绕过SMS双因素身份验证的六种方法

发布者:上海IT外包来源:http://www.lanmon.net点击数:1779

短消息/短信(SMS)服务诞生于1992年。第一条消息是“圣诞快乐”。
尽管存在许多缺点:没有阅读收据,字数有限,依赖手机号码等,但SMS已经与我们合作了27年。世界上许多人已经迁移到更好,更安全的消息传递平台,如iMessage,WhatsApp和RCS:Rich Communication Suite,预计很快就会推出。
SMS因其无可争议的普遍性而被用于更新。虽然微信等即时通讯软件几乎取代了短信通讯的方式,但在中国商业市场,商务级短信收入在过去两年中一直在增长。这主要是因为SMS是双因素身份验证的便利。
令人担心的是,SMS的安全性似乎每天都在下降。尽管美国国家技术标准研究院(NIST)建议在2016年不使用SMS作为认证因素,但许多网站和移动应用程序仍然需要以文本消息形式的第二个认证因素。 SMS的不安全性是众所周知的,因此关于SMS作为认证系统的讨论更多的是关于什么技术可以取代它。
有许多方法可以绕过SMS的验证,所以你可以不假思索地给它一堆。以下是最常见的:
手机号码转移
移动电话号码相对容易的国家更有可能进行双因素身份验证(2FA)绕过攻击。澳大利亚是此类袭击的主要早期狩猎场。在攻击者收集目标的凭证后,他可以研究受害者的移动电话号码并呼叫操作员在攻击者的控制下将号码分配给移动电话。此时,攻击者可以截获所有2FA验证码,受害者通常不知道。当他们第二天醒来时,他们发现他们的手机已停止服务。在申请号码的那一周,银行账户资金已被攻击者带走。
2.移动运营商拦截
这是去年爆发的一种新型攻击。攻击者通过移动运营商的客户门户获取2FA验证码。如果某人太懒,电子邮件和移动帐户都会重复使用相同的密码。攻击者只需登录用户的移动帐户并查找存储的短信即可获得2FA验证码。然后,您可以重置银行密码并削减用户的帐户。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部