在昨天的文章里,我提到了使用 Google Fi 可以相对更安全地接收到二次验证短信,实现更高的安全级别。而昨天提到的最大安全风险就是 SIM 卡调换(SIM Swap)风险,也就是攻击者说服你的运营商将你的 SIM 卡注销并补办,使得攻击者获得你的 SIM 卡所有权限。今天稍微具体讲讲实际案例,以及我们应该如何防范。
硅谷著名风投 A16Z 的合伙人 Martin Casado 在 这个视频里 进行了非常详尽的解释,推荐大家去看一下这个视频。总结来说,Martin 介绍了常见的攻击方式,以及数据表明 SIM 卡调换方式的攻击是目前成本最低,也是最常见的攻击方式。甚至 Twitter 的创始人 Jack Dorsey 也在 2019 年 8 月底被攻击者用 SIM 卡调换的方式重置了 Jack 的 Twitter 账户,并用 Jack 的 Twitter 账户发了些奇怪的推文,具体可以查看纽约时报的 这篇报道。
也有人损失更加惨重,一位名叫 Sean Coonce 的区块链工程师在 2019 年 5 月也经历了 SIM 卡调换攻击,在这次攻击中,他因为大意没有及时处理,而在 48 小时里损失了他位于虚拟货币交易所 Coinbase 里的价值 10 万美金加密货币。他在经历了痛苦和沮丧后,将整个事件回顾发到了 Medium 上,这里是链接。
Sean 受到的攻击非常简单,攻击者可能通过伪造身份证件或者对 Sean 进行深入的社会工程学研究。然后去 Sean 的移动运营商那里要求挂失补办新的 SIM 卡,因为 Sean 把自己的 Gmail 和 Coinbase 都绑定了这个手机号码作为二次验证以及密码找回方式,所以黑客用最短的时间里重置了他的 Gmail 密码,然后再通过手机号码和 Gmail 邮箱的组合也登录到了他 Coinbase 账户,并从他的 Coinbase 账户里直接提取了这价值 10 万美金的加密货币。
其实稍微思考一下,这是一件非常恐怖的事情。我们几乎每一个人目前都是用自己的手机号码作为各种在线服务的二次验证以及密码找回工具的。任何人控制了我们的手机号码,就控制了我们的邮箱,相册,股票账户,私人邮件,历史记录等,从而可以给任何一个人带来巨大的物质或者精神损失。
具体怎么防范 SIM 卡调换呢,在网络中有非常多的建议,我综合了上文提到的 Martin 以及 Sean 的建议,以及综合我的使用体验,可以提出这些建议。
第一,尽量不使用手机短信作为二次验证以及密码重置方式,尽量选择物理U盾类或者基于手机软件的动态口令的方式。对于物理U盾,除了常见的银行提供的U盾外,国外还有很多家公司在做物理U盾,做得比较好的是 Yubico 这家的,在淘宝上就可以买到他们家的硬件U盾,几乎支持所有的国外主流平台,比如 Google, Facebook, YouTube 等。至于手机软件的动态口令,则可以用比如 Google Authenticator,Authy,或者 Microsoft Authenticator,这三家都是长期稳定口碑非常好的手机应用。具体使用方式是绑定动态口令到相关的平台,然后之后二次验证都是输入该软件提供的动态口令。这样做的主要问题是国内的主要互联网公司很少采用这类解决方案,比如微信,微博和支付宝都不支持第三方动态口令。这确实会带来很多不方便,但可喜的是,我们看到微信和支付宝越来越多采用人脸识别等生物识别方式,这也能带来额外的安全。
第二个建议就是尽量使用密码管理器。很多情况下我们使用手机号码左右二次验证甚至一次验证的工具是因为这实在太简单和方便了,我们本来就被各种密码已经搞得晕头转向了,为何不只用手机号码,简化一切。对于这一个要求,密码管理器会是一个非常好的解决方案。现在的密码管理器软件已经非常智能了,基本上只需要点击几下就能自动填充密码自动登录,你需要做的只是把你的所有密码都记录在密码管理器中,然后牢记密码器本身的开锁密码就可以。这样一来,你就可以不用记任何密码,而每一个互联网服务都可以使用一个动态生成的复杂字符串作为密码。对于密码管理器应用,我个人在用 1Password,当然诸如 LastPass,Dashlane 等密码管理器功能和安全性也都非常接近,都很推荐。
第三个建议是及时检查自己手机运营商服务密码,确保自己把手机运营商服务密码更换到一个更复杂的密码,并且检查自己的 SIM 卡 PIN 码等,这些都可以在手机运营商的官方 App 里检查,我测试了中国移动和中国联通,都可以在线修改密码。但依然不要把最大的希望寄托给电信运营商,因为他们实在是太容易被攻击者欺骗了。
对于大多数人,做好这三点就能防范大部分风险了。而风投 A16Z 还有一个详细的安全建议列表,建议希望构建更安全的机制的朋友们去阅读和使用,这里是链接。
感谢阅读。我之后会尝试写更多安全,隐私,加密等方向的文章,期待之后的文章。