黑客招搖過市、運營商毫無作為，無腦的SIM劫持案還要摧毀多少人的生活？

編譯 | Loci

編輯 | 小LV

微信 | ai_xingqiu

網址 | 51aistar.com

編者註：本文的作者Lorenzo Franceschi-Bicchierai畢業於哥倫比亞大學新聞學院，主要負責黑客、信息安全和數字版權方面的稿件撰寫。

Instagram賬號被盜案件接連發生，受害者的弱點是什麼？手機號。

去年9月在鹽湖城郊外，一天晚上，Rachel Ostlund剛剛把孩子們哄去睡覺，自己也正打算入睡。而就在她編輯給她姐姐的簡訊時，她的手機突然服務中斷了。手機上最後一條來信來自電信商T-Mobile，內容顯示她的電話號所對應的SIM卡剛剛被「升級」。Rachel重啟了手機，然而問題並沒有被解決。

她第一時間告訴了丈夫Adam，她的手機故障了。Adam試圖用自己的手機給Rachel打電話，Rachel的手機卻沒有亮起；電話無人接聽。就在這時，Rachel登錄自己的郵箱卻發現有人在重設她多個賬號的密碼。事發一個小時後，Adam接到了一條來電。

「讓Rachel接電話。現在立刻。」電話另一頭的聲音說到。Adam拒絕了這個要求，並詢問到底是怎麼回事。

「你已經完全在我們的掌控當中，我們將徹底地摧毀你的生活。如果你是個聰明人，那就讓你老婆接電話。」

Adam依然拒絕。

「我們會摧毀你的信譽。」陌生的聲音繼續說到，還列舉了一些Rachel和 Adam的親戚和他們的住址。事後這對夫妻猜測犯罪分子可能是從Rachel的亞馬遜賬號得到了這些信息。

「如果我們傷害他們，事情豈不是更有意思？如果我們毀了他們的信譽再告訴他們這一切都是因為你們，你覺得怎樣？」電話那頭說。

這對夫妻還不知道，他們即將成為一系列SIM卡劫持案中最新的受害者。犯罪分子會劫持受害者的手機號，盜取有價值的Instagram用戶名然後出售，換取比特幣。

2017年夏末，Ostlund夫婦接到了Rachel Instagram賬號@Rainbow劫持者的來電。 他們要挾 Rachel和Adam放棄她的推特賬號，賬戶名也是@Rainbow。

在黑市，被盜取的社交媒體或遊戲賬號有專門的市場。那些精簡獨特的用戶名售價大約在5百美金到5千美金不等。幾位劫持了Instagram賬號@t的黑客告訴我們，該賬號最近的成交價為相當於4萬美金的比特幣。

劫持Rachel的手機號之後，黑客不僅掌握了Rachel的Instagram，還有她的亞馬遜 、Ebay、PayPal、Negflix和Hulu等多個平台的賬號。雖然Rachel對這些賬號施加過雙重驗證等保險措施，但一旦黑客掌握了她的手機號，這些措施都毫無意義。

「那真是我人生最糟糕的一晚。我難以置信他們竟然有臉打電話過來。」Adam回憶到。

今年2月，T-Mobile向用戶群發簡訊，提醒用戶提防某個「全行業的」威脅。公司聲稱，有更多犯罪分子正在通過「電話號碼轉移詐騙」手法盜取個人電話號碼。這種詐騙也被稱作SIM卡劫持或SIM卡調換，手法簡單粗暴卻極其有效。

首先，犯罪分子會偽裝成受害者撥打手機運營商的客服電話。他們聲稱自己剛剛丟失了SIM卡，要求電話公司把電話號轉移到事先準備好的另一張SIM卡上。此時犯罪分子只需向電話公司提供社會安全號碼或家庭地址（可能犯罪分子早在幾年前就悄悄截取了這些信息），即可獲取客服人員的信任，達到他們的目的。

「只要拿到了電話號，你就可以獲得他們所有的賬號，而受害人毫無招架之力。」從事SIM卡劫持的黑客告訴我。

Rachel Ostlund在電話號被劫持後收到的簡訊。

一旦犯罪分子入手了電話號，用戶的手機就會顯示電話服務中斷，因為同一個電話號無法有數張SIM卡同時連接到電話網路。黑客即可重設受害者的賬號密碼，雙重驗證在此時也不管用，因為犯罪分子已經掌握了電話號碼。

Instagram等部分服務會在設置雙重驗證時要求用戶提供電話號碼，這無疑為黑客多創造了一種獲取賬號的手段。因為如果黑客掌握了受害者的電話號碼，他們就可以在不知道賬號密碼的情況下，通過雙重驗證登錄Instagram賬號。

曾經的黑客CosmoTheGod Eric Taylor就曾在他的著名案件中採用了這種手段，例如2012年他入侵CloudFlare CEO的郵箱帳號一案。如今Taylor已在安全公司Path Networ任職。他告訴我們，把電話號綁定上任何網上賬號都是作死：「隨便一個十幾歲的小孩都能打個電話給運營商拿到你的電話號，然後盜你的號。這種事一直有。」

Celsus Advisory Group的智能與研究部門總監Roel Schouwenberg正在從事SIM卡調換、雙重驗證規避和非法賬號恢復等黑客作案手法的研究。在他看來，沒有人的手機賬號是萬無一失的，而消費者必須意識到這一點。

「任何類型的電話號碼都可以被轉移。有資源的犯罪分子完全可以暫時騙取一個電話號，這點時間就足夠他們徹底掌握這個電話號。」

Schouwenberg去年在博文就指出，電話號碼已經成為了我們網上身份的「萬能鑰匙」。

「大多數系統的安全措施都並非針對獲取了用戶電話號的黑客。這非常糟糕。我們的電話號已經成為了不可撤銷的身份資料。但就像社會安全號碼一樣，電話號原本不是如此重要的信息。而如今有一個電話號就可以拿到你幾乎所有的賬號。」

至於拿到你的電話號後做什麼，這主要取決於黑客劫持的目的。

「我拿他們的錢，過自己的人生」

如果你的自行車被盜，那你應該上Craiglist看看是不是被人在黑市上出售了。如果你的Instagram賬號通過SIM調換被盜，那你應該上OGUSERS看看。

乍一看，OGUSERS似乎只不過是個普通的論壇。上面有「其他/搞笑」和其他欄目，用戶在討論隱約、娛樂、動漫、遊戲等各種話題。但最大最活躍的板塊其實是社交媒體和遊戲賬號的交易市場，交易價有時高達幾千美金。

在最近一個帖子中，有人以2萬美金的高價出手了Instagram賬號@Bitcoin。還有一個帖子上，有人掛了Instagram的@eternity賬號，價格為1千美金。

這只不過是OGUSERS上社交媒體賬號黑市的冰山一角。這個在2017年4月成立的論壇原本就是為了讓人們出售和購買「OG」用戶名。OG為「Original Gangster 」的縮寫，意為「真正的社會人」。社交媒體上的OG則就是指少見的用戶名，例如@Sex、@Eternity或者@Rainbow這種獨特的詞，或是@t或@ty.Celebrities這種極短的用戶名。

Selena Gomez Instagram賬號被劫持後的截屏。

去年8月，Selena Gomez的Instagram 賬號曾經被盜，黑客還發了一張Justin Bieber的裸照。Gomez的帳號的名字也被改成了Islah，與OGUSERS上某位用戶的帳號明相同。

根據 一些混跡OGUSERS的黑客，那些號稱自己盜了Selena Gomez Instagram賬號的黑客自稱是劫持了某位單身女明星Instagram關聯的電話號，盜取時該帳號還有1.25億粉絲。

「卧槽他們真的黑了全 Instagram粉絲數量最多的人。」一位OGUSERS用戶在題為「SELENA GOMEZ一路走好」的評論中說到。

Gomez的發言人則拒絕就此通過郵件做出評論。

截至今年6月，OGUSERS上註冊用戶數量已經超過5萬5千，帖子數量多達32億，每日活躍用戶量超過1千。

該網站禁止用戶討論SIM卡劫持相關話題。如果有人提到了這個詞，其他人立刻會發表「我絕不縱容任何非法行為」等言論。然而管理員Ace和Thug告訴我，SIM卡劫持是OGUSERS用戶盜取用戶名的常用手段。

想要通過SIM卡劫持盜取用戶名，黑客就必須先知道該帳號的關聯電話號碼。而事實證明，想要挖出電話號碼似乎並沒有人們想像的那麼難。

去年，有些黑客在在網上出售名為Doxagram的服務，只要你付錢他們就可以幫你找出某個Instagram賬號關聯的郵箱或電話號。值得一提的是，Doxagram剛剛誕生時正是在 OGUSERS上推廣的。托那群愛炫耀的黑客的福，只要你去暗網裡查查即可查到不少社會安全號碼，這些信息早就在網上了。

Ace說他已經不幹賣用戶名的活了。Thug則說他和其他人還會通過T-Mobile內部工具查找用戶數據，進行SIM卡劫持。在談話中，黑客還給我們展示了他們用該工具時的截屏。

Thug在聊天中發給作者的截圖。

出於實驗目的，我給Thug發了我自己的電話號。Thug 立刻給我發了一張截屏，上面有我的家庭住址、我在運營商的用戶號碼以及其他應該是隱私的賬戶信息。Thug甚至還查到了我為了保護個人帳號給T-Mobile發的指示。

「我要變成偏執狂了。」我說道。

「也難怪，網路世界是挺瘋狂的。」Thug 回復。

事實上這已經不是第一次有陌生人拿到我的隱私信息了。而這些隱私信息應該是由T-Mobile公司保護的。

就在去年，一位網路安全研究人員發現他可以利用T-Mobile網頁的漏洞獲取類似方面的隱私信息。在補上該漏洞之後，T-Mobile打壓了對該漏洞的大眾輿論，聲稱目前還沒有人利用過該漏洞。但事實上， 這種事情已經發生過很多次了。YouTube上早在公司採取措施的幾周前就有人上傳了教程，教你如何通過該安全漏洞獲取人們的隱私信息。

Thug告訴我，過去幾年來，各家運營商都在不斷提高像他這種黑客入侵的難度。「最早是只要你打電話給運營商，告訴他們你想給這個電話號碼換個SIM卡就可以了。現在你得有內部人脈，只要你給100美金他們就會給你PIN。」Thug說到。

根據Thug和Ace的說法，不少黑客現在都在找T-Mobile以及其他運營商的客服人員，以80到100美金的價格賄賂他們協助SIM卡劫持。Thug聲稱他們就是靠賄賂內部人員拿到了T-Mobile內部工具的訪問權，但我們沒能證實這一說法。T-Mobile拒絕回答公司是否有內部人員參與SIM卡劫持詐騙的證據。

「有了內部人員的協助，事情就好辦多了。」Thug說到。

找到內部人員並非難事，Ace補充道。「說服他們幫你做事並不難。」他說到。

最近安全公司Flashpoint的調查顯示，有越來越多的犯罪分子通過運營商內部人員協助進行SIM卡劫持詐騙。前FTC首席技術師Lorrie Cranor表示，她找到多項證據都顯示有內部人員參與其中。SIM卡劫持鼻祖、如今的安全研究人員Taylor則說，他自己就認識和實體店工作人員有關係的黑客。安全相關記者Brian Kerbs近日報道的一起案件中，T-Mobile實體店員工以盜取Instagram賬號為目的進行了未經授權的SIM卡轉移。

當然了，SIM卡轉移並不是OGUSERS掌握賬號的唯一手段。另一種手法比SIM卡劫持道德一些，黑客會利用程序在賬號放出的第一時間自動註冊。

但盜取手機號雖然有效，技術上的實現難度卻比其他作案手法大。據Ace和Thug估測，大約只有50名OGUSERS用戶有這方面的人脈關係和技術工具。

在談話中，我還問Thug和Ace是否對入侵他人的網上賬號、虛擬貨幣錢包或銀行帳號感到過自責。

「不好意思，我問心無愧。我拿他們的錢，過自己的日子。他們沒能保障自己的安全，那是他們的責任。」

Thug還強調，尤其在劫持社交媒體賬號一事中，黑客其實並沒有對受害者造成什麼實際損失。「不過就是個用戶名，甚至沒有丟錢。就是個破名字而已。」

日益嚴重的問題

無論這些犯罪分子是否出售了受害者的Instagram用戶名，他們都能從中獲取巨額利潤。

「這是一種暴利手段。如果你知道怎麼劫持SIM卡，那你真的能發財。」在Recorded Future研究SIM卡劫持非法商業的安全研究員Andrei Barysevich說到。

就在去年，虛擬現實公司IRL VR創始人Cody Brown在短短15分鐘內失去了價值8千美金以上的比特幣。黑客掌握了他的手機號，然後利用該號碼入侵了他的電子郵件，隨後掌握了他的Coinbase賬號。Brown並不是唯一一位受害者；事實上類似案件是如此之多，以至於為一些大型虛擬貨幣交易平台提供雙重認證的應用Authy不得不提醒用戶提防SIM卡劫持詐騙，並為了阻止黑客增加了其他安全保護功能。

去年Motherboard報道了T-Mobile網站的漏洞之後，我在加密聊天應用Signal上就曾收到過來自用戶NoNos的消息：「托你們的福，現在全世界都知道T-Mobile有這個漏洞了。要不是因為你們的報道，就不會有人聯繫T-Mobile補上漏洞了。我去你的。」

對方還透露自己曾利用這個漏洞入侵過幾個人的賬號，他們正是SIM卡劫持者。他們似乎原本還打算用同樣的手法搶劫富人。

「以前用這個方法我一天能賺30萬美金。」Nonos還說到。「如果能實現SIM卡劫持，得到全國任何人的電話號碼，那幹嘛還針對普通人？為什麼不能鎖定有錢人，比如那些投資人或者對沖基金負責人？」

除了Selena Gomez之外，遭到SIM卡轉移的名人受害者還有Black Lives Matter的活動家Deray Mckesson，卡耐基梅隆大學的網路安全和隱私學院CyLab創始人Dena Haritos Tsamitis，以及YouTube網紅Boogie2988。

過去幾個月內，我們收到了來自30多名SIM卡劫持詐騙受害者的聯繫。我們可以肯定，在美國，起碼有幾百人經歷過這種事件，雖然具體受害者數量目前還無法統計。只有電信運營商知道該問題有多嚴重，但他們拒絕討論這個問題。

現卡耐基梅隆大學教授Cranor告訴我，2016年，她還在Federal Trade Commission任職首席技術師時她就曾試圖調查過這種問題究竟有多嚴重。那年Cranor親身經歷了SIM卡劫持，但當時她還從未聽說過類似案件。然而，雖然她在FTC身任重位，卻沒有一家電信運營商願意向她提供案件的具體數據。

「運營商顯然做的不夠多。他們告訴我他們正在儘力做更多措施，發生在我身上的事件可能只是個偶然，但我並不相信。我沒有看到他們對此多做過什麼。他們必須明白問題的嚴重程度，嚴肅對待。」她還補充到，運營商其實對SIM卡劫持非常了解，「雖然他們不願承認這一點」。

Motherboard聯繫了美國最大的四家電信運營商AT&T、Verizon、Sprint和T-Mobile，要求他們給出SIM卡劫持的案發數量，但沒有一家正面回應了我們的要求。

一位AT&T的發言人表示，這種騙局「會影響到我們極小部分的用戶，對我們而言也非常稀少」。但當我們要求他解釋「小部分」的定義時，他卻沒有回應。

「SIM卡轉移從之前就是個全行業的問題。」T-Mobile的發言人在聲明中說到。她還表示，公司正在通過要求用戶增加安全措施來對抗黑客攻擊，例如轉移電話時會要求PIN和密碼。公司目前正在考慮其他驗證用戶賬號轉移的方法。該發言人拒絕了我採訪T-Mobile高管的請求，也沒有正面回應案件發案數量究竟有多少。

「我不理解為什麼你需要這些數據。考慮到我們有720萬用戶，受害者是極小部分人。然而顯然沒有公司希望如此不幸的事情發生在用戶身上。」（補充說明：去年10月，T-Mobile曾向可能被黑客針對的「幾百名用戶」群發過警示簡訊。）

Sprint拒絕就SIM卡劫持案件提供任何數據。他們倒是給我們發了一份聲明，內容是他們的用戶經常更換密碼。Verizon的發言人也拒絕提供數據，但強調了用戶的SIM卡轉移需要「正確的賬號和密碼或PIN才能完成」。

今年早些時候，這四家公司宣布成立了Mobile Authentication Taskforce（手機驗證專案組）。這是四家公司的聯手項目，旨在研發能讓用戶通過手機中的身份憑證在網站或App驗證身份的方案。根據媒體宣傳，該項目是為了提供SMS雙重驗證的替換方案。但該方案究竟如何開發還是個未知數，我們也不知道它是否能有效杜絕SIM卡轉移騙局。

FTC的一位發言人指出，在公司2017年的用戶數據調查報告中，有一份文件中記錄了用戶報告的詐騙和個人身份被盜等等多項數據，卻唯獨缺少了SIM卡劫持。發言人表示這項數據可能應該歸屬於手機或其他設備詐騙，手機詐騙的用戶報告數有3萬多。

聯邦調查局發言人則回應，當局並沒有關於這類劫持的案件數據。

即便受害者是極少數，這類案件也能給人帶來不小的傷害。至少，恢復一個賬號需要莫大的時間與精力。今年遭遇了SIM卡劫持的受害人Fanis Poulinakis向我們分享了他的經歷。

有一天他的手機服務突然終止之後，Poulinakis立即登錄了他的網銀賬號。「不出所料！2000美金已經沒了。」那天Poulinakis整日奔波於T-Mobile和大通銀行之間，試圖理解究竟發生了什麼。

「這真是個噩夢。」

從受害人到偵探

讓我們回到2017年9月6日，繼續Rachel和Adam Ostlund夫妻的故事。

Adam盡全力和黑客拖時間，試圖明白究竟發生了什麼，以及對方到底掌握了什麼資料。與此同時黑客愈發不耐煩起來，再三要求Rachel放棄@Rainbow推特賬號。對黑客來說，掌握同一個用戶名下的Instagram和推特賬號可以讓他們進一步抬高售價。

終於身心俱疲的Adam掛斷了電話。黑客很快給他發來了簡訊。

「能不能快點兒，我得睡覺了。趕緊把推特上關聯的郵箱換了。你別逼我，如果你不趕緊回復，你不知道我能對你做出什麼事兒來。」

隨後黑客再次撥通了Adam的電話。這次電話那頭是一個語氣略顯溫和的人。「你別太往心裡去。我向你保證，不會有什麼事的。」第二位黑客向Adam就先前那位的粗暴態度道了歉。

Rachel早就聯繫了當地警方，在第二通電話撥通時警察也終於到達。夫妻向警官說明他們遭遇了什麼，但對方卻一臉懵逼，表示他們無能為力。兩人當晚花了一夜時間試圖恢復被攻擊的賬號。他們先是聯繫T-Mobile拿回了電話號，然後用電話號重設了所有賬號的密碼——正如黑客所做的那樣。只是Rachel的Instagram賬號已經徹底落入黑客手中，回不來了。

3天之後，Rachel和Adam決定親手搞清案件的來龍去脈。他們決定親自找到黑客。

Rachel發現，她的Instagram賬號被重設之後只有一個粉絲@Golf，根據賬號簡介，持有者名為Austin。倆人在@Golf發布的動態中找到一張疑似在科羅拉多斯普林斯的某場音樂會拍攝的照片，隨後他們通過逐個檢查@Golf的粉絲，終於找到了黑客的推特和Facebook賬號。他們認為這就是黑客的真實身份。

Motherboard沒能證實黑客的身份。

在調查中，Rachel和Adam還發現OGUSERS上有一位用戶Darku正在出售@Golf和其他獨特的Instagram用戶名。夫妻倆認為這證明Darku是@Golf賬號的控制人，那麼@Rainbow也自然在他手中。

Darku在一個帖子中出售Instagram賬號@Hand。

在聊天中，Darku告訴我們，他現在18歲，參與了幾個黑客組織。他否認自己參與過SIM卡劫持和自己是賬號@Rainbow和@Hand劫持者一事，聲稱@Hand是他從朋友手中買下來的，而@Rainbow他則從未經手過。

「我沒有參與過任何犯罪活動。我有人脈關係，無需詐騙就能得到我想要的東西。」Darku說到。

今年5月我在OGUSERS上聯繫Darku之後，他發布了一條帖子，警告其他用戶FBI可能正在調查該論壇。根據Darku的說法，我的提問聽起來非常可疑，他對我的身份起了疑心。

「我有朋友從事Instagram相關交易，FBI突然問他們關於某些賬號的消息以及究竟是如何獲取的。真是漲姿勢了。如果有任何號稱自己是任何知名媒體記者人聯繫你，請謹言慎行。」

底下有些用戶非常困惑，不明白為什麼當局會對賬號交易市場感興趣。

「重點不是賬號，而是賣家獲取賬號的方式。我敢肯定他們已經知道了帳號名交易背後的不正當行為。」另一位用戶回復到。

不過OGUSERS論壇上的其他用戶似乎對此不以為意，還在開被警方抓捕的玩笑，發表情包。我的賬號和我登錄時使用的IP地址均已被禁用。

Adam向我們分享了他和一位從事暗網和網路犯罪研究的FBI調查員對Darku的調查結果。Adam告訴我，FBI的科羅拉多斯普林斯當局已通知他他的調查結果屬實，調查人員正在進一步調查。

根據Rachel的補充，FBI還通知他們調查人員已經探訪了Austin家，讓Austin「嚇了一跳」。這位黑客「不敢再犯」了。

在另一個OGUSERS論壇的帖子中，Darku說他知道FBI正在調查「勒索了賬號@Rainbow持有者的那位」。Darku告訴我警方已經和他談過話，但「不會對我做任何事」。Darku說他告訴警方：「我才不會浪費時間騷擾別人。」

Motherboard沒能證實FBI在這起案件中的參與，不過FBI向來不對進行中的調查做任何評論。

直至今日，賬號@Rainbow依然沒有回到Rachel手中。其他受害者，例如@Hand和@Joey的持有者則表示，雖然他們數次聯繫Instagram，但他們依然無法拿回賬號。

Instagram發言人在聲明中表示：「我們盡全力為Instagram用戶們提供安全和有保障的使用體驗。我們在得知有賬號被入侵的第一時間封鎖了相關賬號，賬號所有者可重設密碼並施加其他措施確保賬號安全。」

對那些受害者而言，這堂課代價太重。「我們的手機是我們最大的弱點。」Rachel說到。

Adam也表示，他的感想就是手機號是數字生活中最脆弱的一個環節。「如果有人拿到了你的電話號碼，他們等於已經扼住了你的喉嚨。」

如果你想了解最前沿的AI技術和場景應用

一網打盡AI世界的前瞻科技和深度報道

歡迎關注AI星球，並轉發朋友圈為我們打Call~~

你們的支持是我們創造優質內容的不竭動力

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！