Security
消灭短信验证 (Kill the SMS):如何通过移除手机号来阻止 SIM 卡交换攻击
执行摘要:黑客不需要你的手机就能窃取你的号码。他们只需要欺骗你的移动运营商。本文解释了“SIM 卡交换攻击” (SIM Swapping),并提供了将你的手机号从加密安全设置中移除的分步指南。
Midjourney 提示词 (Prompts)
/imagine prompt: A mobile phone dissolving into smoke, re-appearing in a hacker's hand, "Identity Theft" --ar 16:9/imagine prompt: A visualization of "SMS 2FA" as a broken chain link, versus a "YubiKey" as an unbreakable titanium vault door, "Upgrade Your Security" --ar 16:9/imagine prompt: A telecommunications tower emitting red signal waves, targeting a specific user, "The Carrier Weakness" --ar 16:9
1. 什么是 SIM 卡交换攻击 (SIM Swap)?
你的手机失去了信号。你以为只是个故障。
实际上,黑客已经打电话给你的移动运营商(AT&T, T-Mobile, Verizon 等),假装是你。他们声称自己“丢了手机”,并要求在 他们的 SIM 卡上激活你的号码。
一旦他们控制了你的号码,他们就会点击你的电子邮件和 Coinbase 账户上的 “忘记密码”。2FA 验证码会发给他们,而不是你。
2. 短信 2FA 的危险
大多数人使用短信进行双重身份验证 (2FA)。
这是危险的。 短信没有加密,而且电信客服人员很容易被欺骗(或被收买)。如果你的安全依赖于一条短信,那你就是脆弱的。
3. 分步防御指南
第 1 步:升级到 TOTP (验证器 App)
下载 Google Authenticator 或 Authy。
- 登录 Binance/Coinbase/Gmail。
- 进入安全设置 (Security Settings)。
- 添加“验证器应用” (Authenticator App)。
- 关键: 一旦 App 正常工作,禁用 短信 2FA。如果你保留短信作为“备份”,黑客只会选择那个选项。
第 2 步:硬件密钥 (YubiKey)
为了获得最大程度的安全性(特别是对于关联了加密资产的电子邮件账户),请购买一个 YubiKey。
这是一个物理 USB 密钥。即使黑客有了你的密码,除非他们物理插入你的密钥,否则他们也无法登录。
- 购买两个密钥(一个主密钥,一个备用)。
- 将它们注册到你的 Google 账户(高级保护计划)。
第 3 步:给你的 SIM 卡加 PIN 锁
今天就致电你的移动运营商。要求他们在你的账户上设置 “端口冻结” (Port Freeze) 或 “PIN 码锁定”。这意味着,如果没有提供只有你才知道的特定 PIN 码,任何人都无法将你的号码转移到新的 SIM 卡上。
下一步: 一旦你保护了手机,就该保护电脑。阅读我们的 设备隔离 指南。此外,了解黑客如何在 CFO Deepfake 中绕过语音验证。
结论
你的手机号是设计用来给奶奶打电话的,而不是用来保护你的金融未来的。今天就把它从你的安全循环中移除。
