現代社會什麽事情都能網上做,商家第一要搞清就是:這個網上請求是客戶本人嗎?
從前網上登錄就兩個信息:用戶名、密碼。但這兩個信息被盜的概率太大了所以商家有了新要求:two factor authentication,簡稱2FA。目前最流行的2FA就是給你手機發個短信驗證碼,假定能看到這個驗證碼的就是本尊。還有一種是手機上下載個app,一旦app連上了你網上賬戶,那麽這個app連帶你的手機就算可靠的設備,2FA也可以是發給這個手機上app的驗證碼。
這麽一搞那些網絡犯罪分子就盯上了手機。犯罪集團從網上搞到了個人信息(這類事情天天有新聞報道,連credit beureor都不能避免),比如SSN,住址、電話號碼、某銀行用戶名、密碼後,並不急著馬上登錄,因為他們知道登錄要2FA。有了你許多個人信息,他們也許會從你手機carrier入手,假冒你本人去要一個新的SIM卡,也許是eSIM也許是物理SIM。拿到了SIM,往他們的手機上一插,你本尊(也就是你的手機)就轉移到了罪犯手機。罪犯登錄你銀行賬戶就輕鬆實現。既然銀行認罪犯為你本尊,也許密碼也能改,地址也能改,電話號碼也能改,改來改去那賬號就完全不在你手底下了。
Amazon Prime上有個電視劇《Person of Interest》,大家不妨看看消遣消遣。雖然是虛構情節,但什麽設備都是wireless, touchless,大家手機的Bluethooth, 信用卡的芯片都是攻擊對象。另外,據說各國過安檢海關等節點,國家級的hacking每天都在發生。
防不慎防,大家在網上(各類social media)還是低調點,invisible比較安全。
【2FA另一個弊端:萬一你2FA的移動設備搞丟了或損壞了,你本尊就一時半會不能證明“我是我”,許多網上作業都做不成了】
