手機號碼 循環再賣   66%仍連結原持有人網上帳戶

手機號碼 循環再賣 66%仍連結原持有人網上帳戶

一項大學研究發現,約 66% 電訊商釋出的循環再用 手機號碼 仍連結原持有人的帳戶,部分更是理財帳戶或綁有信用卡資料,犯罪集團只要購入這些號碼,就可通過接收 SMS 重設帳戶密碼,奪取帳戶持有權偷錢或利用信用卡購物。 u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright

一定要提醒親友,轉電話號碼時切記更改所有帳戶內的登記電話號碼呀! u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright

按此看:一次性密碼存漏洞 Microsoft帳戶可被暴力入侵 u4get copyright u4get copyright u4get copyright

電訊商循環再出 手機號碼 u4get copyright u4get copyright u4get copyright

記得上年 9 月已同大家報導過一宗「買中循環再用手機號碼 隨時可免費住 Airbnb 民宿」個案,有網民使用新買的 手機號碼 開設 Airbnb 帳戶時,輸入發送過來的 SMS 驗證碼後,竟意外地登入了上一手用戶的帳戶,且發現該帳戶仍綁有信用卡資料,相信是原帳戶持有人在棄用號碼後忘記更改,令這個網民可以免費訂房或參加其他活動。事實上,不少人都會購買新 SIM 卡登記新帳戶,最經典的例子就是為了增加成功訂購新 iPhone 機會,便購入多張 SIM 卡同時搶入訂購頁面,記得 iPhone 最熱炒時代,便曾有人在討論區研究哪一間電訊商的網速最快,最容易搶入 iPhone。不過當這些 SIM 卡在使用過後,很多人未必記得取消或更改帳戶內的連結,因此便讓犯罪集團有可乘之機。

u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright

手機號碼

u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright

一項由美國 Princeton University 資訊科技政策中心的研究團隊,早前便調查了於美國電訊商 T-Mobile 及 Verizon 網站上標示可出售的 259 個電話號碼,逆向檢查是否仍與六個大型網上服務的帳戶如 Amazon、Yahoo 等保持連結,結果便得出 66% 這個驚人結果u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright

按此看:木馬Emotet收集430萬電郵 全數移交 Have I Been Pwned 網站

研究員解釋,由於現時不少網上帳戶都會使用 SMS 訊息,作為登入帳戶的雙重因素驗證(two factor authentication, 2FA)渠道,因此只要犯罪集團編寫自動執行程式,對上述網站公開的電話號碼進行反向測試,便很容易知道哪些號碼仍與網上帳戶保持連結,然後購入該號碼並奪取帳戶持有權。 u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright u4get copyright

或許有人會懷疑大部分人會使用電郵地址作為帳戶登記名稱,如缺乏這項訊息,即時有電話號碼也無法登入帳戶。不過,網站外洩資料事件每日也在發生,以 Have I Been Pwned 網站的統計數字為例,該網站便從不同途徑如暗網(Dark Web),收集已被曝光的帳戶資料,現時已儲存了超過 110 億筆帳戶資料,因此犯罪集團要取得詳細的記錄並不困難。更嚴重是以往如啟動了 SMS 2FA 帳戶驗證,即使犯罪集團取得帳戶登入名稱為密碼也無用,而現在只要購得該登記電話號碼便能成事。 u4get copyright u4get copyright u4get copyright u4get copyright

因此,研究員呼籲大家在取消或更換電話號碼時,必須同時更改與之有關連的帳戶內的電話號碼,同時亦應考慮採用非 SMS 渠道的 2FA 方法,例如 Google Titan、Yubikey 等實體保安鑰,又或手機 app Microsoft Authenticator等,便能減少帳戶被盜用的風險。

詳情:https://bit.ly/3ejWj5A