網易科技訊 7月25日消息，國外媒體Motherboard網絡安全記者Lorenzo Franceschi-Bicchierai撰文揭秘從事SIM卡劫持的黑客。作者探訪了買賣社交媒體和游戲賬號的論壇OGUSERS，那些賬號往往是通過“SIM卡劫持”盜取的。通過SIM卡劫持，黑客盜用目標對象的手機號碼，然后進行密碼重置一一接管受害者的各種賬號。正如一名深受其害的受害者所感悟的，手機號碼是我們的數字生活中最薄弱的一環。

以下是文章主要內容：

在鹽湖城的郊區，這似乎是又一個溫暖的九月夜晚。瑞秋·奧斯特倫德(Rachel Ostlund)剛剛讓她的孩子上床睡覺，自己也準備去睡覺。她在和妹妹發短信時，手機突然失去了服務。瑞秋收到的最后一條信息來自她的運營商T-Mobile。信息上說，她的手機號的SIM卡已經“更新”。

接著，瑞秋做了大多數人在這種情況下會做的事：她一次又一次地重啟手機。但這毫無幫助。

她走上樓，告訴丈夫亞當（Adam）她的手機用不了了。亞當試著用他的手機撥打瑞秋的手機號碼。電話鈴聲響了，但瑞秋手里的手機并沒有亮屏。沒有人接聽。與此同時，瑞秋登錄她的電子郵箱，發現有人正在重置她許多賬號的密碼。一個小時后，亞當接到了一個電話。

“讓瑞秋接聽，”電話那頭傳來聲音，“就現在。”

亞當予以了拒絕，問對方發生了什么事。

“你已經被我們完全掌控了，我們將摧毀你的生活。”打電話的人說，“你識趣的話，就讓你的妻子接聽。”

亞當拒絕了。

“我們會摧毀你的信用記錄。”那人接著說，并提到了瑞秋和亞當的一些親戚以及他們的地址，“如果我們傷害他們會怎樣？如果我們毀了他們的信用記錄，然后給他們留言說都是你造成的，會怎樣？”這對夫婦認為打電話的人是從瑞秋的亞馬遜賬號上獲得那些親戚的信息的。

這對夫婦還不清楚狀況，但他們剛剛成為黑客的最新受害者。這些黑客劫持人們的手機號碼，目的是盜取Instagram上有價值的用戶名，然后把它們賣掉換取比特幣。在2017年夏末的那個晚上，奧斯特倫夫婦是在和兩名黑客通電話，后者霸占了瑞秋的Instagram賬號@Rainbow。他們現在要求瑞秋和亞當放棄她的Twitter賬號@Rainbow。

根據參與過交易的人士的說法和一個熱門市場上的行情表，在熙熙攘攘的圍繞被盜的社交媒體賬號和游戲賬號的地下市場，一個簡短的、獨特的用戶名可以賣到500美元到5000美元不等。幾名參與過地下市場交易的黑客聲稱，像@t這樣的Instagram賬號最近賣到了價值約4萬美元的比特幣。

通過劫持瑞秋的手機號碼，黑客們不僅能接管瑞秋的Instagram賬號，還能接管她的亞馬遜、Ebay、PayPal、Netflix和Hulu賬號。一旦黑客控制了瑞秋的手機號碼，她為保護其中一些賬號而采取的安全措施(包括雙重認證)都無補于事。

“那是一個讓人非常緊張的夜晚，”亞當回憶道，“真不敢相信他們竟膽敢給我們打電話。”

被忽視的威脅

今年2月，T-Mobile大范圍發出短信，提醒用戶警惕一個“全行業的”威脅。該公司表示，犯罪分子越來越多地利用“手機號碼轉移詐騙”手法來鎖定和盜取人們的手機號碼。這種騙局也被稱為“SIM卡調換”或“SIM卡劫持”，手法簡單粗暴，但非常有效。

首先，不法分子假扮成他們的目標人物，撥打手機運營商的技術支持號碼。他們向運營商的員工解釋說他們“丟失”了SIM卡，要求將自己的手機號碼轉移或移植到黑客已經擁有的新SIM卡上。通過設置一點社交工程陷阱（通常以交談、欺騙、假冒或口語等方式，從合法用戶中套取用戶系統的秘密）——或許通過提供受害者的社保號碼或家庭住址(這些信息通常是因為過去幾年頻繁發生的數據泄露事件而外泄的)——不法分子說服員工他們真的是手機號所有者，然后員工就會將手機號碼移植到新的SIM卡上。

一切都完了。

“有了某人的手機號碼，”一個做SIM卡劫持的黑客告訴我，“你可以在幾分鐘內進入他們所有的賬號，而他們對此完全無能為力。”

瑞秋·奧斯特倫德在手機號碼被黑客們接管后收到的短信截圖

在那以后，受害者失去了手機服務，因為只有一張SIM卡可以連接到手機網絡上。黑客可以重置受害者的賬號，通常可以通過將手機號碼用作賬號恢復方式來繞過諸如雙重認證的安全措施。