美国信息泄露严重:黑客补办SIM卡来偷你的账号

来源:知道创宇2019.06.20

国外媒体Motherboard网络安全记者Lorenzo Franceschi-Bicchierai撰文揭秘从事SIM卡劫持的黑客。作者探访了买卖社交媒体和游戏账号的论坛OGUSERS,那些账号往往是通过“SIM卡劫持”盗取的。通过SIM卡劫持,黑客盗用目标对象的手机号码,然后进行密码重置一一接管受害者的各种账号。正如一名深受其害的受害者所感悟的,手机号码是我们的数字生活中最薄弱的一环。

以下是文章主要内容:

在盐湖城的郊区,这似乎是又一个温暖的九月夜晚。瑞秋·奥斯特伦德(Rachel Ostlund)刚刚让她的孩子上床睡觉,自己也准备去睡觉。她在和妹妹发短信时,手机突然失去了服务。瑞秋收到的最后一条信息来自她的运营商T-Mobile。信息上说,她的手机号的SIM卡已经“更新”。

接着,瑞秋做了大多数人在这种情况下会做的事:她一次又一次地重启手机。但这毫无帮助。

她走上楼,告诉丈夫亚当(Adam)她的手机用不了了。亚当试着用他的手机拨打瑞秋的手机号码。电话铃声响了,但瑞秋手里的手机并没有亮屏。没有人接听。与此同时,瑞秋登录她的电子邮箱,发现有人正在重置她许多账号的密码。一个小时后,亚当接到了一个电话。

“让瑞秋接听,”电话那头传来声音,“就现在。”

亚当予以了拒绝,问对方发生了什么事。

“你已经被我们完全掌控了,我们将摧毁你的生活。”打电话的人说,“你识趣的话,就让你的妻子接听。”

亚当拒绝了。

“我们会摧毁你的信用记录。”那人接着说,并提到了瑞秋和亚当的一些亲戚以及他们的地址,“如果我们伤害他们会怎样?如果我们毁了他们的信用记录,然后给他们留言说都是你造成的,会怎样?”这对夫妇认为打电话的人是从瑞秋的亚马逊账号上获得那些亲戚的信息的。

这对夫妇还不清楚状况,但他们刚刚成为黑客的最新受害者。这些黑客劫持人们的手机号码,目的是盗取Instagram上有价值的用户名,然后把它们卖掉换取比特币。在2017年夏末的那个晚上,奥斯特伦夫妇是在和两名黑客通电话,后者霸占了瑞秋的Instagram账号@Rainbow。他们现在要求瑞秋和亚当放弃她的Twitter账号@Rainbow。

根据参与过交易的人士的说法和一个热门市场上的行情表,在熙熙攘攘的围绕被盗的社交媒体账号和游戏账号的地下市场,一个简短的、独特的用户名可以卖到500美元到5000美元不等。几名参与过地下市场交易的黑客声称,像@t这样的Instagram账号最近卖到了价值约4万美元的比特币。

通过劫持瑞秋的手机号码,黑客们不仅能接管瑞秋的Instagram账号,还能接管她的亚马逊、Ebay、PayPal、Netflix和Hulu账号。一旦黑客控制了瑞秋的手机号码,她为保护其中一些账号而采取的安全措施(包括双重认证)都无补于事。

“那是一个让人非常紧张的夜晚,”亚当回忆道,“真不敢相信他们竟胆敢给我们打电话。”

被忽视的威胁

今年2月,T-Mobile大范围发出短信,提醒用户警惕一个“全行业的”威胁。该公司表示,犯罪分子越来越多地利用“手机号码转移诈骗”手法来锁定和盗取人们的手机号码。这种骗局也被称为“SIM卡调换”或“SIM卡劫持”,手法简单粗暴,但非常有效。

首先,不法分子假扮成他们的目标人物,拨打手机运营商的技术支持号码。他们向运营商的员工解释说他们“丢失”了SIM卡,要求将自己的手机号码转移或移植到黑客已经拥有的新SIM卡上。通过设置一点社交工程陷阱(通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密)——或许通过提供受害者的社保号码或家庭住址(这些信息通常是因为过去几年频繁发生的数据泄露事件而外泄的)——不法分子说服员工他们真的是手机号所有者,然后员工就会将手机号码移植到新的SIM卡上。

一切都完了。

“有了某人的手机号码,”一个做SIM卡劫持的黑客告诉我,“你可以在几分钟内进入他们所有的账号,而他们对此完全无能为力。”

美国信息泄露严重:黑客补办SIM卡来偷你的账号

瑞秋·奥斯特伦德在手机号码被黑客们接管后收到的短信截图

在那以后,受害者失去了手机服务,因为只有一张SIM卡可以连接到手机网络上。黑客可以重置受害者的账号,通常可以通过将手机号码用作账号恢复方式来绕过诸如双重认证的安全措施。

某些服务,包括Instagram,要求用户在进行双重认证设置时提供手机号码,这一规定反而造成的意想不到的影响:给了黑客另一种进入账号的方法。这是因为,如果黑客控制了一个目标对象的手机号码,他们就可以绕过双重认证,获得他们的Instagram账号,连账号密码都不需要知道。

曾被称作CosmoTheGod的黑客埃里克·泰勒(Eric Taylor)将这种技术用于他最有名的一些攻击活动,比如2012年他侵入了CloudFlare首席执行官的邮箱账号。泰勒现在在安全公司Path Network工作,他告诉我,只要手机号码关联了你的任何一个网络账号,你“就很容易受到攻击,他们会在你打电话给你该死的供应商的五分钟内接管你的各种账号。”

“这种事经常发生。”他补充说。

咨询公司Celsus Advisory Group的情报与研究主管罗埃尔·舒温伯格(Roel Schouwenberg)研究过SIM卡调换、绕过双重认证和滥用账号恢复机制等问题。在他看来,没有一个手机号码是百分百安全的,消费者需要意识到这一点。

“任何类型的号码都可以移植,”舒温伯格告诉我,“一个下定决心且设施优良的犯罪分子至少能够获得一个号码的暂时访问权,这通常足以成功完成一场抢劫。”

这令人十分不安。正如他去年在一篇博客文中所说的,手机号码已经成为我们整个网络身份的“万能钥匙”。

“大多数系统的设计都不是为了针对攻击者接管手机号码的行为。这非常非常糟糕。”舒温伯格写道,“我们的手机号码成了近乎不可撤销的凭据。它的初衷从来都不是这样,就像社保号码从来就不是凭证一样。今天,手机号码成为了通向大部分的服务和账号的钥匙。”

一旦掌控了你的手机号码,黑客就能为所欲为。

“我拿了他们的钱过我的生活”

如果你的自行车被偷了,你应该去Craigslist看看是否有人在黑市上转手。如果你的Instagram账号被通过SIM卡调换手法盗取,你应该去OGUSERS看看。

乍一看,OGUSERS看起来跟任何其他的论坛没什么两样。上面有一个“垃圾邮件/笑话”版块,另外一个版块则是关于音乐、娱乐、动漫和游戏等话题的闲聊。但最大和最活跃的版块是用户买卖社交媒体和游戏账号的市场——有的账号能够卖到数千美元的价钱。

该论坛的一位管理员在最近发表的一篇帖子中说,有人以2万美元的价格卖出了Instagram账号@Bitcoin。在截至6月13日仍挂在上面的一个列表上,一名用户对Instagram账号 @eternity标价1000美元。

这只是OGUSERS上账号交易的两个例子。该论坛于2017年4月上线,旨在为人们提供一个购买和销售“OG”用户名的平台。(该论坛的名字取自意指原始的大佬的俚语“original gangster”的缩写OG)。在社交媒体上,带有“OG”的用户名被认为很酷,或许是因为它是一个很独特的词,就像@Sex、@eternal或@Rainbow那样。又或许是因为它是一个非常简短的账号,就像@t或@ty那样。名人也是黑客的攻击目标。

美国信息泄露严重:黑客补办SIM卡来偷你的账号

赛琳娜·戈麦斯的Instagram账号被黑后的截图

例如,去年8月,黑客劫持了赛琳娜·戈麦斯(Selena Gomez)的Instagram账号,并在上面发布了贾斯汀·比伯(Justin Bieber)的裸照。戈麦斯账号名上的第一个名字也被改成了“Islah”,和当时OGUSERS论坛上某位叫Islah的用户使用的名字一样。据OGUSERS的黑客称,声称参与侵入戈麦斯账号的人说,他们是通过接管与这位艺人的Instagram账号关联的手机号码来做到这一点的。当时,戈麦斯的Instagram账号上有1.25亿粉丝。

一名OGUSERS用户在题为“RIP SELENA GOMEZ”(安息吧,赛琳娜·戈麦斯)的帖子中评论道,“该死的,他们黑了Instagram上最受关注的人。”

戈麦斯的发言人拒绝置评。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态