短信曾被视为安全屏障，如今却被认为存在漏洞——《华尔街日报》

James Rundle

2022-08-17

作者：詹姆斯·兰德尔2022年8月16日下午5:42（美国东部时间）|WSJ专业版周一，加密通讯服务商Signal向1900名用户发出警告，称其账户可能已遭入侵且电话号码被泄露。图片来源：Isopix/Zuma Press网络安全专家表示，所有企业至少应使用双因素认证来保护系统安全，但仅依赖短信验证是愚蠢的做法。

这种被称为2FA的流程通过要求用户不仅输入密码还需验证身份来增强系统安全性。通常以短信或语音通话发送验证码的形式实现，但专家警告称这类方式正逐渐过时。

“短信本就不是为2FA设计的，“Synopsys软件安全集团副首席顾问杰米·布特表示，“它最初只是基站与手机间的维护通信通道。直到用户发现可以互发短信后，才成为以消费者为中心的通信渠道。”

布特指出，短信作为安全机制的广泛使用也加剧了黑客对该技术的攻击。黑客还利用短信作为发起其他攻击的途径，包括短信钓鱼（smishing）和SIM卡劫持——通过克隆手机使攻击者能读取发送至设备的短信。

6月，电子邮件安全公司Proofpoint Inc.发布的数据显示，基于其客户部署情况，美国境内的短信钓鱼尝试在过去一年中增加了一倍多。

周一，加密消息提供商Signal警告1900名用户，他们的账户可能已被入侵，电话号码遭到泄露。这家非营利组织表示，此次攻击源于月初Signal用于电话号码验证服务的Twilio公司遭遇的数据泄露。

Twilio称其多名员工因短信钓鱼攻击而信息泄露，用户被诱导访问虚假网站更新密码。该公司在声明中表示，黑客通过匹配电话号码和姓名针对特定用户发起攻击。

移动安全专家指出，最可靠的2FA保护方式是采用FIDO（快速身份在线联盟）开发的安全令牌。该联盟成员包括苹果公司、微软和Alphabet旗下谷歌，致力于制定开放标准。网络安全公司Lookout Inc.解决方案高级经理汉克·施莱斯表示，手机普遍存在的安全缺陷使其容易成为黑客目标，而缺乏FIDO等先进安全技术提供的额外保护更放大了风险。

他补充道：“虽然短信验证总比没有好，但攻击者仍能通过恶意软件或SIM卡劫持等技术入侵手机，等待多因素认证码等敏感信息发送至目标号码。”

联邦官员近几个月来一直强调实施多因素认证是防范机会主义网络攻击的基本手段，尽管他们承认用户往往对日常任务中新增步骤存在抵触。国土安全部网络安全和基础设施安全局局长珍·伊斯特利表示，虽然正在努力使认证措施对用户更加无缝，但安全措施必须优先考虑。

“有些人可能会抱怨这增加了用户体验的摩擦，但我们真正需要考虑的是增加对手操作的难度，”她说。

联系作者詹姆斯·朗德尔，邮箱：[email protected]