美國(guó)信息泄露嚴(yán)重：黑客補(bǔ)辦SIM卡來(lái)偷你的賬號(hào)

MSCBSC訊 7月25日消息，國(guó)外媒體Motherboard網(wǎng)絡(luò)安全記者Lorenzo Franceschi-Bicchierai撰文揭秘從事SIM卡劫持的黑客。作者探訪了買賣社交媒體和游戲賬號(hào)的論壇OGUSERS，那些賬號(hào)往往是通過(guò)“SIM卡劫持”盜取的。通過(guò)SIM卡劫持，黑客盜用目標(biāo)對(duì)象的手機(jī)號(hào)碼，然后進(jìn)行密碼重置一一接管受害者的各種賬號(hào)。正如一名深受其害的受害者所感悟的，手機(jī)號(hào)碼是我們的數(shù)字生活中最薄弱的一環(huán)。

以下是文章主要內(nèi)容：

在鹽湖城的郊區(qū)，這似乎是又一個(gè)溫暖的九月夜晚。瑞秋·奧斯特倫德(Rachel Ostlund)剛剛讓她的孩子上床睡覺，自己也準(zhǔn)備去睡覺。她在和妹妹發(fā)短信時(shí)，手機(jī)突然失去了服務(wù)。瑞秋收到的最后一條信息來(lái)自她的運(yùn)營(yíng)商T-Mobile。信息上說(shuō)，她的手機(jī)號(hào)的SIM卡已經(jīng)“更新”。

接著，瑞秋做了大多數(shù)人在這種情況下會(huì)做的事：她一次又一次地重啟手機(jī)。但這毫無(wú)幫助。

她走上樓，告訴丈夫亞當(dāng)（Adam）她的手機(jī)用不了了。亞當(dāng)試著用他的手機(jī)撥打瑞秋的手機(jī)號(hào)碼。電話鈴聲響了，但瑞秋手里的手機(jī)并沒有亮屏。沒有人接聽。與此同時(shí)，瑞秋登錄她的電子郵箱，發(fā)現(xiàn)有人正在重置她許多賬號(hào)的密碼。一個(gè)小時(shí)后，亞當(dāng)接到了一個(gè)電話。

“讓瑞秋接聽，”電話那頭傳來(lái)聲音，“就現(xiàn)在�！�

亞當(dāng)予以了拒絕，問對(duì)方發(fā)生了什么事。

“你已經(jīng)被我們完全掌控了，我們將摧毀你的生活�！贝螂娫挼娜苏f(shuō)，“你識(shí)趣的話，就讓你的妻子接聽�！�

亞當(dāng)拒絕了。

“我們會(huì)摧毀你的信用記錄。”那人接著說(shuō)，并提到了瑞秋和亞當(dāng)?shù)囊恍┯H戚以及他們的地址，“如果我們傷害他們會(huì)怎樣？如果我們毀了他們的信用記錄，然后給他們留言說(shuō)都是你造成的，會(huì)怎樣？”這對(duì)夫婦認(rèn)為打電話的人是從瑞秋的亞馬遜賬號(hào)上獲得那些親戚的信息的。

這對(duì)夫婦還不清楚狀況，但他們剛剛成為黑客的最新受害者。這些黑客劫持人們的手機(jī)號(hào)碼，目的是盜取Instagram上有價(jià)值的用戶名，然后把它們賣掉換取比特幣。在2017年夏末的那個(gè)晚上，奧斯特倫夫婦是在和兩名黑客通電話，后者霸占了瑞秋的Instagram賬號(hào)@Rainbow。他們現(xiàn)在要求瑞秋和亞當(dāng)放棄她的Twitter賬號(hào)@Rainbow。

根據(jù)參與過(guò)交易的人士的說(shuō)法和一個(gè)熱門市場(chǎng)上的行情表，在熙熙攘攘的圍繞被盜的社交媒體賬號(hào)和游戲賬號(hào)的地下市場(chǎng)，一個(gè)簡(jiǎn)短的、獨(dú)特的用戶名可以賣到500美元到5000美元不等。幾名參與過(guò)地下市場(chǎng)交易的黑客聲稱，像@t這樣的Instagram賬號(hào)最近賣到了價(jià)值約4萬(wàn)美元的比特幣。

通過(guò)劫持瑞秋的手機(jī)號(hào)碼，黑客們不僅能接管瑞秋的Instagram賬號(hào)，還能接管她的亞馬遜、Ebay、PayPal、Netflix和Hulu賬號(hào)。一旦黑客控制了瑞秋的手機(jī)號(hào)碼，她為保護(hù)其中一些賬號(hào)而采取的安全措施(包括雙重認(rèn)證)都無(wú)補(bǔ)于事。

“那是一個(gè)讓人非常緊張的夜晚，”亞當(dāng)回憶道，“真不敢相信他們竟膽敢給我們打電話�！�

被忽視的威脅

今年2月，T-Mobile大范圍發(fā)出短信，提醒用戶警惕一個(gè)“全行業(yè)的”威脅。該公司表示，犯罪分子越來(lái)越多地利用“手機(jī)號(hào)碼轉(zhuǎn)移詐騙”手法來(lái)鎖定和盜取人們的手機(jī)號(hào)碼。這種騙局也被稱為“SIM卡調(diào)換”或“SIM卡劫持”，手法簡(jiǎn)單粗暴，但非常有效。

首先，不法分子假扮成他們的目標(biāo)人物，撥打手機(jī)運(yùn)營(yíng)商的技術(shù)支持號(hào)碼。他們向運(yùn)營(yíng)商的員工解釋說(shuō)他們“丟失”了SIM卡，要求將自己的手機(jī)號(hào)碼轉(zhuǎn)移或移植到黑客已經(jīng)擁有的新SIM卡上。通過(guò)設(shè)置一點(diǎn)社交工程陷阱（通常以交談、欺騙、假冒或口語(yǔ)等方式，從合法用戶中套取用戶系統(tǒng)的秘密）——或許通過(guò)提供受害者的社保號(hào)碼或家庭住址(這些信息通常是因?yàn)檫^(guò)去幾年頻繁發(fā)生的數(shù)據(jù)泄露事件而外泄的)——不法分子說(shuō)服員工他們真的是手機(jī)號(hào)所有者，然后員工就會(huì)將手機(jī)號(hào)碼移植到新的SIM卡上。

一切都完了。

“有了某人的手機(jī)號(hào)碼，”一個(gè)做SIM卡劫持的黑客告訴我，“你可以在幾分鐘內(nèi)進(jìn)入他們所有的賬號(hào)，而他們對(duì)此完全無(wú)能為力�！�

瑞秋·奧斯特倫德在手機(jī)號(hào)碼被黑客們接管后收到的短信截圖

在那以后，受害者失去了手機(jī)服務(wù)，因?yàn)橹挥幸粡圫IM卡可以連接到手機(jī)網(wǎng)絡(luò)上。黑客可以重置受害者的賬號(hào)，通�？梢酝ㄟ^(guò)將手機(jī)號(hào)碼用作賬號(hào)恢復(fù)方式來(lái)繞過(guò)諸如雙重認(rèn)證的安全措施。

某些服務(wù)，包括Instagram，要求用戶在進(jìn)行雙重認(rèn)證設(shè)置時(shí)提供手機(jī)號(hào)碼，這一規(guī)定反而造成的意想不到的影響：給了黑客另一種進(jìn)入賬號(hào)的方法。這是因?yàn)椋�如果黑客控制了一個(gè)目標(biāo)對(duì)象的手機(jī)號(hào)碼，他們就可以繞過(guò)雙重認(rèn)證，獲得他們的Instagram賬號(hào)，連賬號(hào)密碼都不需要知道。

曾被稱作CosmoTheGod的黑客埃里克·泰勒(Eric Taylor)將這種技術(shù)用于他最有名的一些攻擊活動(dòng)，比如2012年他侵入了CloudFlare首席執(zhí)行官的郵箱賬號(hào)。泰勒現(xiàn)在在安全公司Path Network工作，他告訴我，只要手機(jī)號(hào)碼關(guān)聯(lián)了你的任何一個(gè)網(wǎng)絡(luò)賬號(hào)，你“就很容易受到攻擊，他們會(huì)在你打電話給你該死的供應(yīng)商的五分鐘內(nèi)接管你的各種賬號(hào)�！�

“這種事經(jīng)常發(fā)生�！彼�補(bǔ)充說(shuō)。

咨詢公司Celsus Advisory Group的情報(bào)與研究主管羅埃爾·舒溫伯格(Roel Schouwenberg)研究過(guò)SIM卡調(diào)換、繞過(guò)雙重認(rèn)證和濫用賬號(hào)恢復(fù)機(jī)制等問題。在他看來(lái)，沒有一個(gè)手機(jī)號(hào)碼是百分百安全的，消費(fèi)者需要意識(shí)到這一點(diǎn)。

“任何類型的號(hào)碼都可以移植，”舒溫伯格告訴我，“一個(gè)下定決心且設(shè)施優(yōu)良的犯罪分子至少能夠獲得一個(gè)號(hào)碼的暫時(shí)訪問權(quán)，這通常足以成功完成一場(chǎng)搶劫�！�

這令人十分不安。正如他去年在一篇博客文中所說(shuō)的，手機(jī)號(hào)碼已經(jīng)成為我們整個(gè)網(wǎng)絡(luò)身份的“萬(wàn)能鑰匙”。

“大多數(shù)系統(tǒng)的設(shè)計(jì)都不是為了針對(duì)攻擊者接管手機(jī)號(hào)碼的行為。這非常非常糟糕�！笔鏈夭�格寫道，“我們的手機(jī)號(hào)碼成了近乎不可撤銷的憑據(jù)。它的初衷從來(lái)都不是這樣，就像社保號(hào)碼從來(lái)就不是憑證一樣。今天，手機(jī)號(hào)碼成為了通向大部分的服務(wù)和賬號(hào)的鑰匙�！�

一旦掌控了你的手機(jī)號(hào)碼，黑客就能為所欲為。

“我拿了他們的錢過(guò)我的生活”

如果你的自行車被偷了，你應(yīng)該去Craigslist看看是否有人在黑市上轉(zhuǎn)手。如果你的Instagram賬號(hào)被通過(guò)SIM卡調(diào)換手法盜取，你應(yīng)該去OGUSERS看看。

乍一看，OGUSERS看起來(lái)跟任何其他的論壇沒什么兩樣。上面有一個(gè)“垃圾郵件/笑話”版塊，另外一個(gè)版塊則是關(guān)于音樂、娛樂、動(dòng)漫和游戲等話題的閑聊。但最大和最活躍的版塊是用戶買賣社交媒體和游戲賬號(hào)的市場(chǎng)——有的賬號(hào)能夠賣到數(shù)千美元的價(jià)錢。

該論壇的一位管理員在最近發(fā)表的一篇帖子中說(shuō)，有人以2萬(wàn)美元的價(jià)格賣出了Instagram賬號(hào)@Bitcoin。在截至6月13日仍掛在上面的一個(gè)列表上，一名用戶對(duì)Instagram賬號(hào) @eternity標(biāo)價(jià)1000美元。

這只是OGUSERS上賬號(hào)交易的兩個(gè)例子。該論壇于2017年4月上線，旨在為人們提供一個(gè)購(gòu)買和銷售“OG”用戶名的平臺(tái)。(該論壇的名字取自意指原始的大佬的俚語(yǔ)“original gangster”的縮寫OG)。在社交媒體上，帶有“OG”的用戶名被認(rèn)為很酷，或許是因?yàn)樗�是一個(gè)很獨(dú)特的詞，就像@Sex、@eternal或@Rainbow那樣。又或許是因?yàn)樗�是一個(gè)非常簡(jiǎn)短的賬號(hào)，就像@t或@ty那樣。名人也是黑客的攻擊目標(biāo)。

賽琳娜·戈麥斯的Instagram賬號(hào)被黑后的截圖

例如，去年8月，黑客劫持了賽琳娜·戈麥斯(Selena Gomez)的Instagram賬號(hào)，并在上面發(fā)布了賈斯汀·比伯(Justin Bieber)的裸照。戈麥斯賬號(hào)名上的第一個(gè)名字也被改成了“Islah”，和當(dāng)時(shí)OGUSERS論壇上某位叫Islah的用戶使用的名字一樣。據(jù)OGUSERS的黑客稱，聲稱參與侵入戈麥斯賬號(hào)的人說(shuō)，他們是通過(guò)接管與這位藝人的Instagram賬號(hào)關(guān)聯(lián)的手機(jī)號(hào)碼來(lái)做到這一點(diǎn)的。當(dāng)時(shí)，戈麥斯的Instagram賬號(hào)上有1.25億粉絲。

一名OGUSERS用戶在題為“RIP SELENA GOMEZ”（安息吧，賽琳娜·戈麥斯）的帖子中評(píng)論道，“該死的，他們黑了Instagram上最受關(guān)注的人�！�

戈麥斯的發(fā)言人拒絕置評(píng)。

用戶們?cè)贠GUSERS論壇的一篇帖子中評(píng)論賽琳娜·戈麥斯賬號(hào)被黑一事。

截至今年6月，OGUSERS擁有超過(guò)5.5萬(wàn)注冊(cè)用戶和320萬(wàn)個(gè)帖子。每天登陸的活躍用戶約有1000名。

該網(wǎng)站的用戶不可以討論SIM卡調(diào)換。當(dāng)有人暗指這一越來(lái)越流行的做法時(shí)，其他人往往會(huì)發(fā)出這樣的信息：“我不寬恕任何的非法活動(dòng)。”然而，兩位資深用戶Ace(被列為論壇的版主之一)和Thug告訴我，SIM卡調(diào)換是OGUSERS成員用來(lái)盜取用戶名的常用方法。

要通過(guò)SIM卡調(diào)換手法盜取用戶名，用戶必須要先知道哪個(gè)手機(jī)號(hào)碼與該用戶名相關(guān)聯(lián)。

事實(shí)證明，在網(wǎng)上找到這類信息并不像人們想象的那么困難。

去年，黑客們推出了一項(xiàng)名為Doxagram的服務(wù)。在該服務(wù)上，你可以付費(fèi)查明與特定Instagram賬號(hào)相關(guān)聯(lián)的手機(jī)號(hào)碼和電子郵箱。(Doxagram推出時(shí)，它在OGUSERS上做了廣告。)由于一系列引人注目的黑客攻擊，社保號(hào)碼長(zhǎng)久以來(lái)一直都相對(duì)容易找到，如果你知道在網(wǎng)絡(luò)地下市場(chǎng)的哪個(gè)地方尋找的話。

Ace聲稱已經(jīng)不再?gòu)氖落N售用戶名的行當(dāng)。Thug說(shuō)，他們使用內(nèi)部的T-Mobile工具來(lái)查找用戶的數(shù)據(jù)，從而進(jìn)行SIM卡調(diào)換。在聊天期間，該黑客向我展示了他們?yōu)g覽該工具的截圖。

黑客Thug在最近的一次聊天中發(fā)來(lái)其瀏覽用戶數(shù)據(jù)查找工具的截圖

為了測(cè)試一下，我給了Thug我的手機(jī)號(hào)碼。該黑客發(fā)回了一個(gè)屏幕截圖，上面包含我的家庭地址、IMSI號(hào)碼(國(guó)際移動(dòng)用戶識(shí)別碼)和其他理論上的秘密賬號(hào)信息。Thug甚至看到了我給T-Mobile提供的用來(lái)保護(hù)我的賬號(hào)的特殊指令。

“我都瘋掉了�！蔽艺f(shuō)。

“的確，這是一個(gè)瘋狂的網(wǎng)絡(luò)世界�！盩hug回答。

事實(shí)上，這并不是第一次有陌生人訪問我的私人信息——本應(yīng)受T-Mobile保護(hù)的私人信息。

去年，一名安全研究人員利用T-Mobile網(wǎng)站上的一個(gè)漏洞來(lái)獲取幾乎相同的信息。在修補(bǔ)了漏洞之后，T-Mobile最初對(duì)這個(gè)漏洞的影響不屑一顧，稱沒有人有利用過(guò)它。但事實(shí)上，很多人都利用了。在該公司填補(bǔ)漏洞之前，YouTube上有個(gè)詳細(xì)解釋了如何利用這個(gè)漏洞獲取人們的私人數(shù)據(jù)的教程視頻存在了好幾周時(shí)間。

Thug說(shuō)，在過(guò)去的幾年里，電信運(yùn)營(yíng)商讓像他們這樣的黑客越來(lái)越難實(shí)施攻擊。

在最近的一次在線聊天中，Thug告訴我說(shuō)：“以前直接打電話給運(yùn)營(yíng)商(例如，T-Mobile)，告訴他們給手機(jī)號(hào)碼更換SIM卡就行了，就這么簡(jiǎn)單。而現(xiàn)在，你需要認(rèn)識(shí)在運(yùn)營(yíng)商工作的人，你給他們100美元他們就會(huì)給你PIN碼�！�

Thug和Ace解釋說(shuō)，許多黑客現(xiàn)在招募在T-Mobile和其他運(yùn)營(yíng)商工作的客戶支持人員或店面員工，花80美元或100美元收買他們，讓他們對(duì)目標(biāo)對(duì)象進(jìn)行SIM卡調(diào)換。Thug聲稱他們通過(guò)賄賂內(nèi)部人士獲得了上述T-Mobile內(nèi)部工具的使用權(quán)，但Motherboard無(wú)法證實(shí)這一說(shuō)法。T-Mobile拒絕回答有關(guān)該公司是否有內(nèi)部人士參與SIM卡調(diào)換騙局的證據(jù)的問題。

“有內(nèi)部人士的幫助，我們的工作變得更加便捷，”Thug說(shuō)道。

Ace補(bǔ)充說(shuō)，找到內(nèi)部人士并不是主要的挑戰(zhàn)。“說(shuō)服他們按照你的要求去做，才是困難所在�！�

用戶“Simswap”在OGUSERS上發(fā)帖宣傳一項(xiàng)偽造ID和其它文件的服務(wù)。

安全公司Flashpoint最近進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn)，犯罪分子越來(lái)越多地從電信業(yè)內(nèi)人士那里得到幫助，來(lái)進(jìn)行SIM卡調(diào)換。美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）前首席技術(shù)官洛里·克蘭納(Lorrie Cranor)表示，她已多次看到運(yùn)營(yíng)商內(nèi)部人士牽涉進(jìn)此類攻擊的證據(jù)。安全研究員、SIM卡調(diào)換先驅(qū)泰勒說(shuō)，他認(rèn)識(shí)一些從門店員工那里得到幫助的人。在安全記者布萊恩·克雷布斯（Brian Krebs）最近寫到的一個(gè)案例中，一名T-Mobile門店的雇員進(jìn)行了未經(jīng)授權(quán)的SIM卡調(diào)換，進(jìn)而盜取了一個(gè)Instagram賬號(hào)。

當(dāng)然，SIM卡調(diào)換并不是OGUSERS論壇上的人掌控賬號(hào)的唯一方式。Thug告訴我，有一種不那么惡劣的、被稱為“turboing”的劫持使用程序在賬號(hào)放出后第一時(shí)間自動(dòng)注冊(cè)，盡管它沒有SIM卡調(diào)換那么有效。

但是，如果說(shuō)竊取手機(jī)號(hào)碼是一種更有效的方法，這并不是因?yàn)楹诳蛡內(nèi)狈��?qiáng)大的技能。據(jù)Ace和Thug估計(jì)，只有大約50個(gè)OGUSERS成員擁有社交工程技能和技術(shù)工具來(lái)盜取手機(jī)號(hào)碼。

在和Ace和Thug聊天時(shí)，我問他們，當(dāng)涉及到入侵人們的在線賬戶、加密貨幣錢包或銀行賬戶時(shí)，他們是否會(huì)感到后悔。

“很遺憾地說(shuō)，一點(diǎn)都不后悔�！盇ce說(shuō)，“我拿了他們的錢過(guò)我的生活。是他們沒有做好安全措施�！�

Thug補(bǔ)充說(shuō)，像他們這樣的犯罪黑客基本上沒造成什么傷害，尤其是只是針對(duì)用戶名的活動(dòng)。

“就只是盜取一個(gè)用戶名。沒什么特別的，”Thug說(shuō)，“沒有任何的損失，就只是失去一個(gè)愚蠢的用戶名而已。”

一個(gè)日益嚴(yán)重的問題

不管他們是否在售賣Instagram用戶名，從事SIM卡調(diào)換的人都能賺大錢。

“整個(gè)模式非常有利可圖，”曾研究基于SIM卡調(diào)換的犯罪行為的Recorded Future安全研究員安德烈·巴列塞維奇(Andrei Barysevich)告訴我，“如果你知道如何置換SIM卡，那你就能夠賺大錢。”

以虛擬現(xiàn)實(shí)公司IRL VR的創(chuàng)始人科迪·布朗（Cody Brown）為例。去年，在黑客控制他的手機(jī)號(hào)碼，然后借此侵入他的電子郵箱和Coinbase賬號(hào)后，他在短短15分鐘內(nèi)就損失了超過(guò)8000美元的比特幣。在布朗遭黑客攻擊之時(shí)，這種攻擊非常猖獗，以至于為一些最流行的在線加密貨幣平臺(tái)提供雙重驗(yàn)證的應(yīng)用Authy特意提醒用戶注意SIM卡調(diào)換行為，并增加了額外的安全功能來(lái)阻止黑客。

又或者想想，去年，在Motherboard揭露T-Mobile的一個(gè)網(wǎng)站有個(gè)漏洞可讓黑客獲取用戶個(gè)人信息，接著通過(guò)設(shè)置社交工程陷阱騙過(guò)客服代表進(jìn)行SIM卡調(diào)換以后，我在加密聊天應(yīng)用Signal上收到的那條信息。

“我只是想說(shuō)，你他媽的曝光了(T-Mobile的)API漏洞，你這吃屎的混蛋�！边@個(gè)昵稱為NoNos的人在信息上寫道，“要不是你寫了篇文章讓全世界都知道這個(gè)漏洞，并聯(lián)系T-Mobile告訴它漏洞的事，漏洞就不會(huì)被修補(bǔ)�！�

此人接著聲稱，他們利用這個(gè)漏洞攻擊了幾個(gè)人，他們就是在進(jìn)行SIM卡調(diào)換。他們還說(shuō)，他們利用這種手段鎖定有錢人，實(shí)施搶劫。

“我通過(guò)其他的方法一天賺了30萬(wàn)�！盢oNos說(shuō)。不過(guò)Motherboard無(wú)法證實(shí)這個(gè)數(shù)字。

“如果有這個(gè)能力的‘人’能夠?qū)�這個(gè)國(guó)家的任何一個(gè)人的手機(jī)號(hào)碼實(shí)施SIM卡調(diào)換，那么明明可以瞄準(zhǔn)那些很有錢的人，你為什么要去把用戶名和任意的人作為目標(biāo)呢？比方說(shuō)瞄準(zhǔn)投資者、股票交易員、對(duì)沖基金經(jīng)理等等�！盢oNos繼續(xù)說(shuō)道。

除了賽琳娜·戈麥斯以外，其他有名的SIM卡調(diào)換受害者還包括Black Lives Matter活動(dòng)家德雷·麥克森（Deray McKesson）、卡內(nèi)基梅隆大學(xué)網(wǎng)絡(luò)安全與隱私研究所CyLab的創(chuàng)始人Dena Haritos Tsamtis以及YouTube明星Boogie2988。

在過(guò)去的幾個(gè)月里，30多名SIM卡調(diào)換的受害者主動(dòng)聯(lián)系我，跟我分享他們?cè)诒缓诤缶W(wǎng)絡(luò)生活和現(xiàn)實(shí)生活中被嚴(yán)重破壞的可怖故事。可以說(shuō)，在美國(guó)這種情況至少發(fā)生在數(shù)百人身上，盡管很難確定到底有多少人被黑客攻擊過(guò)。只有手機(jī)運(yùn)營(yíng)商知道問題的嚴(yán)重性，而這些電信運(yùn)營(yíng)商都不大愿意談?wù)撨@個(gè)問題。這種反應(yīng)或許并不讓人意外

現(xiàn)在是卡內(nèi)基梅隆大學(xué)教授的克蘭納表示，在2016年擔(dān)任美國(guó)聯(lián)邦貿(mào)易委員會(huì)首席技術(shù)官期間，她曾試圖了解這種黑客行為有多普遍克蘭納本人同年也成為SIM卡調(diào)換的受害者；當(dāng)時(shí)，克蘭納告訴我，她甚至從未聽說(shuō)過(guò)SIM卡調(diào)換。但是，盡管她在聯(lián)邦貿(mào)易委員會(huì)的職位給她帶來(lái)了權(quán)力和影響力，但對(duì)于她索取數(shù)據(jù)的要求，沒有一家手機(jī)供應(yīng)商提供任何的數(shù)據(jù)來(lái)說(shuō)明這些攻擊有多普遍。

“運(yùn)營(yíng)商顯然做得不夠，”克蘭納在電話中告訴我，“他們告訴我，他們正在加強(qiáng)防范，也許當(dāng)初發(fā)生在我身上的事情今天不會(huì)發(fā)生，但我并不相信。我沒有看到很多表明他們真的加強(qiáng)防范的證據(jù)。他們真的需要把這視作一個(gè)很重要的身份認(rèn)證問題。”

她補(bǔ)充道，運(yùn)營(yíng)商很清楚SIM卡調(diào)換問題�！半m然他們不愿意承認(rèn)�！�

Motherboard聯(lián)系了美國(guó)四大電信運(yùn)營(yíng)商AT&T、Verizon、Sprint和T-Mobile——要求獲得關(guān)于SIM卡調(diào)換盛行率的數(shù)據(jù)。它們沒有一個(gè)同意提供這樣的信息。

AT&T的一位發(fā)言人說(shuō)，這種欺詐行為“影響到我們少數(shù)的客戶，它對(duì)我們來(lái)說(shuō)是并不多見”。但當(dāng)被要求澄清“少數(shù)”具體是多少時(shí)，他沒有回應(yīng)。

T-Mobile發(fā)言人在一份聲明中說(shuō)：“SIM卡調(diào)換/手機(jī)號(hào)碼轉(zhuǎn)移欺詐成為一個(gè)行業(yè)問題已經(jīng)有一段時(shí)間了�！彼�補(bǔ)充說(shuō)，公司正通過(guò)要求客戶增加額外的安全措施來(lái)應(yīng)對(duì)這些攻擊，比如要求要轉(zhuǎn)移手機(jī)號(hào)碼的客戶提供PIN碼和密碼，以及評(píng)估新的方法來(lái)驗(yàn)證客戶賬號(hào)的變動(dòng)。該代表拒絕了我提出的安排T-Mobile高管接受電話采訪的請(qǐng)求，也沒有回答關(guān)于這些攻擊有多普遍，有多少人被攻擊過(guò)的問題。

“我真的不明白你為什么要獲得這些數(shù)據(jù)�！痹摪l(fā)言人表示，“考慮到我們有7200萬(wàn)客戶，受影響的客戶并不多。但很顯然，沒有公司會(huì)愿意看到這種情況發(fā)生在客戶身上，哪怕只是一個(gè)客戶�！比ツ�10月，T-Mobile曾向“數(shù)百名客戶”發(fā)出了警告，這些客戶屬于黑客的攻擊目標(biāo)。

Sprint拒絕提供任何關(guān)于SIM卡調(diào)換事件的數(shù)據(jù)，只是發(fā)表了一份聲明建議客戶定期更改密碼。Verizon的發(fā)言人也沒有提供任何關(guān)于SIM卡被劫持的普遍情況的數(shù)據(jù)，但是他說(shuō)需要有“正確的賬號(hào)和密碼/PIN碼”才能進(jìn)行SIM卡調(diào)換。

今年早些時(shí)候，這四家主流運(yùn)營(yíng)商公布了移動(dòng)認(rèn)證項(xiàng)目Mobile Authentication Taskforce。這一項(xiàng)聯(lián)合行動(dòng)旨在創(chuàng)建一種新的解決方案，來(lái)讓用戶通過(guò)使用手機(jī)上的認(rèn)證信息來(lái)驗(yàn)證登錄網(wǎng)站和應(yīng)用程序�？萍济襟w將其描述為基于SMS短信的雙重認(rèn)證的潛在替代品。基于SMS短信的雙重認(rèn)證被廣泛認(rèn)為是不合格的。但是目前還沒有關(guān)于這個(gè)新解決方案將如何實(shí)施的細(xì)節(jié)，也不清楚它是否會(huì)有助于減少SIM卡調(diào)換的發(fā)生。

FTC的發(fā)言人指出了該機(jī)構(gòu)2017年的《消費(fèi)者保護(hù)數(shù)據(jù)手冊(cè)》(Consumer Sentinel Data Book)，該文件匯總了消費(fèi)者對(duì)欺詐、詐騙和身份盜竊等行為的報(bào)告，但它沒有具體的SIM卡調(diào)換條目。該發(fā)言人說(shuō)，這類事件“可能會(huì)被納入”電話或公用事業(yè)欺詐，上面記錄了3萬(wàn)多起有關(guān)手機(jī)欺詐的報(bào)告。

FTC的《消費(fèi)者保護(hù)數(shù)據(jù)手冊(cè)》第14頁(yè)的截圖

美國(guó)聯(lián)邦調(diào)查局(FBI)的發(fā)言人表示，該局對(duì)此類黑客行為沒有任何數(shù)據(jù)。該機(jī)構(gòu)負(fù)責(zé)調(diào)查全美范圍內(nèi)的欺詐和犯罪行為。

即使數(shù)目很小，這種黑客攻擊也可能會(huì)造成很大的傷害。至少，從其中恢復(fù)過(guò)來(lái)也需要耗費(fèi)大量的時(shí)間和精力。問問曾遭受SIM卡調(diào)換的法尼斯·普里納基斯（Fanis Poulinakis）就知道了，今年早些時(shí)候他告訴了我他的受害經(jīng)歷。

普里納基斯說(shuō)，有一天他的手機(jī)突然用不了，于是他立即登錄到自己的網(wǎng)上銀行賬戶。“果不其然！”他說(shuō)，“2000美元都消失不見了�！比缓�，普里納基斯花了一整天的時(shí)間在T-Mobile和大通銀行（Chase Bank）之間來(lái)回跑，試圖搞清楚究竟發(fā)生了什么。

“真是一場(chǎng)噩夢(mèng)啊�！�

從受害者變身偵探

對(duì)于瑞秋和亞當(dāng)夫婦來(lái)說(shuō)，2017年9月6日晚是一個(gè)十分漫長(zhǎng)的夜晚。

在電話里，亞當(dāng)試圖盡可能地拖住黑客們，主要是想弄清楚究竟發(fā)生了什么事，以及不法分子們都獲取了些什么。他們?cè)絹?lái)越不耐煩，不斷要求這對(duì)夫婦放棄瑞秋的Twitter賬號(hào)@Rainbow。如果同時(shí)控制同一用戶名的Twitter賬號(hào)和Instagram賬號(hào)，黑客就有機(jī)會(huì)在交易中賺到更多的錢。正如其他黑客向我解釋的那樣，有關(guān)聯(lián)初始郵箱會(huì)使得這些賬號(hào)更加值錢，因?yàn)槟菢拥脑捲瓉?lái)的賬號(hào)持有人更難從黑客手中追回賬號(hào)。

亞當(dāng)累了，掛斷了電話。黑客們不久后給他發(fā)了短信。

據(jù)亞當(dāng)與Motherboard分享的聊天記錄顯示，其中一條短信寫道：“我要睡覺，能不能干脆點(diǎn)呢？現(xiàn)在就在Twitter上更改郵箱。你別逼我，如果你不馬上回復(fù)的話，不管你手里握著什么，你都不會(huì)好過(guò)。”

然后，黑客們又打來(lái)電話。這一次，說(shuō)話的是一個(gè)冷靜的、不那么嚇人的人。

根據(jù)通話錄音，第二個(gè)黑客告訴亞當(dāng)，并為第一個(gè)黑客的粗暴態(tài)度道歉�！斑@不是私人恩怨，我可以向你保證什么都不會(huì)發(fā)生。”

在這次通話期間，當(dāng)?shù)貓?zhí)法人員在接到瑞秋的報(bào)警后到達(dá)奧斯特倫德的家里。當(dāng)這對(duì)夫婦解釋發(fā)生了什么事時(shí)，警察們似乎很困惑，說(shuō)他們真的幫不上忙。這對(duì)夫婦一整個(gè)晚上都在試圖從這次黑客攻擊中恢復(fù)過(guò)來(lái)。從T-Mobile那里取回手機(jī)號(hào)碼后，他們馬上用它來(lái)重置所有賬號(hào)的密碼，就像黑客所做的那樣，以便找回被盜的賬號(hào)。除了已經(jīng)被黑客們完全掌控的Instagram賬號(hào)@Rainbow以外。

過(guò)了三天，瑞秋和亞當(dāng)決定親手解決這件事情。他們會(huì)自己去追蹤黑客。

瑞秋說(shuō)，她注意到自己被重置密碼的Instagram賬號(hào)有一個(gè)關(guān)注者：@Golf，其個(gè)人資料顯示那個(gè)關(guān)注者叫奧斯汀(Austin)。瑞秋和亞當(dāng)告訴我，在這個(gè)賬號(hào)里，他們發(fā)現(xiàn)了一張他們認(rèn)為是在科羅拉多斯普林斯的一場(chǎng)音樂會(huì)上拍下的照片；通過(guò)查看@Golf的關(guān)注者，他們查到了黑客的Twitter賬號(hào)和Facebook賬號(hào)。他們借此發(fā)現(xiàn)了他們所稱的黑客的真實(shí)身份。

Motherboard無(wú)法證實(shí)黑客的身份。

在調(diào)查過(guò)程中，瑞秋和亞當(dāng)還在OGUSERS論壇上發(fā)現(xiàn)了一個(gè)昵稱為Darku的黑客在出售@Golf和其他獨(dú)特的Instagram用戶名。在這對(duì)夫婦看來(lái)，這表明Darku控制了@Golf，由此推斷他們的賬號(hào)@Rainbow也是被Darku控制了。

Darku在售賣Instagram賬號(hào)@Hand的帖子。

在一次在線聊天中，Darku告訴我，他今年18歲，是幾個(gè)黑客組織的成員。他否認(rèn)從事過(guò)SIM卡調(diào)換，還否認(rèn)自己是盜取了@Rainbow和@Hand的黑客，并聲稱他是通過(guò)與一個(gè)朋友交易得到@Hand的，自己從未擁有過(guò)@Rainbow。

“我不會(huì)去進(jìn)行輕度犯罪，”Darku說(shuō)，“我到處都有人脈，因而不需要為了得到我想要的東西而進(jìn)行欺詐。”

在我今年5月在OGUSERS上與他取得聯(lián)系后，Darku寫了一篇帖子，警告大家FBI可能正在調(diào)查這個(gè)論壇。據(jù)Darku說(shuō)，我的問題很可疑——他不確定我是否真的是我所聲稱的那個(gè)人。

“我的一些朋友最近和FBI有過(guò)接觸，被詢問他們的一些用戶名的事情以及它們是如何獲得的�！盌arku寫道，“如果你被任何聲稱來(lái)自任何主流新聞機(jī)構(gòu)的人聯(lián)系過(guò)，請(qǐng)保持警惕。”

一些用戶似乎很困惑，想知道為什么FBI會(huì)對(duì)用戶名的交易市場(chǎng)有興趣。

“這與用戶名無(wú)關(guān)，”另一位用戶回答道，“這事關(guān)用戶名的獲取途徑。他們肯定知道用戶名售賣活動(dòng)背后的黑幕�！�

不過(guò)，OGUSERS論壇的其他成員似乎沒太當(dāng)一回事，還拿被拘捕開玩笑，或者發(fā)布各種表情包。我在該論壇上的賬號(hào)被禁用了，我用來(lái)訪問它的IP地址也是。

在Motherboard開始接觸OGUSERS論壇成員之后，一名成員在Instagram上發(fā)布了這篇帖子來(lái)嘲諷Motherboard母公司Vice。

根據(jù)亞當(dāng)與我分享的一封電子郵件，亞當(dāng)將他發(fā)現(xiàn)的有關(guān)Darku的信息提供給了鹽湖城的一名專門從事暗網(wǎng)和網(wǎng)絡(luò)犯罪調(diào)查的FBI特工。亞當(dāng)還告訴我，科羅拉多州斯普林斯的FBI通知他，他的報(bào)告是“準(zhǔn)確的”，調(diào)查人員正在取得進(jìn)展。

瑞秋補(bǔ)充說(shuō)，F(xiàn)BI最近通知她和亞當(dāng)，據(jù)說(shuō)特工們拜訪了奧斯�。∣GUSERS用戶名為Darku）的家，“把他嚇壞了”。她告訴我，那個(gè)黑客“不敢再犯了。”

在最近發(fā)布的另一個(gè)OGUSERS論壇帖子中，Darku寫道，他知道FBI正在調(diào)查“誰(shuí)在敲詐那位原來(lái)?yè)碛蠤Rainbow賬號(hào)的女士”。Darku告訴我，警方來(lái)找他談話，但“這件事與我完全無(wú)關(guān)�！�

“我不會(huì)浪費(fèi)時(shí)間去騷擾別人�！盌arku說(shuō)他如是告訴當(dāng)局。

Motherboard無(wú)法證實(shí)FBI在介入此案。該局通常不會(huì)就正在進(jìn)行的調(diào)查發(fā)表評(píng)論。FBI鹽湖城辦公室的發(fā)言人拒絕置評(píng)。FBI科羅拉多斯普林斯辦公室也無(wú)法聯(lián)系上。

直到今天，Instagram還沒有將@Rainbow賬號(hào)歸還給Rachel。其他的受害者，比如Instagram賬號(hào)@Hand和@Joey的所有者，都告訴我，盡管已經(jīng)多次向Instagram投訴，但他們還沒能取回自己的賬號(hào)。

Instagram發(fā)言人在一份聲明中表示：“我們努力為Instagram社區(qū)提供安全可靠的體驗(yàn)。當(dāng)我們意識(shí)到有賬號(hào)被入侵時(shí)，我們就關(guān)閉了對(duì)該賬號(hào)的訪問權(quán)限，并為受到影響的人提供一個(gè)修復(fù)流程，以便他們可以重置密碼，并采取其他的必要措施來(lái)保護(hù)自己的賬號(hào)。”

對(duì)于遭受創(chuàng)傷的受害者來(lái)說(shuō)，這是一個(gè)代價(jià)沉重的教訓(xùn)。

“我們的手機(jī)是我們最大的弱點(diǎn)�！比鹎锔嬖V我。

正如亞當(dāng)所說(shuō)的，黑客教會(huì)了他，手機(jī)號(hào)碼是我們的數(shù)字生活中最薄弱的一環(huán)。

“如果有人控制了你的手機(jī)號(hào)碼，”他說(shuō)，“他們等于扼住了你的喉嚨�！保�樂邦）