行业新闻与博客

Twitter 终于纠正了两因素身份验证（2FA）的安全漏洞，该漏洞可能允许 SIM 交换攻击者解锁用户的帐户。

到目前为止，该公司已强制所有希望在其帐户上使用强身份验证的用户必须首先启用基于 SMS 的 2FA。即使他们随后选择通过一次性密码（OTP）应用程序或其他方法进行身份验证，也无法关闭此功能。

如今，这种情况终于发生了变化，社交媒体公司允许用户在没有电话号码的情况下注册 2FA。这意味着他们可以使用任何支持 FIDO2 WebAuthn 协议的 2FA 系统，而不必担心 SIM 交换技术可能会绕开它。

最近，这些现象变得越来越普遍：黑客对移动电话运营商员工进行了社交工程，以使其认为自己是合法客户，希望将其号码移植到新的 SIM 卡中。

这样，他们可以控制号码，然后尝试将其强制进入可能受基于 SMS 的 2FA 保护的任何在线帐户。

这类活动特别关注从受害者的数字钱包中窃取资金。本月初，两名男子被控重大行动，据称他们以这种方式偷走了超过一百万美元的加密货币。

在许多地区，有 9 名男子被指控犯有类似的阴谋，据说已使他们净赚 240 万美元左右。

在 AT＆T 与企业家迈克尔·特尔平（Michael Terpin）即将展开的法庭之战中，还有更大的赌注可玩，后者因雇员错误允许加密货币窃贼从数字钱包中窃取其个人资金 2400 万美元，后者正以 2.24 亿美元起诉承运人。 。

早在 8月，黑客就曾利用一次 SIM 交换攻击来访问公司 CEO 杰克·多尔西（Jack Dorsey）的 Twitter 帐户，此事件可能有助于改变官方政策。

非常感谢您对亚洲注册的支持与信任！

禁止转载