黑客招摇过市、运营商毫无作为,无脑的SIM劫持案还要摧毁多少人的生活?

猎云网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  


Instagram账号被盗案件接连发生,受害者的弱点是什么?手机号。

去年9月在盐湖城郊外,一天晚上Rachel Ostlund刚刚把孩子们哄去睡觉,自己也正打算入睡。而就在她编辑给她姐姐的短信时,她的手机突然服务中断了。手机上最后一条来信来自电信商T-Mobile,内容显示她的电话号所对应的SIM卡刚刚被“升级”。Rachel重启了手机,然而问题没有被解决。

她第一时间告诉了丈夫Adam,她的手机故障了。Adam试图用自己的手机给Rachel打电话,Rachel的手机却没有亮起;电话无人接听。就在这时,Rachel登录自己的邮箱却发现有人在重设她多个账号的密码。事发一个小时后,Adam接到了一条来电。

“让Rachel接电话。现在立刻。”电话另一头的声音说到。

Adam拒绝了这个要求,并询问到底是怎么回事。

“你已经完全在我们的掌控当中,我们将彻底地摧毁你的生活。如果你是个聪明人,那就让你老婆接电话。”

Adam依然拒绝。

“我们会摧毁你的信誉。”陌生的声音继续说到,还列举了一些Rachel和 Adam的亲戚和他们的住址。事后这对夫妻猜测犯罪分子可能是从Rachel的亚马逊账号得到了这些信息。“如果我们伤害他们,事情岂不是更有意思?如果我们毁了他们的信誉再告诉他们这一切都是因为你们,你觉得怎样?”

这对夫妻还不知道,他们即将成为一系列SIM卡劫持案中最新的受害者。犯罪分子会劫持受害者的手机号,盗取有价值的Instagram用户名然后出售,换取比特币。2017年夏末,Ostlund夫妇接到了Rachel Instagram账号@Rainbow劫持者的来电。 他们要挟 Rachel和Adam放弃她的推特账号,账户名也是@Rainbow。

在黑市,被盗取的社交媒体或游戏账号有专门的市场。那些精简独特的用户名售价大约在5百美金到5千美金不等。几位劫持了Instagram账号@t的黑客告诉我们,该账号最近的成交价为相当于4万美金的比特币。

劫持Rachel的手机号之后,黑客不仅掌握了Rachel的Instagram,还有她的亚马逊 、Ebay、PayPal、Negflix和Hulu等多个平台的账号。虽然Rachel对这些账号施加过双重验证等保险措施,但一旦黑客掌握了她的手机号,这些措施都毫无意义。

“那真是我人生最糟糕的一晚。我难以置信他们竟然有脸打电话过来。”Adam回忆到。

今年2月,T-Mobile向用户群发短信,提醒用户提防某个“全行业的”威胁。公司声称,有更多犯罪分子正在通过“电话号码转移诈骗”手法盗取个人电话号码。这种诈骗也被称作SIM卡劫持或SIM卡调换,手法简单粗暴却极其有效。

首先,犯罪分子会伪装成受害者拨打手机运营商的客服电话。他们声称自己刚刚丢失了SIM卡,要求电话公司把电话号转移到事先准备好的另一张SIM卡上。此时犯罪分子只需向电话公司提供社会安全号码或家庭地址(可能犯罪分子早在几年前就悄悄截取了这些信息),即可获取客服人员的信任,达到他们的目的。

“只要拿到了电话号,你就可以获得他们所有的账号,而受害人毫无招架之力。”从事SIM卡劫持的黑客告诉我。

黑客招摇过市、运营商毫无作为,无脑的SIM劫持案还要摧毁多少人的生活?

Rachel Ostlund在电话号被劫持后收到的短信。

一旦犯罪分子入手了电话号,用户的手机就会显示电话服务中断,因为同一个电话号无法有数张SIM卡同时连接到电话网络。黑客即可重设受害者的账号密码,双重验证在此时也不管用,因为犯罪分子已经掌握了电话号码。

Instagram等部分服务会在设置双重验证时要求用户提供电话号码,这无疑为黑客多创造了一种获取账号的手段。因为如果黑客掌握了受害者的电话号码,他们就可以在不知道账号密码的情况下,通过双重验证登录Instagram账号。

曾经的黑客CosmoTheGod Eric Taylor就曾在他的著名案件中采用了这种手段,例如2012年他入侵CloudFlare CEO的邮箱帐号一案。如今Taylor已在安全公司Path Networ任职。他告诉我们,把电话号绑定上任何网上账号都是作死:“随便一个十几岁的小孩都能打个电话给运营商拿到你的电话号,然后盗你的号。这种事一直有。”

Celsus Advisory Group的智能与研究部门总监Roel Schouwenberg正在从事SIM卡调换、双重验证规避和非法账号恢复等黑客作案手法的研究。在他看来,没有人的手机账号是万无一失的,而消费者必须意识到这一点。

“任何类型的电话号码都可以被转移。有资源的犯罪分子完全可以暂时骗取一个电话号,这点时间就足够他们彻底掌握这个电话号。”

Schouwenberg去年在博文就指出,电话号码已经成为了我们网上身份的“万能钥匙”。

“大多数系统的安全措施都并非针对获取了用户电话号的黑客。这非常糟糕。我们的电话号已经成为了不可撤销的身份资料。但就像社会安全号码一样,电话号原本不是如此重要的信息。而如今有一个电话号就可以拿到你几乎所有的账号。”

至于拿到你的电话号后做什么,这主要取决于黑客劫持的目的。

“我拿他们的钱,过自己的人生”

如果你的自行车被盗,那你应该上Craiglist看看是不是被人在黑市上出售了。如果你的Instagram账号通过SIM调换被盗,那你应该上OGUSERS看看。

乍一看,OGUSERS似乎只不过是个普通的论坛。上面有“其他/搞笑”和其他栏目,用户在讨论隐约、娱乐、动漫、游戏等各种话题。但最大最活跃的板块其实是社交媒体和游戏账号的交易市场,交易价有时高达几千美金。

在最近一个帖子中,有人以2万美金的高价出手了Instagram账号@Bitcoin。还有一个帖子上,有人挂了Instagram的@eternity账号,价格为1千美金。

这只不过是OGUSERS上社交媒体账号黑市的冰山一角。这个在2017年4月成立的论坛原本就是为了让人们出售和购买“OG”用户名。OG为“Original Gangster ”的缩写,意为“真正的社会人”。社交媒体上的OG则就是指少见的用户名,例如@Sex、@Eternity或者@Rainbow这种独特的词,或是@t或@ty.Celebrities这种极短的用户名。

黑客招摇过市、运营商毫无作为,无脑的SIM劫持案还要摧毁多少人的生活?

Selena Gomez Instagram账号被劫持后的截屏。

去年8月,Selena Gomez的Instagram 账号曾经被盗,黑客还发了一张Justin Bieber的裸照。Gomez的帐号的名字也被改成了Islah,与OGUSERS上某位用户的帐号明相同。根据 一些混迹OGUSERS的黑客,那些号称自己盗了Selena Gomez Instagram账号的黑客自称是劫持了某位单身女明星Instagram关联的电话号,盗取时该帐号还有1.25亿粉丝。

“卧槽他们真的黑了全 Instagram粉丝数量最多的人。”一位OGUSERS用户在题为“SELENA GOMEZ一路走好”的评论中说到。

Gomez的发言人则拒绝就此通过邮件做出评论。

截至今年6月,OGUSERS上注册用户数量已经超过5万5千,帖子数量多达32亿,每日活跃用户量超过1千。

该网站禁止用户讨论SIM卡劫持相关话题。如果有人提到了这个词,其他人立刻会发表“我绝不纵容任何非法行为”等言论。然而管理员Ace和Thug告诉我,SIM卡劫持是OGUSERS用户盗取用户名的常用手段。

想要通过SIM卡劫持盗取用户名,黑客就必须先知道该帐号的关联电话号码。而事实证明,想要挖出电话号码似乎并没有人们想象的那么难。

去年,有些黑客在在网上出售名为Doxagram的服务,只要你付钱他们就可以帮你找出某个Instagram账号关联的邮箱或电话号。值得一提的是,Doxagram刚刚诞生时正是在 OGUSERS上推广的。托那群爱炫耀的黑客的福,只要你去暗网里查查即可查到不少社会安全号码,这些信息早就在网上了。

Ace说他已经不干卖用户名的活了。Thug则说他和其他人还会通过T-Mobile内部工具查找用户数据,进行SIM卡劫持。在谈话中,黑客还给我们展示了他们用该工具时的截屏。

黑客招摇过市、运营商毫无作为,无脑的SIM劫持案还要摧毁多少人的生活?

Thug在聊天中发给作者的截图。

出于实验目的,我给Thug发了我自己的电话号。Thug 立刻给我发了一张截屏,上面有我的家庭住址、我在运营商的用户号码以及其他应该是隐私的账户信息。Thug甚至还查到了我为了保护个人帐号给T-Mobile发的指示。

“我要变成偏执狂了。”我说道。

“也难怪,网络世界是挺疯狂的。”Thug 回复。

事实上这已经不是第一次有陌生人拿到我的隐私信息了。而这些隐私信息应该是由T-Mobile公司保护的。

就在去年,一位网络安全研究人员发现他可以利用T-Mobile网页的漏洞获取类似方面的隐私信息。在补上该漏洞之后,T-Mobile打压了对该漏洞的大众舆论,声称目前还没有人利用过该漏洞。但事实上, 这种事情已经发生过很多次了。YouTube上早在公司采取措施的几周前就有人上传了教程,教你如何通过该安全漏洞获取人们的隐私信息。

Thug告诉我,过去几年来,各家运营商都在不断提高像他这种黑客入侵的难度。

“最早是只要你打电话给运营商,告诉他们你想给这个电话号码换个SIM卡就可以了。现在你得有内部人脉,只要你给100美金他们就会给你PIN。”Thug说到。

根据Thug和Ace的说法,不少黑客现在都在找T-Mobile以及其他运营商的客服人员,以80到100美金的价格贿赂他们协助SIM卡劫持。Thug声称他们就是靠贿赂内部人员拿到了T-Mobile内部工具的访问权,但我们没能证实这一说法。T-Mobile拒绝回答公司是否有内部人员参与SIM卡劫持诈骗的证据。

“有了内部人员的协助,事情就好办多了。”Thug说到。

找到内部人员并非难事,Ace补充道。“说服他们帮你做事并不难。”他说到。

最近安全公司Flashpoint的调查显示,有越来越多的犯罪分子通过运营商内部人员协助进行SIM卡劫持诈骗。前FTC首席技术师Lorrie Cranor表示,她找到多项证据都显示有内部人员参与其中。SIM卡劫持鼻祖、如今的安全研究人员Taylor则说,他自己就认识和实体店工作人员有关系的黑客。安全相关记者Brian Kerbs近日报道的一起案件中,T-Mobile实体店员工以盗取Instagram账号为目的进行了未经授权的SIM卡转移。

当然了,SIM卡转移并不是OGUSERS掌握账号的唯一手段。另一种手法比SIM卡劫持道德一些,黑客会利用程序在账号放出的第一时间自动注册。

但盗取手机号虽然有效,技术上的实现难度却比其他作案手法大。据Ace和Thug估测,大约只有50名OGUSERS用户有这方面的人脉关系和技术工具。

在谈话中,我还问Thug和Ace是否对入侵他人的网上账号、虚拟货币钱包或银行帐号感到过自责。

“不好意思,我问心无愧。我拿他们的钱,过自己的日子。他们没能保障自己的安全,那是他们的责任。”

Thug还强调,尤其在劫持社交媒体账号一事中,黑客其实并没有对受害者造成什么实际损失。“不过就是个用户名,甚至没有丢钱。就是个破名字而已。”

日益严重的问题

无论这些犯罪分子是否出售了受害者的Instagram用户名,他们都能从中获取巨额利润。

“这是一种暴利手段。如果你知道怎么劫持SIM卡,那你真的能发财。”在Recorded Future研究SIM卡劫持非法商业的安全研究员Andrei Barysevich说到。

就在去年,虚拟现实公司IRL VR创始人Cody Brown在短短15分钟内失去了价值8千美金以上的比特币。黑客掌握了他的手机号,然后利用该号码入侵了他的电子邮件,随后掌握了他的Coinbase账号。Brown并不是唯一一位受害者;事实上类似案件是如此之多,以至于为一些大型虚拟货币交易平台提供双重认证的应用Authy不得不提醒用户提防SIM卡劫持诈骗,并为了阻止黑客增加了其他安全保护功能。

去年Motherboard报道了T-Mobile网站的漏洞之后,我在加密聊天应用Signal上就曾收到过来自用户NoNos的消息:“托你们的福,现在全世界都知道T-Mobile有这个漏洞了。要不是因为你们的报道,就不会有人联系T-Mobile补上漏洞了。我去你的。”

对方还透露自己曾利用这个漏洞入侵过几个人的账号,他们正是SIM卡劫持者。他们似乎原本还打算用同样的手法抢劫富人。

“以前用这个方法我一天能赚30万美金。”Nonos还说到。“如果能实现SIM卡劫持,得到全国任何人的电话号码,那干嘛还针对普通人?为什么不能锁定有钱人,比如那些投资人或者对冲基金负责人?”

除了Selena Gomez之外,遭到SIM卡转移的名人受害者还有Black Lives Matter的活动家Deray Mckesson,卡耐基梅隆大学的网络安全和隐私学院CyLab创始人Dena Haritos Tsamitis,以及YouTube网红Boogie2988。

过去几个月内,我们收到了来自30多名SIM卡劫持诈骗受害者的联系。我们可以肯定,在美国,起码有几百人经历过这种事件,虽然具体受害者数量目前还无法统计。只有电信运营商知道该问题有多严重,但他们拒绝讨论这个问题。

现卡耐基梅隆大学教授Cranor告诉我,2016年,她还在Federal Trade Commission任职首席技术师时她就曾试图调查过这种问题究竟有多严重。那年Cranor亲身经历了SIM卡劫持,但当时她还从未听说过类似案件。然而,虽然她在FTC身任重位,却没有一家电信运营商愿意向她提供案件的具体数据。

“运营商显然做的不够多。他们告诉我他们正在尽力做更多措施,发生在我身上的事件可能只是个偶然,但我并不相信。我没有看到他们对此多做过什么。他们必须明白问题的严重程度,严肃对待。”她还补充到,运营商其实对SIM卡劫持非常了解,“虽然他们不愿承认这一点”。

Motherboard联系了美国最大的四家电信运营商AT&T、Verizon、Sprint和T-Mobile,要求他们给出SIM卡劫持的案发数量,但没有一家正面回应了我们的要求。

一位AT&T的发言人表示,这种骗局“会影响到我们极小部分的用户,对我们而言也非常稀少”。但当我们要求他解释“小部分”的定义时,他却没有回应。

“SIM卡转移从之前就是个全行业的问题。”T-Mobile的发言人在声明中说到。她还表示,公司正在通过要求用户增加安全措施来对抗黑客攻击,例如转移电话时会要求PIN和密码。公司目前正在考虑其他验证用户账号转移的方法。该发言人拒绝了我采访T-Mobile高管的请求,也没有正面回应案件发案数量究竟有多少。

“我不理解为什么你需要这些数据。考虑到我们有720万用户,受害者是极小部分人。然而显然没有公司希望如此不幸的事情发生在用户身上。”(补充说明:去年10月,T-Mobile曾向可能被黑客针对的“几百名用户”群发过警示短信。)

Sprint拒绝就SIM卡劫持案件提供任何数据。他们倒是给我们发了一份声明,内容是他们的用户经常更换密码。Verizon的发言人也拒绝提供数据,但强调了用户的SIM卡转移需要“正确的账号和密码或PIN才能完成”。

今年早些时候,这四家公司宣布成立了Mobile Authentication Taskforce(手机验证专案组)。这是四家公司的联手项目,旨在研发能让用户通过手机中的身份凭证在网站或App验证身份的方案。根据媒体宣传,该项目是为了提供SMS双重验证的替换方案。但该方案究竟如何开发还是个未知数,我们也不知道它是否能有效杜绝SIM卡转移骗局。

FTC的一位发言人指出,在公司2017年的用户数据调查报告中,有一份文件中记录了用户报告的诈骗和个人身份被盗等等多项数据,却唯独缺少了SIM卡劫持。发言人表示这项数据可能应该归属于手机或其他设备诈骗,手机诈骗的用户报告数有3万多。

联邦调查局发言人则回应,当局并没有关于这类劫持的案件数据。

即便受害者是极少数,这类案件也能给人带来不小的伤害。至少,恢复一个账号需要莫大的时间与精力。今年遭遇了SIM卡劫持的受害人Fanis Poulinakis向我们分享了他的经历。

有一天他的手机服务突然终止之后,Poulinakis立即登录了他的网银账号。“不出所料!2000美金已经没了。”那天Poulinakis整日奔波于T-Mobile和大通银行之间,试图理解究竟发生了什么。

“这真是个噩梦。”

从受害人到侦探

让我们回到2017年9月6日,继续Rachel和Adam Ostlund夫妻的故事。

Adam尽全力和黑客拖时间,试图明白究竟发生了什么,以及对方到底掌握了什么资料。与此同时黑客愈发不耐烦起来,再三要求Rachel放弃@Rainbow推特账号。对黑客来说,掌握同一个用户名下的Instagram和推特账号可以让他们进一步抬高售价。

终于身心俱疲的Adam挂断了电话。黑客很快给他发来了短信。

“能不能快点儿,我得睡觉了。赶紧把推特上关联的邮箱换了。你别逼我,如果你不赶紧回复,你不知道我能对你做出什么事儿来。”

随后黑客再次拨通了Adam的电话。这次电话那头是一个语气略显温和的人。

“你别太往心里去。我向你保证,不会有什么事的。”第二位黑客向Adam就先前那位的粗暴态度道了歉。

Rachel早就联系了当地警方,在第二通电话拨通时警察也终于到达。夫妻向警官说明他们遭遇了什么,但对方却一脸懵逼,表示他们无能为力。两人当晚花了一夜时间试图恢复被攻击的账号。他们先是联系T-Mobile拿回了电话号,然后用电话号重设了所有账号的密码——正如黑客所做的那样。只是Rachel的Instagram账号已经彻底落入黑客手中,回不来了。

3天之后,Rachel和Adam决定亲手搞清案件的来龙去脉。他们决定亲自找到黑客。

Rachel发现,她的Instagram账号被重设之后只有一个粉丝@Golf,根据账号简介,持有者名为Austin。俩人在@Golf发布的动态中找到一张疑似在科罗拉多斯普林斯的某场音乐会拍摄的照片,随后他们通过逐个检查@Golf的粉丝,终于找到了黑客的推特和Facebook账号。他们认为这就是黑客的真实身份。

Motherboard没能证实黑客的身份。

在调查中,Rachel和Adam还发现OGUSERS上有一位用户Darku正在出售@Golf和其他独特的Instagram用户名。夫妻俩认为这证明Darku是@Golf账号的控制人,那么@Rainbow也自然在他手中。

黑客招摇过市、运营商毫无作为,无脑的SIM劫持案还要摧毁多少人的生活?

Darku在一个帖子中出售Instagram账号@Hand。

在聊天中,Darku告诉我们,他现在18岁,参与了几个黑客组织。他否认自己参与过SIM卡劫持和自己是账号@Rainbow和@Hand劫持者一事,声称@Hand是他从朋友手中买下来的,而@Rainbow他则从未经手过。

“我没有参与过任何犯罪活动。我有人脉关系,无需诈骗就能得到我想要的东西。”Darku说到。

今年5月我在OGUSERS上联系Darku之后,他发布了一条帖子,警告其他用户FBI可能正在调查该论坛。根据Darku的说法,我的提问听起来非常可疑,他对我的身份起了疑心。

“我有朋友从事Instagram相关交易,FBI突然问他们关于某些账号的消息以及究竟是如何获取的。真是涨姿势了。如果有任何号称自己是任何知名媒体记者人联系你,请谨言慎行。”

底下有些用户非常困惑,不明白为什么当局会对账号交易市场感兴趣。

“重点不是账号,而是卖家获取账号的方式。我敢肯定他们已经知道了帐号名交易背后的不正当行为。”另一位用户回复到。

不过OGUSERS论坛上的其他用户似乎对此不以为意,还在开被警方抓捕的玩笑,发表情包。我的账号和我登录时使用的IP地址均已被禁用。

Adam向我们分享了他和一位从事暗网和网络犯罪研究的FBI调查员对Darku的调查结果。Adam告诉我,FBI的科罗拉多斯普林斯当局已通知他他的调查结果属实,调查人员正在进一步调查。

根据Rachel的补充,FBI还通知他们调查人员已经探访了Austin家,让Austin“吓了一跳”。这位黑客“不敢再犯”了。

在另一个OGUSERS论坛的帖子中,Darku说他知道FBI正在调查“勒索了账号@Rainbow持有者的那位”。Darku告诉我警方已经和他谈过话,但“不会对我做任何事”。Darku说他告诉警方:“我才不会浪费时间骚扰别人。”

Motherboard没能证实FBI在这起案件中的参与,不过FBI向来不对进行中的调查做任何评论。

直至今日,账号@Rainbow依然没有回到Rachel手中。其他受害者,例如@Hand和@Joey的持有者则表示,虽然他们数次联系Instagram,但他们依然无法拿回账号。

Instagram发言人在声明中表示:“我们尽全力为Instagram用户们提供安全和有保障的使用体验。我们在得知有账号被入侵的第一时间封锁了相关账号,账号所有者可重设密码并施加其他措施确保账号安全。”

对那些受害者而言,这堂课代价太重。

“我们的手机是我们最大的弱点。”Rachel说到。

Adam也表示,他的感想就是手机号是数字生活中最脆弱的一个环节。“如果有人拿到了你的电话号码,他们等于已经扼住了你的喉咙。”

AD: 8月3日,北京四季酒店!猎云网将与您相约“智变新金融——猎云网2018金融科技产业创新峰会”,共同探讨前沿技术,洞悉金融智变!

随意打赏

虚拟sim卡虚拟运营商互联网运营商套餐运营商流量劫持sim卡运营商sim运营商招摇过市
提交建议
微信扫一扫,分享给好友吧。