如何防范SIM卡交换骗子？

解答动态

• 

  你不使用作为第二个因素。
  SMS无论如何都不安全。文本处于清除状态，流量处于清除状态，假装受害者很容易获得新的SIM卡。有一次，我的手机被偷了，只需走到电信公司的电话亭，告诉我的名字和电话号码，我就给自己买了一个新的SIM卡。
  Google验证器离线了。它完全不依赖于SIM卡。您甚至可以使用PHP/Python/Perl/Javascript离线计算OTP令牌。你甚至可以用计算器在上面运行程序来实现这一点。对于严肃的2FA认证系统，手机只是第二个因素。这意味着，要想模仿受害者，攻击者还应该猜测主要因素（密码）。真正糟糕的是，一些身份验证系统，包括一些银行的系统，接受持有第二个身份验证因素的手机作为主要密码恢复工具。这显然破坏了2FA的安全。如果发生这种情况，我认为银行的责任应该包括：他们强迫客户使用损坏的弱身份验证系统。但是IANAL不知道在任何国家是否发生过与此相关的法律诉讼……
  
• 

  导致sim卡交换的主要漏洞之一是来自社会工程攻击。如果你必须使用2FA，一种方法是使用谷歌语音号码。由于googlevoice的客户支持很少，所以很少有机会执行社会工程攻击。这不是一个好的解决方案，而且，正如其他答案所说，跳过s2fa是最好的。但是，如果您必须使用SMS 2FA，这可能比什么都没有好。
  
• 

  您选择不使用电话号码的12FA是因为您（和您的提供商）对自己电话号码的安全负有责任。之所以选择它，是因为几乎每个人都可以访问一个电话号码，而这个号码（编辑：似乎）在你的手机中相当安全，因此方便、快捷和简单。
  如果你设计的服务不是主要因素，你可以选择另一种方法，不要使用基于电话号码的2FA。
  EDIT：有人向我指出，sim卡交换比我想象的要普遍作者：
  I don我不认为这是不寻常的。我有个朋友是受害者。他很痛苦。他们倾向于将目标锁定在比特币网站上有账户的人。随着比特币的上涨，我想我们可以期待越来越多的此类攻击krebsonsecurity.com/tag/sim-换个也可以考虑现在使用假要容易得多。手机商店需要遮罩，所以照片不需要太多匹配。
  还有一个角度，手机被一些恶意软件破坏，这些恶意软件会在登录时读取2FA代码（甚至可能通过我的手机登录并在同一个被破坏的手机上接收2FA来访问我的用户名/密码）。
  
• End