推特帳戶遭劫持的原因查明 而且這種手法日益普及

當 Jack Dorsey 上週開始發送一連串奇怪的推文時，很明顯他的推特帳號已被竊取。但他 400 多萬粉絲不太明白的是，攻擊者如何控制這位推特 (TWTR-US) CEO 的帳戶近 20 分鐘。

推特表示，駭客透過成功竊取手機號碼獲得 Dorsey 的個資，該手機號碼由於電信商的「安全監督」而遭竊取。雖然推特在聲明中未使用「SIM 轉換 (SIM swapping)」這種說法，但安全專家將攻擊歸因於這種日益流行的策略。幾天之後，同樣的事情發生在擁有 300 多萬粉絲的女星 Chloe Moretz 身上。

為了進行 SIM 轉換，取得他人電話號碼和其他個資的詐騙者會通知電信商，假裝成受害者並要求將該號碼轉移到新的 SIM 卡。如果假冒成功，可能包括提供出生日期或母親的婚前姓名，就可以開始登錄各種服務，如推特，以及更改其密碼。

在控制電話號碼後，攻擊者將收到一次性密碼簡訊，避開雙種身份認證的要求。一個自稱為 Chuckling Squad 的實體聲稱對 Dorsey 和 Moretz 的兩次攻擊，以及 James Charles 和 Shane Dawson 等其他網紅負責。

雖然推特遭受攻擊引人注目，但臉書 (FB-US)、Snap (SNAP-US)、微軟 (MSFT-US) 的 LinkedIn 和 Pinterest (PINS-US) 都依賴類似的安全措施，讓它們的網站向 SIM 駭客開放，而駭客有時只是想要造成嚴重破壞，但其他時候卻有更多邪惡的意圖，比如訪問受害者的銀行憑證。

對於推特來說，劫持簡訊具有獨特的問題，因為它具有允許用戶透過發送簡訊就能發送推文的功能。

行動安全公司 Guardian Firewall CEO Will Strafach 說：「任何真的事物都比簡訊來得好。」「這些公司想要提高使用度，想要用戶積極參與，初始動機並未著重在安全性上。」

用戶也要負一些責任，他們通常擁有簡訊以外的多重身份認證選項。例如，就推特來說，用戶可以透過須密碼驗證的 App 建立帳戶，如 Google Authenticator、Duo 或 Microsoft Authenticator。他們還可以購買生物安全密鑰，如 YubiKey，它可以插入電腦的 USB 接口並驗證用戶身份。

YouTube 產品經理 Todd Sherman 建議用戶設置一個 VoIP 號碼，該號碼與 Google Voice 等雲端服務聯繫，而非與特定手機聯繫。

在 Dorsey 的帳號遭到駭客攻擊後，推特暫時關閉了簡訊功能，但隨後在某些「依賴簡訊推文的地區」重新啟用。推特發言人拒絕透露哪些國家已重新獲得此功能。

電信商也有責任

SIM 轉換已經非常盛行，足以引起執法人員注意。在矽谷與地方、州和聯邦機構合作的 REACT 特別小組已緊盯 SIM 轉換一年多。今年 5 月，來自駭客組織的 9 人被指控使用 SIM 轉換竊取超過 240 萬美元的加密貨幣。

其中一些被告為 AT&T (T-US) 和 Verizon (VZ-US) 工作，並被指控幫助外部犯罪分子獲取電話號碼以換取賄賂。他們涉入此案彰顯了電信商和大型網路公司在清除 SIM 轉換可發揮的核心作用。

讓人擔心的不僅是這些問題員工。SIM 轉換通常涉及詐騙者使用欺騙性做法來說服客服中心員工將號碼移動到新的 SIM 卡。Strafach 說，只要有人類介入，就有受騙的風險。

他說，「如果你能說服工程師，就能取得授權。」「要解決這個問題就必需移除人為控制。」

電信商透過鼓勵或要求客戶在其帳戶中建立 PIN 碼來解決此問題。如果嘗試的駭客不知道相關的 PIN 碼，就不能進行電話號碼的轉移。

Sprint (S-US) 和 AT&T 允許用戶在線上建立密碼，而 Verizon 則是嚴格要求。去年年初，T-Mobile (TMUS-US) 向客戶發出警告，建議他們建立密碼並將 PIN 碼劫持描述為「影響整個電信產業的行為」。

但是，PIN 碼並非萬無一失，因為如果用戶在某處寫下或儲存，駭客就有辦法找到它們。

Sprint 發言人 Lisa Belot 表示，該公司鼓勵客戶設置一個獨特的 PIN 碼。她補充說，如果有人試圖進行 SIM 轉換，他們需要通過提供個人識別碼或回答安全問題來驗證帳戶。她表示，Sprint 採取安全措施來保護客戶的帳戶，但沒有詳細說明它的具體用途。

與 Sprint 合併的 T-Mobile 發言人表示，鼓勵客戶聯繫該公司，以了解可以採取的其他安全措施。

發言人說：「這些不僅是對電信客戶的犯罪攻擊，也是對電信商的攻擊。」「我們一直在努力阻止這些壞分子。」

Strafach 表示，密碼不是一種防止帳戶被 SIM 轉換的完全萬無一失方法，因為許多用戶選擇的代碼很容易猜到。

隨著 SIM 劫持事件繼續增加，電信安全倡導者呼籲電信商採取更多措施來阻止這一問題。但除了 PIN 碼之外，電信商很少提供公開細節說明防止 SIM 轉換攻擊所採取的其他步驟。

在全球其他地區，電信商越來越與銀行合作，進行即時 SIM 轉換檢查，以防止欺詐和濫用。透過這種補救措施，電信商可以建立一個系統，銀行可以檢查電話記錄，查看與某個銀行帳戶相關的最近 SIM 轉換請求。如果檢測到最近的 SIM 轉換，就可以防止發生欺詐性銀行轉帳。

Strafach 表示，電信應該更加透明地採取措施來遏制 SIM 轉換。他還駁斥了電信商將其策略保密以阻止駭客尋找對應方式的說法。

他說，「披露保護作法應該不是問題。這只是意味著它們正在做一些可能被攻破的措施，攻擊者可以繞過它，」「但沉默的安全措施無濟於事。」