本应保护帐户安全可靠的几项机能——存取电话电话号码，难成 SIM 互换该事件中的攻击方式。且看其管理体制并介绍该如何防雷。

Tessy：Nicole Sette，著名估值及相关服务公司 Duff & Phelps 旗下 Kroll 部门互联网信用风险实践顾问，注册登记信息管理系统安全可靠师 (CISSP)，15 年互联网情报部门进行调查与控制技术分析经验。Nicole 做为互联网情报部门分析师为 FBI 工作近 10 年时间，并在美国空军通信-电子司令部任了四年情报部门专家。她毕业于麻省理工学院，并在美国国家情报部门大学获得奥坦部门学士学位。

在 Kroll，Nicole 创建战略互联网情报部门产品，并执行各类互联网安全可靠进行调查，主要包括牵涉邮件侵略的该事件积极响应、SIM 互换、帐户接手、敲诈应用软件和恶意程序计算机侵略。除了介绍互联网相关该事件南埃尔普的因素，Nicole 还具备极强的控制技术专业知识，主要包括互联网分析、工业互联网安全可靠、调查取证和该阿提斯鲁夫尔谷，以及WhatsApp进行调查。

做为互联网信用风险进行调查公司董事公司日常生活进行的几项不合法机能。最基本的微观上，电话服务供应商采用 SIM 互换将采用者现有电话电话号码转至新机和 SIM 卡上。

将被害者电话电话号码迁往其掌控下的新机和 SIM 卡。但为什么犯人想要掌控他人的电话电话号码呢？

这就牵涉到现代智能手机加密的概念了。新浪网服务供应商采用双胺基酸加密 (2FA) 方式，通过向帐户之前存取的电话电话号码推送纸制公钥来校正采用者身份。虽然这是抹除忘却公钥的方便快捷方式，却也让掌控该电话电话号码的其他人都可以出访关连此电话号码的邮件、SNS媒体及金融帐户。如果希腊战士奥德修斯代表 2FA 所有光辉，那基于手机短信的智能手机加密就是奥德修斯之踵。

一个电话电话号码连黑三个帐户

靠电话电话号码黑掉其他人的想法太过妩媚，我下定决心演示约莫自己的电话电话号码黑掉自身帐户。先从twitter帐户开始。我选择了 “忘记公钥？”，然后看见了 “输出电话电话号码” 的快捷键。此时我根本不记得曾经给我的twitter帐户关连过电话电话号码，但我下定决心试著一下。

我的智能手机很快就收到了twitter发出的纸制公钥。而且Sonbhadra通知上就能看见。将此公钥输出twitter网站，弹上新公钥设置询问处，帐户完全掌控权就此入手。由于手机短信通知出现在智能手机Sonbhadra上，只要拿到我的智能手机且知道我电话电话号码，其他人都可以接手我的twitter帐户。

最为困扰的是，知道我电话电话号码的任一家庭成员、朋友或同事都能把电话号码填进twitter的“忘记公钥？”字段，随手拿过我已Sonbhadra的智能手机就能看见该纸制公钥，然后登录我twitter帐户一览无余。甚至都不需要 SIM 互换。

这一场景的隐私问题令人坐立难安，且还凸显出采用者帐户掌控权失窃的潜在严重影响——获得帐户掌控权的人有可能从其SNS媒体帐户我邮件帐户权限，然后删除这些通知。

乘着twitter帐户侵略成功的东风，布季谢同样的控制技术搞定了我过时的 Hotmail 帐户。步骤主要包括点击 “忘记公钥”，输出我（很好猜）的邮件地址，在弹框里输出我的电话电话号码。然后，纸制公钥就发到了我智能手机上，让我得以抹除公钥，查阅多年来的邮件通信，完全跳过了我之前为此帐户设置的超复杂公钥。我都开始看见 SIM 换客或者八卦人士有多容易从一个电话电话号码窥探无数帐户了。

此时我处于 “攻击者思维” 模式，在我的 Hotmail 收件箱里搜索财务报表。我发现了一封来自金融机构的邮件，点击了 “查看报表”。黑掉该金融帐户所需的工作不仅仅是输出一个电话电话号码那么简单，但也就多了一步输出身份证号——这东西通常可从WhatsApp市场上买到。实验进行到这里，我已经入手了一个SNS媒体帐户、一个存了财务报表的邮件帐户，还有一个可以转出资金的金融帐户。

经验教训

我从用自己的智能手机黑掉自身帐户的实验中学到了什么呢？最主要的是，如果我的帐户没跟我智能手机存取，仅仅由我设置的复杂公钥保护，或许还更安全可靠些。

很多新浪网提供商建议存取智能手机做为实现 2FA 的一种方式。2FA 的两个校正因素：一个是你知道的东西，另一个是你拥有的东西。实际上，2FA 用于在一开始将采用者电话电话号码存取新浪网帐户；但电话电话号码确认之后，帐户加密过程通常就倒退到单胺基酸校正（就一个电话电话号码）了。

由基于手机短信的加密场景激发出来的虚假安全可靠感，令用户面对 SIM 互换攻击和隐私漏洞毫无防备。除非你禁用了智能手机的某些通知机能，否则能看见你Sonbhadra智能手机的人就可能出访你的SNS媒体、邮件甚至金融帐户，所需仅为公开可知的电话电话号码和邮件地址。

结语

本次实验促使我立即做出一些改变，建议各位读者参考照做：

1. 我将删除我新浪网帐户中的电话电话号码，以复杂公钥和更健壮的 2FA 快捷键来校正新浪网帐户，比如 Google Authenticator、Microsoft Authenticator、Duo 或 YubiKey 之类 USB 硬件校正设备。（我显然不会把自己的电话电话号码关连上这些 2FA 应用。）

2. 我将通过存档和备份邮件来保护敏感邮件内容，以防被黑时遭侵略者读取。

3. 为抵御 SIM 互换攻击，我将给我的移动帐户添加 PIN 码，并计划要求 SIM 互换仅能本人亲自做出。

4. 为防来自机会主义偷窥者的智能手机加密攻击，我已经禁用了智能手机的Sonbhadra通知机能。

最重要的是：宣传为使帐户更安全可靠的几项关键机能——存取电话电话号码，已在越来越多的 SIM 互换该事件中被实际证明是种攻击途径。这种攻击的安全可靠和隐私影响很严重，业界需以更安全可靠的加密机制代替基于手机短信的智能手机身份校正。

绕过手机短信双胺基酸加密的六种方式

对多胺基酸加密的四个错误看法