簡訊驗證一點也不安全!駭客只花 16 美元就能收到所有簡訊與密碼
據新聞媒體網站《Motherboard》報導指出,最近發現一種專門針對 SMS 簡訊的惡意攻擊,受害者幾乎感受不到攻擊,且諷刺的是,電信產業似乎間接批准這種攻擊。這次利用專門鎖定企業的簡訊發送管理服務,以便神不知鬼不覺將受害者簡訊轉發給駭客,獲得透過簡訊發送的雙因素驗證(2FA)碼或登錄連結。
雖然提供這類服務的公司有時並不會將任何類型簡訊發送給已重定向的電話號碼,而會請求許可,甚至會通知用戶簡訊將發送給其他人。但透過這些服務,攻擊者不僅能攔截內送簡訊,甚至還可代替回覆。
《Motherboard》記者 Joseph Cox 就因電話號碼遭駭客攻擊,將自己的經歷公諸於世,最誇張的是,攻擊者只花 16 美元就搞定一切。當 Cox 聯絡其他簡訊轉發服務供應商時,其中一些供應商回報說以前見過這種攻擊。
據報導,《Motherboard》使用服務的公司已修復漏洞,但仍有許多供應商沒有任何動作,且似乎也沒人要求這些公司負責。當被問到為什麼會讓這種攻擊真的發生,AT&T 和 Verizon 只建議 Cox 聯繫美國行動通訊產業協會(Cellular Telecommunications Industry Association,CTIA)。但 CTIA 並未立即發表評論,僅表示目前沒有跡象表明有任何潛在威脅的惡意活動,抑或任何顧客受影響。
避免再使用簡訊驗證身分,駭客有可能拿到密碼並劫持帳號
長久以來,駭客早發現許多利用 SMS 和蜂巢系統漏洞以獲取他人簡訊的攻擊手法,如 SIM 卡劫持(SIM Swapping)和 SS7(Signaling System Number 7)攻擊就流傳好多年了,有時甚至用來鎖定名人。但透過 SIM Swapping 攻擊,使用者很容易查覺自己被攻擊,因為使用者的手機完全連不到蜂巢網路。但如果透過簡訊轉發,可能要過很久才會發覺有人收了你的簡訊,這讓攻擊者有足夠時間劫持你的帳號。
簡訊攻擊的主要疑慮莫過於可其他帳號的安全造成影響。如果攻擊者能將發送到你手機號碼的密碼重置連結或代碼拿到手,他們就能劫持你的帳號。《Motherboard》透過 Postmates、WhatsApp 和 Bumble 發現,有時簡訊也會用來發送登錄連結。
這著實提醒我們,今後與安全相關的任何事情都應儘可能避免使用簡訊。對 2FA 驗證,最好使用像 Google Authenticator 或 Authy 之類 App。一些密碼管理器甚至支援 2FA 內建,如 1Password。當前仍不乏有許多服務和公司只把簡訊當成第二身分驗證因素,尤以金融業最臭名昭彰。你必須確保密碼安全且獨一無二,然後再致力遠離簡訊服務,並促使電信產業進一步提升安全性。
(首圖來源:TextMagic)