美国联邦通信委员会希望打击 SIM 卡交换这种常见的身份盗窃形式

美国联邦通信委员会 (FCC) 发布了拜登时代提出的首批网络安全规则。在提案中，FCC 解决了一个严重的问题，即 SIM 卡交换——一种常见的数字身份盗窃形式，几乎无法防范。

网络情报公司 Unit221B 的首席研究官艾利森·尼克松 (Allison Nixon) 表示：“不幸的是，这种情况绝对需要政府监管介入，​​因为私营公司根本无法自己解决这个问题。”

Twitter 首席执行官杰克·多西 (Jack Dorsey) 于 2019 年遭遇 SIM 卡交换事件。AT&T 和 T-Mobile 都卷入诉讼，指控他们未能保护客户免受此类攻击。一位加密货币投资者甚至起诉一名高中生，指控他通过 SIM 卡交换窃取了价值 2380 万美元的加密货币。

以下是您需要了解的这种日益常见的黑客行为以及美国联邦通信委员会 (FCC) 为阻止这种行为所采取的措施。

什么是 SIM 卡交换？

尼克松表示，SIM 卡交换是一种欺诈行为，攻击者会窃取您的电话号码，并用它来验证您拥有的账户。如果您启用了双重身份验证，通常会向您的手机发送验证码，以便进入您的账户。大多数黑客进行 SIM 卡交换就是因为这种身份验证过程，因为一旦黑客获得了电话号码，就很容易进入人们的电子邮件和银行账户。

比如，如果你曾经登录过一个账户，然后通过手机短信收到了确认码，那么你就经历过黑客利用的那一刻。

麦吉尔大学信息学院教授 Benjamin Fung 表示：“去年，不同国家的 SIM 卡交换攻击急剧增加，不仅在美国，在加拿大和欧洲也是如此。”他指出，这种做法激发了许多人效仿，因为这种攻击不需要太多时间或技术技能，而且可以获得有利可图的银行账户登录信息。

SIM 卡交换如何运作？

黑客可以通过几种不同的方式实现这一目标。黑客可以打电话给你的手机运营商，假装是你，说他们换了一部新手机，然后要求运营商将号码转到他们的手机上。或者他们可以打电话给其他运营商，比如说他们想从 Verizon 转到 AT&T，然后将号码转到新的 AT&T 手机上。

另一种方法是在运营商网络上安装恶意软件，然后利用恶意软件控制员工账户，以强制执行他们想要的更改。他们还可以贿赂、敲诈或勒索电话运营商的员工，以获取他们想要的号码。

“受害者只会看到他们的手机停止接收服务，因为运营商此时正在为另一部手机提供服务，”尼克松说。“看起来就像你没有支付账单，你的服务被切断了。”然后受害者将不得不袖手旁观，看着他们的账户密码被重置，直到他们被锁定在所有或大多数账户之外。

人们该如何保护自己？

人们几乎无能为力保护自己免受这种攻击。“问题在于人们在互联网上的身份识别方式有问题，”尼克松说。“对网站来说，你这个人只不过是你的手机。如果其他人能够窃取你的电话号码，那么他们实际上就是你。”

尼克松多年来一直与被调换 SIM 卡的人打交道，她说她见过这样的情况：诈骗者证明被盗数字身份的能力比受害者验证自己的能力更强。她的受害者往往是采取了所有建议的数字预防措施但仍然被永久锁定在账户之外的人。“我们建立互联网的基础已经出现裂缝，而这个基础本身需要修复，”她说。

当尼克松与她的高端客户打交道时，她告诉他们要假设电话系统已被入侵，任何涉及使用电话号码进行验证的双重身份验证都是可疑的。使用 Yubikey（一种在登录时必须按下按钮的物理钥匙）是安全的，使用像 Authy 这样的身份验证应用程序也是安全的，它会在登录时生成您输入的号码或要扫描的条形码。

为什么电话公司不解决这个问题？

尼克松说，如果你带着 1,000 美元走进一家手机店，告诉他们你忘记了登录信息，但想买一部手机，那么电话公司很可能会想办法让你访问自己的账户，因为他们想要这份生意。这种想法与账户安全背道而驰。

“问题是这些账户很容易被接管，因为这些电话公司想要销售手机和服务计划，”尼克松说。“如果这些公司控制了这些账户，普通消费者购买手机就会变得更加困难。”

解决这个问题需要让客户账户更加安全，而这会让电话公司获得客户的成本更高。“除非政府强迫公司解决这个问题，否则这个问题是不会解决的，”尼克松说。

FCC 将如何解决这个问题？

美国联邦通信委员会提出的法规将要求电话运营商在将用户号码转移到新手机之前验证用户身份。用户可以通过提供预先设定的密码或通过短信、电子邮件或电话获取一次性密码来验证身份。

如果用户账户的 SIM 卡被更改，运营商也必须立即通知用户。目前，这种更改是即时发生的，没有任何警告，用户也没有机会抗议或撤销更改。

如果客户无法通过这些方法验证其账户，供应商将无法交换 SIM 卡。电话运营商还必须在客户的账户上提供“端口冻结”选项，不允许交换 SIM 卡。

“此举将杜绝大量 SIM 卡调换案件，”Fung 说道。“虽然此举可能无法完全杜绝此类网络攻击，但总比没有好。”

尽管美国电信已经就联邦通信委员会提案的其他方面发表了声明，但电话提供商尚未对这些新要求表示不满。

“几乎所有人都一致认为 SIM 卡交换器很糟糕，”尼克松说。“也许一些游说团体会试图反对这项提议，因为它会增加提供商的成本。但你知道吗？受害者现在正在承受成本。没有人为他们游说。”