黑客可以把你的电话号码复制到一张新的 SIM 卡上,从而将你的号码据为己有,用来重置你的密码,窃取你的 Instagram 和其他服务的账号,并拿出去售卖换取比特币。正如 Vice 旗下 Motherboard 在周二发布的一篇痛心疾首的 文章 中所详细报道的那样,Instagram 账号特别容易受到攻击,因为该应用仅支持通过短信验证码登录,一旦电话号码被劫持,相关账户的安全性立刻将为零。
不过,现在 Instagram 向 TechCrunch 证实,他们正在开发一套配合 Google Authenticator 或 Duo(注:不是谷歌的聊天工具)这类安全应用使用的非短信双重认证系统。这套系统生成的验证码无法在其他手机上显示,这样即使你的手机号码被黑客复制到新的 SIM 卡上也没有关系。
多次向 TechCrunch 爆料的消息人士黄文津(Jane Manchun Wong)通过分析 Instagram 的安卓应用发现,其 APK 代码中暗藏着升级版双重认证的原型。在此之前,黄文津的爆料已经帮助 TechCrunch 率先报道了关于 Instagram 视频通话 、Usage Insights 以及 Stories 音乐功能 的消息。
当 TechCrunch 将截图展示给 Instagram 时,后者的一位发言人说,没错,他们正在打造一项非短信双重认证,并称:“我们正在持续提升 Instagram 账号的安全性,其中就包括强化双重认证功能。”
Instagram 其实对用户账户保护一直不算特别上心,直到 2016 年才推出基于短信的两步验证,当时他们已经拥有 4 亿用户。在 2015 年 11 月,笔者写过一篇题为“说真的,Instagram 需要双重认证 ”的文章。蕾切尔·赖尔(Rachel Ryle)是笔者的一位朋友,她也是 Instagram 上颇有人气的定格动画制作人。赖尔的 Instagram 账号曾被黑客攻陷,这令她错失了一笔利润丰厚的赞助交易。Instagram 从善如流,在文章发表 3 个月后推出了基于短信的 基础版两步验证功能 。
但从那时起,SIM 卡复制和盗取也成了一个更常见的问题。黑客通常会打电话给移动运营商,使用一些社工手段冒充你的身份,或者贿赂内部员工来获取帮助,然后把你的号码移植到他们控制的 SIM 卡。正如 Motherboard 的文章所报道的那样,黑客这样做可能是为了窃取你的私密照片,偷光你的加密货币钱包,或者是转卖@t 或@Rainbow 这样的社交媒体靓号,总之他们有各种各样的动机去实施 SIM 卡移植攻击。如果你想知道应该如何保护自己的电话号码,可以参阅 这篇文章 。
但愿随着这种黑客攻击手法变得更广为人知,更多的应用能够引入非短信双重认证功能,移动运营商能够让移植手机号码变得更困难,以及用户能够采取更多措施来保护自己的账号。随着我们身份和资产的数字化程度越来越高,验证码和身份验证应用必然成为我们日常生活的组成部分,而不仅仅是门锁和家庭安全系统。
稿源:TechCrunch,翻译:王灿均
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态