黑客通过重定向他的Verizon电话号码来劫持
今天我了解到,对于一个人来说,打电话给提供商和改变你的SIM是相当容易的。黑客得到了帐户验证文本。
正如一系列推文中所详述的那样,今天早上,有人打电话给Verizon,称他为McKesson,显然他的社会保障号码的最后四位数。这个人改变了他的帐户上的注册SIM到一个他们操纵,重定向和短信到他们的手机,而不是他的。之后,他们只是在Twitter上触发了一个密码重置,并等待授权代码进来。
虽然@Deray能够在Twitter的帮助下恢复他的帐户(与@Jack做朋友很好),但对于正常用户来说,这可能不那么容易。不幸的是,即使有这样的额外安全措施,各种类型的社会工程仍然会危及你的信息。黑客在2014年使用了类似的消息来操纵开辟商Grant Blakeman的Instagram页面,并在2012年通过重定向其AT&;T语音信箱访问了Cloudflare CEO的Gmail帐户。当一个黑客说服亚马逊放弃他的信用卡号码的最后四位数时,有线作家Mat Honan接管了他的帐户和设备,然后用这些信息为他的苹果iCloud帐户获得了一个新密码。
那么你还能做些什么来保护自己呢?不幸的是,许多服务仍然使用短信或电话来执行第二位身份验证(使用谷歌认证程序等应用程序提供的一次性密码将您的电话号码从等式中删除),而当涉及到电话和电缆提供商时,它们基本上不支持双因素。相反,默认情况下,他们将使用SSN在电话中验证帐户信息,就像在这种情况下看到的,这是非常容易被黑客发现的。
Buzzfeed指出了FCCCTO最近公布的一项建议:主要的移动运营商将同意 您设置自己的密码,这是帐户访问所必需的。Sprint在帐户设置时需要一个PIN,Verizon可以设置一个四位数的计费密码,T-Mobile将设置一个客户关心密码,AT&;T同意 您通过其应用程序设置一个密码。您的互联网服务提供商可能也有类似的选择,但您可能也必须在那里请求它。
Verizon拥有Engadget的母公司Verizon Media。请放心,Verizon无法操纵我们的覆盖范围。Engadget在编辑上仍然独立。