😎 🏴‍☠️ 🛩️ 为什么SMS身份验证不正确以及如何防止SIM卡被盗 👨‍❤️‍👨 🌞 ♨️

哈Ha！在上一篇文章中，我们谈到了SMS身份验证不是多因素身份验证的最佳方法的话题。许多Web服务都使用此方法：社交网络，电子邮件客户端，支付系统。此外，该电话号码还用作登录名：在Telegram中注册VKontakte，依此类推。

如果SIM卡被盗，SMS被拦截，后果将不堪设想。许多用户与同事和合作伙伴进行信使通信，因此不仅个人数据而且企业数据都将受到威胁。如果您的公司不使用公司基础结构进行通信，那么不受保护的员工帐户将危害业务。因此，值得提前注意安全性。

在本文中，我们将介绍一些流行的服务，并以更安全的方法代替SMS身份验证。同时，我们将找出如何进一步保护帐户免遭盗窃和和平睡眠的保护。

该文章的灵感来自致力于SIMJacking（SimJacking）的MyCrypto longread。我们研究了他们的建议，并为俄罗斯编制了最新清单。

为什么要摆脱短信认证

攻击者可以通过多种方式同时接收SMS并登录到他人的帐户：

如果您可以得到一个带有SIM卡的手机。
如果您使用伪造的证件重新发行SIM卡。欺诈者购买合并的护照数据，并伪造授权书，甚至伪造护照本身。操作员是否将检查文件发送给安全部门取决于人为因素。
如果SIM卡与运营商的员工合谋被盗。
如果他们使用SIM卡本身或手机中的漏洞拦截SMS。

第二和第三种方法是最庞大的。危险在于受害人不会立即了解Simka被盗。骗子有机会在意识到问题之前设法兑现并设法重新获得对SIM卡的访问权限。

通过什么迹象可以清楚地看出Simka被盗了：

操作员发送短信以更换SIM卡。
运营商的网络在电话上消失了，重新启动无济于事。
邮件中出现有关尝试在不同服务中重设密码的信件。
Apple ID或Google帐户开始要求输入密码。
出现有关将帐户链接到新设备的消息。
如果在某处使用推送消息进行两因素身份验证，则来自不同服务的代码将开始出现。

如何防止SIM卡被盗

, -, , , ( ).
, SIM- . « ».
/Face ID.
, . « » -, - . .

, -

如果SIM卡已被盗，则锁定时间不超过一天。因此，您需要手头准备一个快速锁定脚本：

如果您丢失了电话（例如从笔记本电脑或平板电脑），请考虑一种致电运营商的方法。例如，在此处安装Skype或Viber。
补充通话余额；
找到您的移动运营商号码并将其写在Skype或Viber日志中；
练习丢失的电话：取出SIM卡，然后尝试以选定的方式致电运营商。

如何摆脱SMS身份验证和保护帐户

我们的一般建议是尽可能选择不使用SMS身份验证。让我们看看如何针对流行的Web服务执行此操作。

首先，考虑使用SMS身份验证的用户。然后，我们保护那些服务本身与电话号码绑定的用户。

Google帐号

Googl «».
« Google» . .
.
, .
- : .
- : , .
  , . -.
- Google authenticator: , .
  , .
- Google: push- .
- : . , USB- Google-, , Bluetooth Google-. , , , . « ».
, . , push-, ( - ).
: . , . - .
https://myaccount.google.com/security
- : , . , .
- : ,
- – : . , .
- 验证身份的方法-备用电子邮件地址：删除备用地址。
- 您的设备：删除所有不必要的设备。
- 具有帐户访问权限的第三方应用程序：删除所有未使用的应用程序。
- 使用您的Google帐户登录：删除所有不使用的内容。
- 访问链接的帐户：如果发生帐户劫持，则可以简化攻击者对其他站点的访问。删除所有内容。
- 密码管理器：将密码传输到单独的密码管理器。禁用自动保存密码。

Yandex

在Yandex-account中，没有数字绑定就无法启用两因素身份验证。因此，我们将使用“秘密号码”，并在其他地方包括其他因素。

« ».
- : (. )
- : . .
- : . , .
: « ».
" ". « ».
滚动到邮箱和电话号码。删除恢复地址。
转到Yandex Money设置的“密码”选项卡。
在这里，我们浏览所有三个按钮。
- 发出紧急代码：就像您为Google帐户所做的那样，重写并保存紧急代码。
- 转到应用程序中的密码：选择“带密码的应用程序”并与其中一个应用程序同步。
- 单击始终询问密码。