上週五,駭客成功控制了微博服務執行長兼創辦人傑克·多西 (Jack Dorsey) 的 Twitter 帳戶。這些自稱為「Chuckling Squad」的駭客利用這項存取權傳播否認大屠殺的訊息和炸彈威脅等內容。這次劫持持續了 30 分鐘,隨後該公司縮短了時間。
駭客是如何實現這項壯舉的?透過所謂的「SIM 交換」方法,該方法包括將目標用戶(在本例中為 Jack Dorsey)的電話號碼與另一張 SIM 卡相關聯。為了取得成功,駭客操縱營運商的支援技術人員相信這是盜竊,或者他們依靠內部同謀。
https://twitter.com/TwitterComms/status/1167591003143847936
一旦控制了電話號碼,Chuckling Squad 駭客就只有一件事要做:向 Twitter 平台發送簡訊。訊息被自動接受和發布,無需任何其他形式的身份驗證。這是 Twitter 服務的特殊性。
SIM 交換在法國也存在,特別是對 3D 安全身份驗證系統進行攻擊,該系統透過 SMS 向用戶發送代碼以驗證交易。最終,這種簡訊驗證方法應該會隨著2022 年 DSP2 指令。但透過簡訊發送 Twitter 訊息仍然是可能的…
