短信，曾经的安全堡垒，现在被视为易受攻击- 华尔街日报

James Rundle

2022-08-17

作者：詹姆斯·朗德2022年8月16日下午5:42|WSJ Pro加密通讯提供商Signal在周一警告1,900名用户，他们的账户可能已遭到破坏，电话号码被泄露。图片： Isopix/Zuma Press所有公司至少应该使用双因素认证来保护他们的系统，但仅依赖短信是愚蠢的，网络安全专家表示。

这个过程被称为2FA，通过要求用户通过不仅仅是密码来验证身份，为系统增加了另一层保护。通常，这采用通过短信或语音电话发送的验证码的形式，但专家警告称，这些系统正变得越来越过时。

“短信从来没有被设计成为一种双因素认证方法，”网络安全公司Synopsys Software Integrity Group的副首席顾问杰米·布特说。“最初，它是基站和手机之间的维护通信渠道。只有在用户发现他们可以相互发送短信后，它才成为一个以消费者为中心的通信渠道。”

布特先生表示，广泛使用短信作为安全机制也增加了黑客对该技术的关注。黑客还利用短信作为发动其他攻击的途径，他说。常见的方法包括通过短信进行网络钓鱼攻击，即所谓的smishing，以及SIM卡交换，即克隆手机，这意味着攻击者可以阅读发送到设备的消息。

在六月份，电子邮件安全公司Proofpoint Inc.发布了从其客户部署中获取的数据，显示美国的短信欺诈尝试在过去一年中翻了一番多。

加密消息提供商Signal在周一警告了1900名用户，称他们的账户可能已经遭到入侵，他们的电话号码被泄露。这次攻击是由于本月早些时候Twilio Inc.遭受了一次数据泄露，Signal在电话号码验证服务中使用了Twilio，这家非营利组织表示。

Twilio表示，由于短信欺诈，一些员工的账户遭到了入侵，用户被发送到虚假网站上更新密码。Twilio在一份声明中表示，黑客通过匹配用户的电话号码和姓名来针对特定用户。

移动安全专家表示，对于双因素认证（2FA），最好的保护形式是安全令牌，比如由Fast Identity Online Alliance（FIDO）开发的那些，FIDO是一个包括苹果公司、微软公司和谷歌母公司Alphabet在内的联盟，正在制定开放的安全标准。移动电话普遍缺乏安全性，这使得它们经常成为黑客的易被攻击目标，没有像FIDO开发的更先进的安全技术提供的额外保护，Lookout Inc.网络公司的安全解决方案高级经理Hank Schless表示。

“虽然使用短信验证要比没有好，但这可能会使攻击者能够访问发送到受害者设备的多因素认证代码，”他说。黑客可以通过恶意软件或SIM卡交换等技术访问手机，并等待敏感信息，如多因素认证代码发送到某个号码。

联邦官员已经强调最近几个月实施多因素身份验证作为防止机会主义网络攻击的基本手段，尽管他们承认用户经常对添加新步骤到日常任务中感到抵触。国土安全部网络安全和基础设施安全局局长詹·伊斯特利表示，虽然正在努力使身份验证措施对用户更加无缝，但安全工作必须优先考虑。

“你会有人抱怨因为这给用户体验增加了摩擦，但我们真正需要考虑的是增加对手体验的摩擦，”她说。

写信给詹姆斯·朗德，邮箱：[email protected]