在开始之前，我们先来了解一个小故事。就在去年八月，Twitter的首席执行官杰克·多尔西（Jack Dorsey）遭到一群黑客的妥协，杰克·多尔西借此机会向他的420万推特粉丝发布了反犹太主义和种族主义言论。在研究了该问题之后，Twitter的团队确认他已成为Sim Swapping Attack的受害者。

相同的攻击曾被用来入侵其他知名人物，例如杰西卡·阿尔芭（Jessica Alba），并耗尽像您和我这样的普通人的加密货币和传统银行帐户。那么如何保护自己免受Sim Swap攻击？这是所有问题的概述，以及如何保护自己免受下一个威胁。 如果能得到杰克·多尔西的方法，就能保护自己免受Sim交换攻击的简单方法。

　　Sim交换的工作原理

现在，许多安全的网站和服务（例如银行，电子邮件和社交媒体）将我们的手机号码连接起来，作为第二种身份验证方式，目的是验证您是真实的人。这很容易，因为基本上我们每个人都有一个移动电话号码，这为试图创建大量假帐户的不良演员创造了进入障碍。

尽管此方法确实提供了一些好处和附加的安全级别，但它具有一些相当大的漏洞。

“模拟交换”是指犯罪分子与您的电话公司和社会工程师联系，或者欺骗他们，以将您的移动连接更改为他们控制的设备。例如，他们可能打电话给您的提供商，并假装是您，并说您的手机已被盗，您需要他们将服务切换到刚购买的新手机。

或者，他们可能只是口袋里有手机提供商的一名雇员，可以执行SIM卡交换而无需进行社会工程。

将您的SIM卡交换到新设备后，犯罪分子将收到您的所有短信和电话。然后，犯罪分子使用您的手机号码来重置密码并访问所有安全帐户，这通常会在几分钟之内帮助您保护自己的加密货币和银行帐户余额。

他们还可能将您拒于社交媒体或云存储服务之外，并要求赎金以换取安全返回您的个人信息。这种攻击的唯一一线希望是，一旦发生这种情况，您将立即知道，因为您的设备将失去服务。

很吓人吧？使用您电话号码的任何服务都容易受到此类攻击，世界上任何人都可以在没有任何特殊技术知识的情况下执行该攻击。

认为您的承运人可以确保您的安全？普林斯顿大学今年发表的一项研究发现，包括ATT，T-Mobile和Verizon等在内的美国主要运营商肯定容易受到Sim Swapping的影响。

要保持安全，就需要您采取积极行动。这里有一些保护自己的策略。

　　首先要做的事情-启用2FA

尽管存在Sim Swapping的风险，但您应始终在帐户上启用2因子身份验证。通过使用用户名和密码之外的辅助密码发送到您的手机，这将确保您的帐户安全，从而可以访问您的帐户。2FA现在是大多数安全服务的标准功能，可以在登录名和安全设置中启用。

虽然我意识到我只是花了几段描述基于SMS的身份验证的缺点，但现实是启用它可以阻止大多数威胁。即使犯罪分子通过恶意软件或数据泄露来发现您的密码，他们仍然需要访问您的SMS消息才能进入您的帐户。

大多数攻击者都不会费心去执行SIM卡交换，而只会简单地转到没有启用2FA的目标。

就是说，重要的是要记住，许多服务将使您仅使用手机号码即可重置密码。因此，攻击者通常无需知道您的密码就可以使用Sim Swap来访问帐户。

您的第一道防线-沟渠短信

保护自己的最简单方法是选择可用的基于应用程序的2FA。虽然启用2FA总比没有好，但许多服务提供了两种。最常见的是基于SMS的，它将SMS发送到您的手机，并且容易受到Sim Swaps的攻击。不太常见但更安全的是基于应用程序的身份验证。

您的验证码不是通过短信发送给您，而是由您的移动设备上的Authenticator应用生成的，其中最受欢迎的是Google Authenticator。

您需要做的就是下载一个身份验证器应用程序，然后在每个帐户上配置2FA设置时选择基于应用程序的身份验证。系统将提示您使用身份验证器应用程序扫描QR码，然后进行设置！

当要求输入验证码时，只需打开手机上的应用程序，然后输入显示在您要访问的网站上的6位数字即可。

身份验证器应用程序不受Sim交换影响。这些应用程序依赖于您的物理设备特有的详细信息，而电话公司无法将其转移到另一设备。这意味着，即使攻击者设法接管了您的邮件，他们也将无法复制您的唯一身份验证码或进入您的帐户。

　　最佳解决方案-私人电话号码

尽管在理想情况下，Authenticator应用程序可以解决我们所有的问题，但挑战在于许多网站不支持基于应用程序的身份验证。有趣的是，我所有的银行帐户和信用卡都提供基于SMS的身份识别作为唯一选择。那么我们如何保护自己呢？

由于我们知道可以利用任何和所有运营商进行此攻击，因此我们唯一的解决方案是使用没人知道的电话号码。如果攻击者不知道使用哪个号码，则无法执行“模拟交换”。令人高兴的是，安全服务不会向攻击者透露我们的电话号码-他们通常必须通过其他方式来找到它们。

没有人知道的电话号码打败了电话的要害，因此仅出于此目的而购买第二部电话是有意义的。

前往附近的大型零售商购买最便宜的预付费电话并计划。您只需要使用一次此手机。由于在这种情况下，我们不打算将此手机用作匿名工具，因此也可以在线订购。

Mint Mobile倾向于为我们的目的提供最实惠的计划，以5美元的价格提供7天的试用期。您可以使用与他们的服务兼容的备用手机，也可以购买便宜的，未锁定的翻盖手机，价格约为30美元。

有了预付费设备后，请按照说明继续操作并记下您的新私人移动电话号码。这是您将在所有服务中专用于2FA的数字。在继续之前，我们将希望切换到免费的移动套餐，这样您就不必每月都为Mint的无线服务付费。那就是Google语音的来源。

导航到Google语音并登录到您现有的Google帐户或创建一个新帐户。这是确保您的Google帐户已启用基于应用程序的2FA的好时机。注册后，您需要按照以下说明将您的私人预付费电话号码移植到Google语音。

完成此交易您需要支付少量费用，通常为20美元，但作为交换，您将可以永久免费地以该号码接收电话和短信!这比在我的书中从Mint购买每月计划要好。

虽然您可以使用Google语音从浏览器接受呼叫和短信，但我认为这很痛苦。建议您下载Google语音应用以在您的移动设备上接收文本。不用说，您不应该使用Google语音的转发服务将文本转发到您的主号码，因为这样做会违背本练习的目的。

在此阶段，您可以收起预付费翻盖手机或备用设备，因为您将不再需要它。

现在，您就可以在所有帐户上将其设置为2FA电话号码，知道您已受到完全保护。没有人知道您的新电话号码，即使他们找到了它，由于启用了基于应用程序的2FA，他们也无法进入您的Google帐户进行访问。

　　免费VoIP电话号码如何？

实际上，Google语音和许多其他服务允许您免费注册电话号码，为什么我们不使用这些电话号码？您可以尝试-但大多数服务不接受VoIP号码。原因很简单：可以轻松，廉价地匿名获取，因此犯罪分子和其他不良行为者经常使用它们。

为了避免这种限制，我们首先在预付费运营商处注册了该号码，然后将其移植到VoIP服务。您使用的服务无法知道您如何接收消息，他们只知道为VoIP服务保留了哪些号码，并阻止了这些号码的注册。由于您使用的是最初为预付费运营商保留的号码，因此您会一目了然。

以上就是关于如何保护自己免受Sim Swap攻击的全部内容。尽管实施此安全措施的成本和时间不多，但与数据泄露的财务和情感复杂性相比，它显得苍白。该解决方案将有效地保护您免受大多数网络威胁的影响，而无需您付出太多努力。网络安全无疑是积极主动地值得付出的领域之一。想了解更多网络安全的信息，请继续关注中培伟业。