簡訊驗證一點也不安全!駭客只花 16 美元就能收到所有簡訊與密碼

最近發現一種專門針對 SMS 簡訊的惡意N廠攻擊,受害者幾乎感受不到攻擊,且諷刺的是,電信產業似乎間接批准VS廠這種攻擊。這次利用專門鎖定企業的簡訊發送管理服務,以便神不知鬼不覺將受害者簡訊轉發給駭客,獲得透過貼標機簡訊發送的雙因素驗證(2FA)碼或登錄連結。 

雖然提供這類服務的公司有時並不會將任何類型熱收縮套管簡訊發送給已重定向的電話號碼,而會請求許可,熱縮套管甚至會通知用戶簡訊將發送給其他人。但透過這些服務,攻擊者不僅能攔截內送簡訊,熱縮管甚至還可代替回覆。

《Motherboard》記者 Joseph Cox 就因電話號碼篩選機玻璃盤遭駭客攻擊,將自己的經歷公諸於世,最誇張的是攻擊者只花 16 美元就搞定一切。當 Cox 玻璃氣浮平台聯絡其他簡訊轉發服務供應商時,其中一些供應商回報說以前見過這種攻擊。

《Motherboard》使用服務的公司已氣浮平台修復漏洞,但仍有許多供應商沒有任何動作,且似乎也沒人要求聲寶家電維修這些公司負責。當被問到為什麼會讓這種攻擊真的發生,AT&T 和 Verizon 只建議 Cox 聯繫美國行動通訊聲寶服務站產業協會(Cellular Telecommunications Industry Association,CTIA)。但 CTIA 並未立即發表評論,僅表示東元維修目前沒有跡象表明有任何潛在威脅的惡意活動,抑或任何顧客受影響。

長久以來,駭客早發現許多利用SMS 東元服務站 和蜂巢系統漏洞以獲取他人簡訊的攻擊手法,如 SIM 卡劫持(SIM Swapping)和 SS7(Signaling System Number 7)3D列印機攻擊就流傳好多年了,有時甚至用來鎖定名人。但透過 SIM Swapping 攻擊,使用者很容易大陸貨運查覺自己被攻擊,因為使用者的手機完全連不到蜂巢網路。但如果透過大陸運輸簡訊轉發,可能要過很久才會發覺有人收了你的簡訊,這讓攻擊者有足夠時間劫持你的帳號。

簡訊攻擊的主要疑慮莫過於可其他帳號的小三通運輸安全造成影響。如果攻擊者能將發送到你手機號碼的密碼不斷電系統重置連結或代碼拿到手,他們就能劫持你的帳號。《Motherboard》透過 Postmates、WhatsApp 和 Bumble 發現,有時簡訊也會用來發送伊頓飛瑞登錄連結。

這著實提醒我們,今後與安全相關的任何事玄關門情都應儘可能避免使用簡訊。對 2FA 驗證,最好使用像 Google Authenticator 或 Authy 之類 App。雙玄關門一些密碼管理器甚至支援 2FA 內建,如 1Password。當前仍不乏有許多服務和公司只把簡訊當成第二身分驗證因素,尤以3D列印代工金融業最臭名昭彰。你必須確保密碼安全且獨一無二,然後再致力遠離簡訊服務,並促使電信產業進一步提升安全性。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *