用過的手機號碼千萬別隨意處置，小心被黑客利用

最近有研究人員發現了一些與回收手機號碼有關的隱私和安全隱患，這些號碼可能被濫用來實施各種黑客攻擊，包括賬戶竊取、網路釣魚和垃圾郵件攻擊，甚至阻止受害者註冊線上服務。

在抽樣回收的調查中，有近66%被發現與流行網站上的先前所有者的線上帳戶相關聯，黑客有可能通過簡單地恢復與這些號碼相關聯的帳戶來進行帳戶劫持。

研究人員說：

這些發現是對美國電信專業T-Mobile和Verizon Wireless的新訂戶可用的259個手機號碼樣本的分析的一部分。這項研究是由普林斯頓大學的Kevin Lee和Arvind Narayanan教授進行的，後者是資訊科技政策中心的執行委員會成員之一。

手機號碼回收是指將棄用的手機號碼重新分配給運營商的其他新使用者的標準做法，據美國聯邦通訊委員會(FCC)估計，美國每年有3500萬個手機號碼被棄用。

但是，如果攻擊者通過在兩個運營商提供的線上介面中隨機輸入這樣的號碼進行反向查詢，並且遇到回收的號碼後，購買它們併成功登入到該號碼所對應的受害者帳戶，這也可能帶來嚴重的危險。

該攻擊的核心策略是，運營商在其預付費介面上對更改號碼的可用號碼沒有查詢限制，除了顯示“完整的號碼，這使攻擊者能夠在確認號碼更改前發現回收的號碼。”

而且，已將100個取樣手機號碼標識為與過去曾涉及資料洩漏的電子郵件地址相關聯，從而允許第二種帳戶劫持繞過基於SMS的多因素身份驗證。在第三次攻擊中，259個可用號碼中的171個被列在了使用者搜尋服務(例如BeenVerified)上，並在此過程中洩漏了先前使用者的敏感個人資訊。

研究人員解釋說：

個人身份資訊(Personally identifiable information ,PII)有多種形式，在許多情況下，它是在你沒有意識到的情況下建立的。這些資料可用於瞭解有關你的事情，你的習慣，你的興趣，並可被惡意行為者貨幣化或用於竊取你的身份或黑掉你的帳戶。多因素認證提供商Okta在其《2020年隱私成本報告》中列出了13類可被視為PII的資料：

• 使用者名稱和密碼;
• 電子郵件和已傳送訊息;
• 輸入到線上表單中的資料;
• 網路配置檔案;
• 網路瀏覽歷史;
• 線上時的物理位置;
• 網上購買記錄;
• 搜尋歷史記錄;
• 社交媒體帖子;
• 使用的裝置;
• 線上完成的工作;
• 線上影片觀看記錄;
• 線上音樂播放列表;

美國國家標準技術研究院( National Institute of Standards and Technology，NIST)將PII廣泛地定義為“由代理機構維護的有關個人的任何資訊，包括任何可用於區分或追蹤個人身份的資訊，例如姓名，社會安全號碼，出生日期和地點，母親的孃家姓或生物特徵記錄;以及與個人相關或可關聯的任何其他資訊，例如醫療，教育，財務和就業資訊。”

除了上述三種反向查詢攻擊外，手機號碼回收還會對以前和未來的使用者構成另外五種威脅，允許惡意行為者冒充過去的使用者，劫持受害者的線上手機帳戶和其他相關的線上帳戶，更糟糕的是，還可以執行拒絕服務攻擊。

攻擊者獲得一個號碼後，悔註冊一個需要手機號碼的線上服務，然後公佈這個號碼。當受害者獲得了這個號碼並試圖申請同一項服務時，他們會因為賬戶已經存在而被拒絕。然後攻擊者可以通過簡訊聯絡受害者，要求支付一定的資金來轉讓平臺上的號碼。

為了迴應這個調查結果，T-Mobile表示已更新其“更改你的電話號碼”支援頁面，其中包含有關提醒使用者“更新可能儲存了你的電話號碼的任何帳戶上的聯絡電話，例如銀行帳戶通知，社交媒體等。”並指定FCC規定的號碼有效期為45天，以允許重新分配舊號碼。

同樣，Verizon也對其“管理Verizon移動服務”支援頁面做了類似的修改。但是，這兩家公司似乎都沒有做出任何具體改變，使攻擊更加難以展開。

這項研究說明了為什麼基於SMS的身份驗證是一種危險方法的另一項證據，因為上面概述的攻擊可能使攻擊者無需知道密碼就可以劫持啟用了SMS 2FA的帳戶。

專家已建議，如果你需要棄用你的手機號碼，首先把它與線上服務斷開連線。另外使用更安全的SMS-2FA替代方案，例如身份驗證器應用程式。

本文翻譯自：http://thehackernews.com/2021/05/new-study-warns-of-security-threats.html