如何防范SIM卡交換騙子？

解答動態(tài)

• 

  你不使用作為第二個因素。
  SMS無論如何都不安全。文本處于清除狀態(tài)，流量處于清除狀態(tài)，假裝受害者很容易獲得新的SIM卡。有一次，我的手機被偷了，只需走到電信公司的電話亭，告訴我的名字和電話號碼，我就給自己買了一個新的SIM卡。
  Google驗證器離線了。它完全不依賴于SIM卡。您甚至可以使用PHP/Python/Perl/Javascript離線計算OTP令牌。你甚至可以用計算器在上面運行程序來實現(xiàn)這一點。對于嚴肅的2FA認證系統(tǒng)，手機只是第二個因素。這意味著，要想模仿受害者，攻擊者還應(yīng)該猜測主要因素（密碼）。真正糟糕的是，一些身份驗證系統(tǒng)，包括一些銀行的系統(tǒng)，接受持有第二個身份驗證因素的手機作為主要密碼恢復工具。這顯然破壞了2FA的安全。如果發(fā)生這種情況，我認為銀行的責任應(yīng)該包括：他們強迫客戶使用損壞的弱身份驗證系統(tǒng)。但是IANAL不知道在任何國家是否發(fā)生過與此相關(guān)的法律訴訟……
  
• 

  導致sim卡交換的主要漏洞之一是來自社會工程攻擊。如果你必須使用2FA，一種方法是使用谷歌語音號碼。由于googlevoice的客戶支持很少，所以很少有機會執(zhí)行社會工程攻擊。這不是一個好的解決方案，而且，正如其他答案所說，跳過s2fa是最好的。但是，如果您必須使用SMS 2FA，這可能比什么都沒有好。
  
• 

  您選擇不使用電話號碼的12FA是因為您（和您的提供商）對自己電話號碼的安全負有責任。之所以選擇它，是因為幾乎每個人都可以訪問一個電話號碼，而這個號碼（編輯：似乎）在你的手機中相當安全，因此方便、快捷和簡單。
  如果你設(shè)計的服務(wù)不是主要因素，你可以選擇另一種方法，不要使用基于電話號碼的2FA。
  EDIT：有人向我指出，sim卡交換比我想象的要普遍作者：
  I don我不認為這是不尋常的。我有個朋友是受害者。他很痛苦。他們傾向于將目標鎖定在比特幣網(wǎng)站上有賬戶的人。隨著比特幣的上漲，我想我們可以期待越來越多的此類攻擊krebsonsecurity.com/tag/sim-換個也可以考慮現(xiàn)在使用假要容易得多。手機商店需要遮罩，所以照片不需要太多匹配。
  還有一個角度，手機被一些惡意軟件破壞，這些惡意軟件會在登錄時讀取2FA代碼（甚至可能通過我的手機登錄并在同一個被破壞的手機上接收2FA來訪問我的用戶名/密碼）。
  
• End