聯(lián)系，或者欺騙他們，以將您的移動連接更改為他們控制的設備。例如，他們可能打電話給您的提供商，并假裝是您，并說您的手機已被盜，您需要他們將服務切換到剛購買的新手機。

或者，他們可能只是口袋里有手機提供商的一名雇員，可以執(zhí)行SIM卡交換而無需進行社會工程。

將您的SIM卡交換到新設備后，犯罪分子將收到您的所有短信和電話。然后，犯罪分子使用您的手機號碼來重置密碼并訪問所有安全帳戶，這通常會在幾分鐘之內(nèi)幫助您保護自己的加密貨幣和銀行帳戶余額。

他們還可能將您拒于社交媒體或云存儲服務之外，并要求贖金以換取安全返回您的個人信息。這種攻擊的唯一一線希望是，一旦發(fā)生這種情況，您將立即知道，因為您的設備將失去服務。

很嚇人吧？使用您電話號碼的任何服務都容易受到此類攻擊，世界上任何人都可以在沒有任何特殊技術知識的情況下執(zhí)行該攻擊。

認為您的承運人可以確保您的安全？普林斯頓大學今年發(fā)表的一項研究發(fā)現(xiàn)，包括ATT，T-Mobile和Verizon等在內(nèi)的美國主要運營商肯定容易受到Sim Swapping的影響。

要保持安全，就需要您采取積極行動。這里有一些保護自己的策略。

　　首先要做的事情-啟用2FA

盡管存在Sim Swapping的風險，但您應始終在帳戶上啟用2因子身份驗證。通過使用用戶名和密碼之外的輔助密碼發(fā)送到您的手機，這將確保您的帳戶安全，從而可以訪問您的帳戶。2FA現(xiàn)在是大多數(shù)安全服務的標準功能，可以在登錄名和安全設置中啟用。

雖然我意識到我只是花了幾段描述基于SMS的身份驗證的缺點，但現(xiàn)實是啟用它可以阻止大多數(shù)威脅。即使犯罪分子通過惡意軟件或數(shù)據(jù)泄露來發(fā)現(xiàn)您的密碼，他們?nèi)匀恍枰L問您的SMS消息才能進入您的帳戶。

大多數(shù)攻擊者都不會費心去執(zhí)行SIM卡交換，而只會簡單地轉到?jīng)]有啟用2FA的目標。

就是說，重要的是要記住，許多服務將使您僅使用手機號碼即可重置密碼。因此，攻擊者通常無需知道您的密碼就可以使用Sim Swap來訪問帳戶。

您的第一道防線-溝渠短信

保護自己的最簡單方法是選擇可用的基于應用程序的2FA。雖然啟用2FA總比沒有好，但許多服務提供了兩種。最常見的是基于SMS的，它將SMS發(fā)送到您的手機，并且容易受到Sim Swaps的攻擊。不太常見但更安全的是基于應用程序的身份驗證。

您的驗證碼不是通過短信發(fā)送給您，而是由您的移動設備上的Authenticator應用生成的，其中最受歡迎的是Google Authenticator。

您需要做的就是下載一個身份驗證器應用程序，然后在每個帳戶上配置2FA設置時選擇基于應用程序的身份驗證。系統(tǒng)將提示您使用身份驗證器應用程序掃描QR碼，然后進行設置！

當要求輸入驗證碼時，只需打開手機上的應用程序，然后輸入顯示在您要訪問的網(wǎng)站上的6位數(shù)字即可。

身份驗證器應用程序不受Sim交換影響。這些應用程序依賴于您的物理設備特有的詳細信息，而電話公司無法將其轉移到另一設備。這意味著，即使攻擊者設法接管了您的郵件，他們也將無法復制您的唯一身份驗證碼或進入您的帳戶。

　　最佳解決方案-私人電話號碼

盡管在理想情況下，Authenticator應用程序可以解決我們所有的問題，但挑戰(zhàn)在于許多網(wǎng)站不支持基于應用程序的身份驗證。有趣的是，我所有的銀行帳戶和信用卡都提供基于SMS的身份識別作為唯一選擇。那么我們?nèi)绾伪Ｗo自己呢？

由于我們知道可以利用任何和所有運營商進行此攻擊，因此我們唯一的解決方案是使用沒人知道的電話號碼。如果攻擊者不知道使用哪個號碼，則無法執(zhí)行“模擬交換”。令人高興的是，安全服務不會向攻擊者透露我們的電話號碼-他們通常必須通過其他方式來找到它們。

沒有人知道的電話號碼打敗了電話的要害，因此僅出于此目的而購買第二部電話是有意義的。

前往附近的大型零售商購買最便宜的預付費電話并計劃。您只需要使用一次此手機。由于在這種情況下，我們不打算將此手機用作匿名工具，因此也可以在線訂購。

Mint Mobile傾向于為我們的目的提供最實惠的計劃，以5美元的價格提供7天的試用期。您可以使用與他們的服務兼容的備用手機，也可以購買便宜的，未鎖定的翻蓋手機，價格約為30美元。

有了預付費設備后，請按照說明繼續(xù)操作并記下您的新私人移動電話號碼。這是您將在所有服務中專用于2FA的數(shù)字。在繼續(xù)之前，我們將希望切換到免費的移動套餐，這樣您就不必每月都為Mint的無線服務付費。那就是Google語音的來源。

導航到Google語音并登錄到您現(xiàn)有的Google帳戶或創(chuàng)建一個新帳戶。這是確保您的Google帳戶已啟用基于應用程序的2FA的好時機。注冊后，您需要按照以下說明將您的私人預付費電話號碼移植到Google語音。

完成此交易您需要支付少量費用，通常為20美元，但作為交換，您將可以永久免費地以該號碼接收電話和短信!這比在我的書中從Mint購買每月計劃要好。

雖然您可以使用Google語音從瀏覽器接受呼叫和短信，但我認為這很痛苦。建議您下載Google語音應用以在您的移動設備上接收文本。不用說，您不應該使用Google語音的轉發(fā)服務將文本轉發(fā)到您的主號碼，因為這樣做會違背本練習的目的。

在此階段，您可以收起預付費翻蓋手機或備用設備，因為您將不再需要它。

現(xiàn)在，您就可以在所有帳戶上將其設置為2FA電話號碼，知道您已受到完全保護。沒有人知道您的新電話號碼，即使他們找到了它，由于啟用了基于應用程序的2FA，他們也無法進入您的Google帳戶進行訪問。

　　免費VoIP電話號碼如何？

實際上，Google語音和許多其他服務允許您免費注冊電話號碼，為什么我們不使用這些電話號碼？您可以嘗試-但大多數(shù)服務不接受VoIP號碼。原因很簡單：可以輕松，廉價地匿名獲取，因此犯罪分子和其他不良行為者經(jīng)常使用它們。

為了避免這種限制，我們首先在預付費運營商處注冊了該號碼，然后將其移植到VoIP服務。您使用的服務無法知道您如何接收消息，他們只知道為VoIP服務保留了哪些號碼，并阻止了這些號碼的注冊。由于您使用的是最初為預付費運營商保留的號碼，因此您會一目了然。

以上就是關于如何保護自己免受Sim Swap攻擊的全部內(nèi)容。盡管實施此安全措施的成本和時間不多，但與數(shù)據(jù)泄露的財務和情感復雜性相比，它顯得蒼白。該解決方案將有效地保護您免受大多數(shù)網(wǎng)絡威脅的影響，而無需您付出太多努力。網(wǎng)絡安全無疑是積極主動地值得付出的領域之一。想了解更多網(wǎng)絡安全的信息，請繼續(xù)關注中培偉業(yè)。