曾经的黑客CosmoTheGod Eric Taylor就曾在他的著名案件中采用了这种手段,例如2012年他入侵CloudFlare CEO的邮箱帐号一案。如今Taylor已在安全公司Path Networ任职。他告诉我们,把电话号绑定上任何网上账号都是作死:“随便一个十几岁的小孩都能打个电话给运营商拿到你的电话号,然后盗你的号。这种事一直有。”
Celsus Advisory Group的智能与研究部门总监Roel Schouwenberg正在从事SIM卡调换、双重验证规避和非法账号恢复等黑客作案手法的研究。在他看来,没有人的手机账号是万无一失的,而消费者必须意识到这一点。
“任何类型的电话号码都可以被转移。有资源的犯罪分子完全可以暂时骗取一个电话号,,这点时间就足够他们彻底掌握这个电话号。”
Schouwenberg去年在博文就指出,电话号码已经成为了我们网上身份的“万能钥匙”。
“大多数系统的安全措施都并非针对获取了用户电话号的黑客。这非常糟糕。我们的电话号已经成为了不可撤销的身份资料。但就像社会安全号码一样,电话号原本不是如此重要的信息。而如今有一个电话号就可以拿到你几乎所有的账号。”
至于拿到你的电话号后做什么,这主要取决于黑客劫持的目的。
如果你的自行车被盗,那你应该上Craiglist看看是不是被人在黑市上出售了。如果你的Instagram账号通过SIM调换被盗,那你应该上OGUSERS看看。
乍一看,OGUSERS似乎只不过是个普通的论坛。上面有“其他/搞笑”和其他栏目,用户在讨论隐约、娱乐、动漫、游戏等各种话题。但最大最活跃的板块其实是社交媒体和游戏账号的交易市场,交易价有时高达几千美金。
在最近一个帖子中,有人以2万美金的高价出手了Instagram账号@Bitcoin。还有一个帖子上,有人挂了Instagram的@eternity账号,价格为1千美金。
