國際深探
2020.08.09 06:00

【駭翻推特(下)】「SIM掉包術」 凸顯「兩階段驗證」資安漏洞

文|查修傑
SIM掉包術已成網路詐騙最常見手法之一。(pbs.com)
SIM掉包術已成網路詐騙最常見手法之一。(pbs.com)

根據紐約時報和網安部落格KrebsOnSecurity的報導,發動這次攻擊的駭客,很有可能是近年惡名昭彰的「SIM掉包術」詐騙份子。這種騙術的原理,雖然和所有騙局一樣都是針對人性弱點,進行所謂「社交工程」,但其攻擊手法,卻又和各大網站普遍採行「兩階段驗證」中的漏洞有關。

許多人或許已注意到,在使用Yahoo、Google和各大社群媒體時,若是剛換手機門號,或是第一次從家用電腦以外的裝置來登入帳號時,都會被要求額外輸入透過簡訊傳送的一次性密碼,藉此確認你是帳戶的真正所有者。這種必須經由兩個步驟登入,一般稱為「雙重驗證」或「兩階段驗證」的認證機制,是網路盛行後,由於駭客攻擊案例不斷增加,專家極力推薦,網路業者也順勢採行的帳號安全強化措施。

但儘管有專家的背書,2階段驗證依然並非萬無一失、滴水不漏,尤其是在2019年爆發推特執行長Jack Dorsey的帳號也遭人入侵,被駭客用來散發不雅貼文長達15分鐘的尷尬事件後,此一安全機制的弱點,以及犯案者所採用的「SIM掉包術」,也成業界最頭痛的問題。

「SIM掉包術」是利用行動通訊業者的客服作業中,若是接到用戶打來電話表示遺失門號,可以將舊門號直接移轉到新的SIM卡上的一種服務,來進行掉包和詐騙。駭客只需先行蒐集受害者的個人資料,如證件編號、住址電話等資訊,然後打電話到電信業者的客服中心,聲稱手機遺失,必須將門號轉移到新的SIM卡上,藉由個資的提供,再加上軟硬兼施的社交工程,說服客服人員「協助」,進而掌控受害者的門號,接管該門號所有訊息和來電。

接著,當駭客登入受害者的推特帳號,開始進行更改密碼和電子郵件位址等入侵動作時,即使推特送出兩階段驗證密碼到用戶門號,此時收到簡訊的卻已經變成了駭客的SIM卡,而非受害者本人手機。就在駭客逐一接管受害者各大網路帳號同時,受害者的手機卻因為SIM卡轉移而斷訊,渾不知自己的網路身分正遭到冒用。

正因為此一詐騙方式完全繞過網站內部安全機制,因此就連推特自家高層主管也無法倖免於難。而歷年來類似的SIM掉包術受害者,還包括了流行歌手Justin Bieber(其裸照因女友Selena帳號被駭而流出),虛擬貨幣大亨Michael Terpin(被盜走2380億美金),以及為數不少的個人銀行存款被冒名提領案件。

有鑑於SIM掉包犯罪屢見不鮮,網路安全專家也提出幾點建議,設法降低民眾受害的機率,其中第一步,就是重新啟用SIM卡的PIN碼。近年來由於許多民眾常忘記PIN碼,因此新辦門號幾乎都是預設不用密碼,對此專家認為最好還是啟用並加以設定,至少可讓門號多一層保護。

此外,Android和Apple的APP商店都可以找到專用的兩階段驗證軟體,藉由排除對手機簡訊的依賴,來避免門號被掉包的問題;如果對軟體的密碼機制不放心,也可以購買市面上的實體USB驗證裝置,加強個人帳號或網路金融帳戶的安全性。

資料來源:New York Times, Krebs on Security, Wired

更多內容,歡迎訂閱鏡週刊了解內容授權資訊

相關關鍵字: