SIM卡换卡是我们面临的最大安全威胁，但重视度却不够

虽然这类问题不像其他攻击活动那么普遍，但SIM卡更换带来的安全风险，可能远超您的想象。

想象一下，某天您可能打算登录银行账户结算这个月的按揭。突然，银行网站提示您输入的密码有误——怎么回事？意识到可能出现问题的您，马上选择点击链接“重置您的密码”。

这个过程并不复杂，但银行方面会首先输入发送至手机号码的六位数验证码，用以证明申请者确实是您本人。更奇怪的状况发生了，虽然不断申请，但手机这边一直收不到验证短信。

这确实让人有点担心，所以您打电话给银行，并意识到问题的严重性。有人完成了在线支付，但收款方绝对不是贷款银行。相反，他们把这笔资金据为己有，只留下您默默无语两眼泪。

而他们所掌握的，只是一条公开度最高的个人信息：电话号码。

SIM换卡问题

可能很多朋友觉得这事可能性太低，那不妨先问问Twitter公司CEO Jack Dorsey怎么看——他在几周前，就曾遭遇过这类黑客攻击。这种方式被称为SIM换卡攻击，而且严重程度远超我们的想象。换言之，如果Twitter公司CEO的手机号码都不安全，那咱们恐怕也是时候提高警惕了。

事实上，之所以这类攻击活动还不是很常见，主要原因在于攻击者需要为此付出相当大的精力。整个攻击过程需要暴力攻击、社会工程、技术知识再加上一定的运气。

在掌握您的手机号码后，黑客要做的就是说服任何一位有权访问客户记录（例如零售商店的管理人员或者客户服务代表）的现场员工，让他们相信他（或者她）就是您。接下来，他们就可以把合法电话号更换到自己的手机SIM上。

由于并不是要询问任何与账户相关的个人信息，而只是因为手机丢失（或者其他一些听起来非常合理的理由），因此换卡过程其实并不困难。当然，对方可能要求您提供附有照片的身份证，但这些工作人员往往年纪不大、经验不足，随便弄张假身份证对方一般也不会较真。

再强调一次，攻击者会选择那些年少无知的工作人员下手。而一旦成功，无论我们的密码多么安全，都会被恶意人士轻松绕过。

我与Flashpoint公司安全研究总监Allison Nixon进行了交谈，他建议企业应重新考虑如何保护客户信息并提供密码重置服务。

电话号码并不私密

这是因为我们目前正广泛使用手机号码抵御网络犯罪，但这些号码并不私密，而不可能成为可靠的安全保护形式。事实上，目前几乎所有常见的双因素身份验证与密码重置机制，依赖的都是大家的手机号码。

这背后的基本思路非常简单，服务供应商希望验证当初注册时预留的手机号码，是否与目前正在申请操作的使用者对应得上。

几乎每一位年满12岁的公民都会获得自己的手机，所以这种作法确实具有良好的普适性。但是电话号码并不安全。我在成年之后大概用过十几个手机号码，而这些号码如今已经成为他人的合法专属号码。

考虑到电话号码脆弱的安全属性，再加上其背后所保护的大量个人及财务信息，我认为应该有人站出来做点什么。更重要的是，目前绝大多数人还没有意识到SIM卡换卡风险到底有多么恐怖且普遍。

没错，这种情况并不常见，但Jack Dorsey很清楚一旦发生问题，代价到底有多么惨痛。

没人站出来解决这个问题

遗憾的是，这个问题并不容易解决。企业部署的每一套面向客户的系统都必须做出权衡——一方是满足客户需求时设置的操作门槛，另一方是给入侵者设下的挑战。坏消息来了，这种挑战的难度越高，客户正常使用时就越不方便。因此即使是为了客户安全着想，如果把这种验证门槛设得太高，使用者也只会转投其他服务商。

人总是抱有一种侥幸心理，认为坏事不会发生在自己身上，因此大家更强调操作的便捷性，而非安全保障的可靠性。这种权衡在目前乃至可预见的未来，都将一直存在。

Nixon告诉我，最好的办法当然是马上“停止这种利用电话号码实现的保护方式”。此外，她还建议对刚刚更换过验证手机号的账户进行查验，或者要求申请者提供其他一些与个人身份相关的非公开信息。

到目前为止，最好的解决方案基本就是Apple Pay形式的多终端验证。如果我在笔记本电脑上使用Apple Pay，系统会要求我使用FaceID（或者在较早版本的手机上使用TouchID）进行验证，而后才能完成付款。据我所知，换脸或者换指纹这事只存在于电影当中——只有这样，我们才能放心地通过网络管理自己的资产。

原文链接：

SIM-Swapping Is the Biggest Security Threat You Face and Almost No One Is Trying to Fix It. Here’s Why It Matters.