依靠短信作为第二种身份验证因素的公司，令大约20%的客户面临风险，因为攻击系统所需的信息可从暗网上出售的被盗数据库中获得。

网络安全公司FYEO首席技术官Thomas Olofsson表示，综合各在线数据库数据得到的大约10亿条记录（相当于世界上五分之一的手机用户）包含用户的姓名、电子邮件地址、密码和电话号码，为攻击者提供了进行基于短信的网络钓鱼攻击（也称为smishing）所需的一切。

很早以前，网络安全专家就明白，增加短信一次性密码不过是种弱双因素身份验证形式，是攻击者能够攻破的最简单的双因素身份验证形式。然而，将此类攻击与现成的用户信息相结合，就形成了账户攻击的“完美风暴”。

美国黑帽安全（Black Hat）大会上，Olofsson计划在8月10日的一次会议中讨论该问题的研究发现，议题为“Smishmash：利用开源情报、网络钓鱼技术和一次性手机实施基于短信的2FA欺骗”。

“我们的研究包含两个部分：如何绕过2FA，以及我们能将多少手机号关联到电子邮箱和密码上。”Olofsson向安全媒体透露道，“事实上，大约五分之一（十亿）的人，我们都可以将其电子邮件地址与手机号关联起来，这真的很糟糕。”

分析发现，通过从已知被盗用户名和密码数据库中收集信息，研究人员能够创建包含220亿条凭证信息的数据库。将这些凭证与手机号相关联可使记录数量减少到10亿多条，其中约一半已得到验证。

想要利用这些记录，攻击者可以进行中间对手攻击，其中基于短信的网络钓鱼攻击会转到代理上。目标用户在移动设备上打开恶意短信中的链接时，因为屏幕空间非常狭小，iOS和Android系统的浏览器几乎不会显示任何安全信息，比如URL。因此，用户几乎看不到任何遭到攻击的迹象，从而令攻击更加有效，Olofsson表示。

此外，Olofsson称，基于短信的网络钓鱼攻击的成功概率是通过电子邮件进行的网络钓鱼攻击的7倍。

“这种方式让人极易点击链接。”Olofsson解释道，“我看我们自己的攻击都觉得，哇，我都会栽进去。”

今年五月发布的一项分析显示，在过去两年中，攻击者使用短信网络钓鱼来盗取金融账户，尤其是与加密货币交易所相关的账户，2022年截至目前已有超过16亿美元的加密货币被盗。

短信2FA：风险业务

同时，美国联邦政府已对将短信用作第二身份验证因素施加了额外的限制。2016年，美国国家标准与技术研究院（NIST）发出警告称，不要使用以短信形式发送的一次性密码作为验证用户身份的第二个因素。

“从手机发送的短信可能会无缝切换到发往Skype或谷歌语音电话号码的互联网消息。用户点击‘发送’的时候不用知道其中差别——这是互联网的魔力之一。但这一点在安全上确实很重要。”NIST在对该政策的解释中写道，并补充称：“虽然搭配短信的密码相对于仅使用密码具有更高级别的保护，但该方式缺乏NIST指南认可的其他认证器所固有的设备认证机制强度。

想要降低此类攻击的成功率，用户应无视通过短信收到的任何通知，转而直接登录自己的账户。

“永远不要相信短信。”Olofsson称，“感觉不对劲就不要点击，别信它。去电脑上看看你有没有收到电子邮件，因为电子邮件的话至少你可以验证邮件头。”

但遗憾的是，许多金融机构和其他公司只提供短信作为身份验证的第二因素，使用户毫无选择，难以实现更好的安全。Olofsson指出，添加reCAPTCHA验证码检查可以向用户示警，因为任何中间对手攻击都会显示代理服务器而非用户的IP地址。

来源:数世咨询