据新闻媒体网站《Motherboard》报道指出,最近发现一种专门针对SMS短信的恶意攻击,受害者几乎感受不到攻击,且讽刺的是,电信产业似乎间接批准这种攻击。这次利用专门锁定企业的短信发送管理服务,以便神不知鬼不觉将受害者短信转发给黑客,获得通过短信发送的双重验证(2FA)码或登录连接。
虽然提供这类服务的公司有时并不会将任何类型短信发送给已重定向的电话号码,而会请求许可,甚至会通知用户短信将发送给其他人。但通过这些服务,攻击者不仅能拦截内送短信,甚至还可代替回复。
《Motherboard》记者Joseph Cox就因电话号码遭黑客攻击,将自己的经历公诸于世,最夸张的是,攻击者只花16美元就搞定一切。当Cox联系其他短信转发服务供应商时,其中一些供应商回应说以前见过这种攻击。
据报道,《Motherboard》使用服务的公司已修复漏洞,但仍有许多供应商没有任何动作,且似乎也没人要求这些公司负责。当被问到为什么会让这种攻击真的发生,AT&T和Verizon只建议Cox联系美国移动通信产业协会(Cellular Telecommunications Industry Association,CTIA)。但CTIA并未立即发布评论,仅表示目前没有迹象表明有任何潜在威胁的恶意活动,抑或任何顾客受影响。
避免再使用短信验证身份,黑客有可能拿到密码并劫持账号
长久以来,黑客早发现许多利用SMS和蜂巢系统漏洞以获取他人短信的攻击手法,如SIM卡劫持(SIM Swapping)和SS7(Signaling System Number 7)攻击就流传好多年了,有时甚至用来锁定名人。但通过SIM Swapping攻击,用户很容易发现自己被攻击,因为用户的手机完全连不到蜂巢网络。但如果通过短信转发,可能要过很久才会发觉有人收了你的短信,这让攻击者有足够时间劫持你的账号。
短信攻击的主要疑虑莫过于可其他账号的安全造成影响。如果攻击者能将发送到你手机号码的密码重置连接或代码拿到手,他们就能劫持你的账号。 《Motherboard》通过Postmates、WhatsApp和Bumble发现,有时短信也会用来发送登录连接。
这着实提醒我们,今后与安全相关的任何事情都应尽可能避免使用短信。对2FA验证,最好使用像Google Authenticator或Authy之类App。一些密码管理器甚至支持2FA内置,如1Password。当前仍不乏有许多服务和公司只把短信当成第二身份验证因素,尤以金融业最臭名昭著。你必须确保密码安全且独一无二,然后再致力远离短信服务,并促使电信产业进一步提升安全性。
(首图来源:TextMagic)