北京
500萬美元,折合人民幣超過3400萬。這不是一起銀行搶劫案,而是通過一種叫“SIM Swap”的技術手段完成的數字劫持。波蘭中央網絡犯罪局聯(lián)合美國FBI,剛剛逮捕了4名涉案的犯罪團伙成員。
SIM Swap,全稱SIM卡置換攻擊,運作邏輯簡單但破壞力極大。攻擊者的目標不是盜取手機,而是直接接管你的手機號碼。具體來說,他們會非法將受害者的手機號轉移到自己控制的SIM卡或eSIM上。一旦號碼被遷移,你的通話、短信就會全部落入攻擊者手里,而你手里的真卡瞬間變磚。
這個團伙是怎么拿到轉移號碼所需的關鍵資料的呢?警方通報揭露了他們的手法:專業(yè)軟件加上社會工程學手段。他們瞄準的是與電信運營商合作的企業(yè),入侵這些公司的IT基礎設施和員工郵箱系統(tǒng),從中竊取能夠實施SIM Swap的憑證和數據。整個過程不需要接觸受害者本人,只需要突破運營商外圍的合作生態(tài)。
號碼一旦到手,攻擊鏈條就完整了。他們可以實時攔截受害者收到的短信驗證碼以及郵箱驗證信息。這就是問題的關鍵:當短信驗證碼已經成為大量在線服務的二次驗證手段時,誰掌控了手機號,誰就拿到了通往銀行賬戶、加密貨幣錢包的鑰匙。該團伙正是利用這一點,繞過雙重驗證機制,直接竊取銀行卡信息和加密貨幣資產。贓款隨后被層層轉移洗白。
目前這4名嫌疑人已被波蘭法院批準羈押。他們面臨的指控包括參與有組織犯罪集團、非法入侵信息系統(tǒng)實施盜竊以及洗錢等多項罪名。按照波蘭法律,如果罪名全部成立,最高刑期是25年。
安全專家給出的建議很明確:別再依賴短信驗證碼作為核心身份驗證方式。更安全的替代方案是基于應用的身份驗證器,或者使用硬件安全密鑰。只要手機號被劫持的可能性存在,收短信這一步就是整個安全鏈條上最薄弱的環(huán)節(jié)。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
