“美国新闻泄露严重：黑客补办SIM卡来偷你的账号”

本篇文章9800字，读完约25分钟

7月25日，海外媒体motherboard网络安全记者lorenzo franceschi-bicchierai宣布，曝光了一名从事劫持sim卡的黑客。 作者访问了买卖社交媒体和游戏账户的论坛ogusers，请问哪个账户经常被“劫持sim卡”盗窃？ 用sim卡劫持，黑客盗用目标手机号码，重置密码，接管受害者的各种账户。 正如受害者印象深刻的那样，手机号码是我们数字生活中最薄弱的一环。

以下是复印件的第一个复印件。

在盐湖城的郊区，这又像一个温暖的九月的夜晚。 瑞秋·奥斯特( rachel ostlund )刚哄她的孩子睡觉，自己也准备睡觉。 她和妹妹发邮件的时候，手机突然失去了服务。 瑞秋收到的最后消息来自她的职业生涯叔叔·莫比尔。 据新闻报道，她的手机号码sim卡已经“更新”了。

而且瑞秋在这种情况下做了很多人能做的事。 她重新启动了手机。 但是，这没用。

她上楼告诉丈夫亚当( adam )手机不能用。 亚当试图用他的手机给瑞秋的手机号码打电话。 电话铃响了，但瑞秋手上的手机没亮。 谁也没出来。 然后，瑞秋登录了她的电子邮件地址，发现有人重置了她多个账户的密码。 一个小时后，亚当接了电话。

“让瑞秋回答。”电话那边传来了声音，“现在就。”

亚当拒绝了，问对方发生了什么。

“你完全受我们控制，所以我们会破坏你的生活。 ”打电话的人说:“如果你注意了，我会让你妻子回答的。 ”。

亚当拒绝了

“我们会破坏你的信用记录”那个人接着说了瑞秋和亚当的亲戚及其地址。 “如果我们伤害了他们会怎么样呢？ 如果我们破坏了他们的信用记录，给他们留个口信是你做的，会怎么样？ 这对夫妇认为打电话的人从瑞秋的亚马逊账户上得到了哪个亲戚的消息。

这对夫妇还不知道情况，但刚刚成为黑客最新的受害者。 这些黑客为了在instagram上窃取有价值的顾客姓名，换取比特币进行销售，劫持了人们的手机号码。 年夏末的晚上，奥斯特伦夫妇正在和占领瑞秋instagram账户@rainbow的两个黑客通电话。 他们现在要求瑞秋和亚当放弃她的推特账户@rainbow。

根据参与交易的人的说法和热门市场行情表，在围绕被盗社会交流媒体账户和游戏账户热闹的地下市场，短而独特的顾客名称将从500美元卖到5000美元。 参与地下市场交易的几个黑客声称，像@t这样的instagram账户最近卖出了约4万美元的比特币。

通过接管瑞秋的手机号码，黑客们不仅可以接管瑞秋的instagram账户，还可以接管亚马逊、ebay、paypal、netflix、hulu账户。 一旦黑客控制了瑞秋的手机号码，保护其中一个账户的安全措施(包括双重认证)就没什么用了。

亚当回忆说:“这是一个非常紧张的夜晚。” “真不敢相信他们竟然大胆给我们打电话。”

被忽视的威胁

今年2月，t-mobile大范围发送邮件，提醒大家注意“所有领域的”威胁。 该企业表示，犯罪分子将更多地利用“手机号码转移诈骗”的方法来识别和窃取人们的手机号码。 这个骗局又称“更换sim卡”或“劫持sim卡”，方法简单粗暴，但非常有效。

首先，不法分子伪装成他们的目标人物，拨打手机运营商的技术支持号码。 他们向运营商员工解释说“丢失”了sim卡，要求黑客将自己的手机号码转移或移植到已经拥有的新sim卡上。 社会交流工程的陷阱(一般通过对话、诈骗、假冒、口语等方法，从合法顾客那里挖掘顾客系统的秘密)——通过提供受害者的社会保障号码和家庭住址(这些新闻一般是在过去几年频繁发生的数据泄露事件中泄露的，

一切都结束了。

“有谁的手机号码了”劫持sim卡的黑客说:“你可以在几分钟内进入他们所有的账户，但他们对此完全无能为力。”

瑞秋·奥斯特被黑客入侵手机号码后收到的邮件截图

之后，受害者失去了手机服务。 因为只有一张sim卡可以连接手机互联网。 黑客可以重置受害者的账户。 一般来说，使用手机号码作为帐户恢复方法可以省略双重认证等安全措施。

有些服务(包括instagram )要求客户在设置双重认证时提供手机号码。 这项规定产生了意想不到的影响，那就是黑客提供了访问另一个帐户的方法。 因为如果黑客控制目标手机号码，就可以跳过双重认证获取instagram账户，甚至不需要知道账户密码。

被称为cosmothegod的黑客埃里克·泰勒在他最著名的攻击活动中使用了这项技术，例如入侵了cloudflare首席执行官的邮件地址。 泰勒现在在安全公司的path network工作。 他说，如果手机号码与你的任何一个互联网账户有关，“容易受到攻击，他们会在给你打电话的供应商的五分钟内接管你的账户。”

“这种事经常发生。 ’他补充说。

咨询公司CEL SUS顾问组的信息和研究主管罗尔·施温伯格( roel schouwenberg )正在研究更换sim卡、绕过双重认证、滥用账户恢复机制等问题。 据他所说，没有百分百安全的手机号码。 客户需要意识到这一点。

“任何种类的号码都可以移植，”舒文伯格说。 “下定决心的设施优秀的犯罪者至少可以获得一个号码的临时访问权。 这一般足以成功抢劫。 ”。

这很不安。 正如他去年在博客上说的，手机号码已经成为我们所有网络身份的“万能钥匙”。

“许多系统的设计不是为了比较攻击者接管手机号码的行为。 这很不好，”舒伯格说，“我们的手机号码几乎成了不可撤销的证明。 正如社会保障号码不是证明书一样，它绝不是。 今天，手机号码是大多数服务和账户的关键。 ”。

控制好你的手机号码，黑客就可以随心所欲了。

“我拿了他们的钱过我的生活”

如果自行车被偷了，你应该去克莱斯勒看看有没有人在黑市转手。 如果您的instagram账户因sim卡的更换方法被盗，请去ogusers看看。

乍一看，ogusers看起来和其他论坛没有什么不同。 上面有“垃圾邮件/笑话”的版本，另一个是关于音乐、娱乐、动漫、游戏等话题的闲谈。 但是，最大、最活跃的版本是顾客买卖社会交流媒体和游戏账户的市场，有些账户可以以数千美元的成本出售。

该论坛的管理者在最近发表的帖子中说，有人以2万美元出售了instagram账户@bitcoin。 截至6月13日，上述名单上的客户仍将instagram账户@eternity的标价定为1000美元。

这只是ogusers上账户交易的两个例子。 该论坛将于每年4月上线，目的是为购买和销售“og”客户名称提供平台。 (这个论坛的名字取自俗语“original gangster”的缩写og，意思是原来的大人物)。 在社交媒体上，带“og”的顾客名之所以被认为很酷，可能是因为它是@sex、@eternal或者@rainbow这样独特的语言。 另外，也可能是因为像@t或@ty这样非常短的账户。 名人也是黑客的攻击目标。

瑟琳娜·戈麦斯的Instagram账号被黑后的截图

例如，去年8月，黑客劫持了瑟琳娜·戈麦斯( selena gomez )的instagram账户，并发布了贾斯汀·比伯( justin bieber )的裸照。 戈麦斯帐户名的第一个名字也改为“islah”。 和当时在ogusers论坛上一位叫islah的顾客采用的名字一样。 据ogusers黑客称，声称参与入侵戈麦斯账户的人是通过接管这位艺人的instagram账户相关的手机号码实现这一点的。 当时，戈麦斯的instagram账户有1.25亿粉丝。

一位ogusers客户在“rip selena gomez”(安息吧，瑟琳娜·戈麦斯)的帖子中评论说:“该死，他们黑了instagram上最受关注的人。”

戈麦斯的发言人拒绝置评。

客户在ogusers论坛的帖子中评论说赛琳娜·戈麦斯的账户被拉黑了。

截至今年6月，ogusers有5.5万多名注册客户和320万个以上的投稿。 每天登录的活动用户约有1000名。

这个网站的客户不能考虑更换sim卡。 如果有人暗指越来越流行的这种方法，别人就会经常传出“我不允许任何不法行为”的消息。 但是，两位高级客户ace (被列为论坛的版主之一)和thug告诉我，更换sim卡是ogusers成员窃取客户姓名的常用方法。

用更换sim卡的方法盗取顾客姓名，顾客需要知道哪个手机号码与该顾客姓名相关联。

事实表明，在网上找到这样的新闻并不像人们想象的那么困难。

去年，黑客们推出了一项叫做doxagram的服务。 通过该服务，您可以付费确定与特定instagram帐户关联的移动电话号码和电子邮件地址。 ( doxagram发售的时候，在ogusers上做了广告。 如果知道在网络地下市场的哪里找的话，由于一连串备受瞩目的黑客攻击，社会保障号码在很长一段时间里都比较容易找到。

ace声称放弃了销售客户名称的工作。 thug表示，将使用内部的t-mobile工具搜索客户数据，并更换sim卡。 聊天时，黑客给我看了工具的截图。

黑客thug在最近的聊天中发送了浏览顾客数据检索工具的截图

为了考试，我给了thug我的手机号码。 黑客返回了一张屏幕快照，其中包括家庭地址、imsi号码(国际移动客户端id )和其他理论秘密账户的新闻。 thug甚至看到了我向t-mobile提供的保护我账户的特别命令。

“我疯了。 ’我说。

“确实，这是一个疯狂的网络世界。 ”。 thug回答说

事实上，这不是陌生人第一次访问我的私人新闻了。 应该受t-mobile保护的私人新闻。

去年，一位安全研究人员利用t-mobile网站的漏洞获得了几乎相同的新闻。 修复漏洞后，t-mobile一开始对这个漏洞的影响很冷淡，说没有人可以使用它。 但实际上，有很多人在使用。 在该公司填补漏洞之前，youtube上有几周的教程视频详细介绍了如何利用该漏洞获取人们的个人数据。

thug说，这些年来，电信运营商很难让像他们这样的黑客实施攻击。

在最近的网上聊天中，thug说:“以前我直接给运营商(例如t-mobile )打电话，告诉他们手机号码换sim卡就可以了。 很简单。 我现在有必要了解在职业生涯工作的人。 给你100美元就会给你pin码。 ”。

thug和ace解释说，多名黑客目前正在招募在t-mobile和其他运营商工作的客服人员和店铺人员，并以80美元或100美元收购，以将目标更换为sim卡。 thug声称通过收购内部人士获得了上述t-mobile内部工具的采用权，但motherboard无法证明这一点。 t-mobile拒绝回答关于公司是否参与更换sim卡诈骗的证据的问题。

“有了内部人员的帮助，我们的工作会更加方便，”thug说。

ace补充说，找到公司内部人员不是首要任务。 “很难说服他们按你的要求去做”

顾客“simswap”通过新闻开展用ogusers伪造id和其他文件的服务。

安全公司flashpoint最近进行的一项调查显示，犯罪分子为了更换sim卡得到了电信行业人士更多的帮助。 美国联邦贸易委员会( ftc )前首席技术官萝莉·克拉纳( lorrie cranor )表示，他多次看到运营商内部人员参与此类攻击的证据。 安全研究员，sim卡交换先锋泰勒说他认识一个从店里的员工那里得到了一点帮助的人。 在安全记者布莱恩·克雷布斯( brian krebs )最近写的一个例子中，一家t-mobile店铺的员工更换了非法的sim卡，盗取了instagram账户。

当然，更换sim卡不是ogusers论坛的人控制账户的唯一方法。 thug告诉我，尽管没有更换sim卡，但一个不算太差的被称为“turboing”的劫持招聘计划在账号释放后很快就会自动注册。

但是，如果说盗取手机号码是更有效的方法，并不是因为黑客没有强大的技能。 据ace和thug估计，只有约50名ogusers成员拥有窃取手机号码的社会交流工程技能和技术工具。

与ace和thug聊天时，当涉及到入侵人们的在线账户、加密货币钱包和银行账户时，他们问是否会后悔。

很遗憾，也有不后悔的东西。 ace说:“我拿着他们的钱过我的生活。 他们没有采取安全措施。”

thug补充说，像他们这样的犯罪黑客几乎没有受害，特别是比较顾客姓名的活动而已。

“只是盗取顾客的名字。 没有什么特别的，”thug先生说。 “没有任何损失，只是失去了愚蠢的顾客姓名。 ”。

日益严重的问题

无论他们是否出售instagram的顾客名字，从事更换sim卡的人都能赚大钱。

“整个模式非常有利”。 研究基于更换sim卡的犯罪行为的recorded future安全研究人员安德烈·巴雷塞维奇( andrei barysevich )告诉我们:“如果知道如何更换sim卡，就能赚大钱。”

以虚拟现实企业irl vr的创始人科迪·布朗( cody brown )为例。 去年，在黑客控制他的手机号码并以此入侵他的电子邮件地址和coinbase账户后，他在短短15分钟内丢失了8000多美元的比特币。 布朗被黑客攻击时，这次攻击非常活跃，为最受欢迎的在线加密货币平台提供双重认证的应用程序authy特意观察了sim卡的交换行为，添加了阻止黑客的安全功能。

或者说，去年在motherboard上曝光t-mobile的网站上，存在黑客可以获取顾客个人新闻的漏洞，在设置社会沟通工程陷阱欺骗顾客代表更换sim卡后，加密查

“我只是想说你暴露了( t-mobile的) api漏洞。 你是个吃屎的混蛋。 ”。 这个昵称为nonos的人在新闻中写道:“如果你不写一份让全世界都知道这个漏洞的副本，联系t-mobile告诉他漏洞，漏洞就无法修复。”

然后，他们声称利用这个漏洞攻击了一些身体，他们正在进行sim卡的交换。 他们还说利用这种手段锁定富人，实施抢劫。

“我用其他方式一天赚30万美元。 ”nonos说。 但是motherboard没能证明这个数字。

“如果有这种能力的‘人’可以在这个国家的任意一个手机号码上更换sim卡，那么明明可以以什么样的有钱人为目标，为什么要以顾客名和任意的人为目标呢？ 例如以投资者、股票交易员、对冲基金经理等为目标。 ”。 nonos继续说。

除了瑟琳娜·戈麦斯之外，还有著名的sim卡交换受害者，还有布莱克·里维斯马特活动家德雷·麦克森( deray mckesson )、卡内基梅隆大学网络安全隐私研究所cylab的创始人dena ha ritos tsas。

过去几个月，30多个sim卡被更换的受害者自发联系，分享了他们在黑后的网络生活和现实生活中被严重破坏的可怕故事。 可以说在美国至少发生在数百人身上，但被黑客攻击的人数不太清楚。 只有手机运营商知道问题的严重性，但这些电信运营商不太想谈这个问题。 这个反应可能并不意外

现任卡内基梅隆大学教授的克伦纳表示，在担任美国联邦贸易委员会首席技术官期间，她想知道这种黑客行为是如何普遍的克伦纳本人在同年成为更换sim卡的受害者的。 当时，克拉纳说甚至没听说过更换sim卡。 但是，虽然她在联邦贸易委员会的地位给她带来了权力和影响，但是对于她要求数据的要求，为了说明这些攻击有多普遍，手机供应商什么也没有提供。

“职业生涯显然不够，”克兰纳在电话里对我说。 “他们告诉我们正在加强预防。 发生在我身上的事件今天可能不会发生，但我不相信。 我没有看到很多证据表明他们真的在加强防范。 他们真的有必要把这个看成非常重要的认证问题。 ”。

她补充说，运营商很清楚sim卡的更换问题。 “虽然他们不想承认”

motherboard联系了美国四大电信运营商at、verizon、sprint、t-mobile——。 有必要获取有关更换sim卡盛行程度的数据。 没有一个人同意提供这样的消息。

at的一位发言人说，这样的欺诈行为“会影响我们少数的顾客，对我们来说很少见”。 但是，当被要求澄清“少数”具体是什么时，他没有做出回应。

t-mobile发言人在一份声明中表示:“更换sim卡/转移手机号码诈骗已经很久了。” 他补充说，企业通过要求转移手机号码的顾客提供pin码和密码，以及判断新方法来验证顾客账户的更改等其他安全措施，应对了这些攻击。 这位代表拒绝安排我提出的叔叔移动高管电话采访，但也没有回答关于这些攻击有多普遍，有多少人被攻击的问题。

“我真的不明白你为什么要获取这些数据。 ”该发言人说:“考虑到我们有7200万顾客，受影响的顾客很少。 但是，很明显，即使是一个顾客，也没有企业想看到它发生在顾客身上。 ”。 去年10月，t-mobile向黑客的攻击目标“数百名顾客”发出了警告。

sprint拒绝提供更换sim卡的数据，但发表声明敦促顾客定期更改密码。 verizon的发言人也没有提供关于sim卡被劫持的一般情况的数据，但是sim卡的更换需要“正确的账户和密码/pin码”。

今年早些时候，这四家主要运营商推出了移动身份验证项目“移动身份验证任务组”。 该联合行动旨在创建一个新的处理方案，使客户可以使用手机身份验证新闻验证登录网站和应用程序。 科技媒体将其描述为基于短信消息的双重认证的潜在替代品。 基于sms消息的双重认证被认为不合格。 但是，目前还没有关于这个新的处理方案如何实施的详细情况，是否有助于减少sim卡更换的发生也不清楚。

ftc发言人指出了一份客户保护数据手册( consumer sentinel data book )，其中总结了客户关于欺诈、诈骗、身份盗窃等行为的报告，但没有具体的sim卡更换条目。 该发言人表示，这类事件是“有可能被纳入”的电话和公共事业诈骗，记录了3万多起关于手机诈骗的报告。

ftc的《客户保护数据手册》第14页的屏幕截图

美国联邦调查局( fbi )发言人表示，该局对这种黑客行为没有任何数据。 该机构负责调查全美范围的诈骗和犯罪行为。

即使数量不多，这种黑客攻击也可能造成巨大的伤害。 至少，从那里恢复需要花费大量的时间和精力。 问问更换sim卡的法斯·普里纳基斯( fanis poulinakis )就知道了，今年早些时候他告诉了我受害经历。

普里什蒂纳说有一天手机突然不能用了，马上登录了自己的网上银行账户。 “果然！ ’他说，“2000美元也不见了”。 然后，预演整天往返于t-mobile和大通银行( chase bank )之间，试图弄清楚发生了什么。

“真是噩梦啊。 ”

从受害者变身为侦探

对瑞秋和亚当夫妇来说，去年9月6日的晚上是一个非常漫长的夜晚。

在电话里，亚当试图尽量拖住黑客们。 首先，要知道发生了什么，以及不法分子们得到了什么。 他们越来越烦躁，不断要求这对夫妇放弃蕾切尔的推特账户@rainbow。 而且，如果控制同一个客户名称的推特账户和instagram账户，黑客就有机会在交易中赚越来越多的钱。 正如其他黑客所解释的，如果有相关的初始邮箱，这些账户会更有价值。 因为那样的话，原账户所有者从黑客那里收回账户会更加困难。

亚当累了，挂了电话。 黑客们不久就给他发了邮件。

根据亚当和motherboard共享的聊天记录，其中一个是“我要睡觉了，可以干燥吗？ 立即在推特上更改邮箱。 你不要逼我。 如果你不马上回复，不管你手里握着什么，你都不会好起来。 ”。

然后，黑客们又打来了电话。 这次，说话的是冷静，不那么害怕的人。

通话录音显示，第二名黑客告诉亚当，为第一名黑客的粗暴态度道歉。 “这不是个人恩怨。 我可以向你保证什么都不会发生。 ”

在这次通话中，当地执法人员接到瑞秋的通报后抵达奥斯特的家。 解释一下这对夫妇发生了什么，警察们似乎很困惑。 他们说真的帮不上忙。 这对夫妇整晚都在试图从这场黑客攻击中恢复过来。 一旦收到t-mobile的手机号码，他们马上就可以用它重置所有账户的密码，就像黑客做的那样，找回被盗的账户。 除了完全受黑客控制的instagram账户@rainbow以外。

三天后，瑞秋和亚当决定自己处理这件案子。 他们自己跟踪黑客。

瑞秋观察到自己被重置密码的instagram账户上有关注者: @golf，其个人资料表示其关注者是奥斯汀( austin )。 瑞秋和亚当说他们在这个账户上找到了他们认为是在科罗拉多斯普林的演唱会上拍的照片。 通过浏览@golf的关注者，找到了黑客的推特账户和脸书账户。 他们发现了被称为黑客的真实身份。

motherboard无法证明黑客的身份。

在调查过程中，蕾切尔和亚当在ogusers论坛上发现一个叫darku的黑客出售了@golf和其他独特的instagram的客户名称。 在这对夫妇看来，这表明darku控制着@golf，估计他们的账户@rainbow也受darku控制。

darku正在销售instagram账户@hand的投稿。

在一次网上聊天中，darku说他今年18岁，是黑客组织的成员。 他否认更换了sim卡，否认是偷@rainbow和@hand的黑客，声称通过与朋友的交易得到了@hand，并声称从未拥有过@rainbow。

“不会有轻度犯罪，”darku说。 “到处都有人脉，所以没有必要为了得到想要的东西而欺诈。”

在我今年5月通过ogusers与他取得联系后，darku写了一篇帖子，警告fbi可能正在调查这个论坛。 据darku说，我的问题很可疑——他不知道我真的是我主张的身体。

“我的一个朋友最近和联邦调查局接触，被问到他们的顾客姓名的事件和它们是如何得到的。 ”darku写道:“如果有自称来自主要情报机构的人联系，请保持警惕。”

好像有点顾客困惑，想知道为什么fbi对顾客名字的交易市场很有趣。

“和顾客姓名无关，”另一位顾客回答。 “这件事与获取顾客姓名的方法有关。 他们一定知道顾客姓名销售活动背后的黑幕”。

但是，ogusers论坛的其他成员似乎不太成问题。 被逮捕后开玩笑，发布各种表情包。 我在这个论坛的账户被禁用了，也是访问它时使用的ip地址。

在motherboard开始接触ogusers论坛的成员后，一位成员在instagram上发表了这篇文章，嘲笑了motherboard的母公司vice。

根据亚当和我分享的电子邮件，亚当把他发现的关于darku的新闻提供给了专门从事盐湖城暗网和网络犯罪调查的fbi特工。 亚当还说，科罗拉多州斯普林斯的联邦调查局告诉我们报告“准确”，调查人员正在取得进展。

瑞秋补充说，联邦调查局最近通知了她和亚当，特工们拜访了奥斯汀( ogusers的顾客名darku )的家，“吓了他一跳”。 她对我说，那个黑客“不会再做了”。

在最近发布的另一个ogusers论坛的帖子中，darku写道，fbi知道在调查“谁敲诈持有@rainbow账户的女性”。 darku说警察来找他谈话，但他说“这件事和我完全无关”。

“我不会浪费时间打扰别人。 ’darku说他是这样告诉当局的。

motherboard无法证明fbi介入了这个事件。 该局一般不对正在进行的调查进行评论。 联邦调查局盐湖城办公室发言人拒绝置评。 联邦调查局科罗拉多斯普林斯的办公室也没能联系上。

直到今天，instagram还没有将@rainbow帐户返回给rachel。 其他受害者，包括instagram账户@hand和@joey的所有人，告诉我，尽管多次向instagram投诉，他们还是无法找回自己的账户。

instagram发言人在声明中表示:“我们努力为instagram社区提供安全可靠的体验。 当您注意到帐户被入侵时，可以关闭对该帐户的访问，为受影响的人提供修复程序，并采取其他必要的措施来重置密码和保护您的帐户。 ”。

对受伤的受害者来说，这是代价沉重的教训。

“我们的手机是我们最大的弱点。 ’瑞秋，告诉我。

就像亚当说的，黑客告诉了他。 手机号码是我们数字生活中最薄弱的一环。

“如果有人控制了你的手机号码，”他说。 “他们就等于掐了你的喉咙”(乐邦)

来源：安莎通讯社