500万美元,折合人民币超过3400万。这不是一起银行抢劫案,而是通过一种叫“SIM Swap”的技术手段完成的数字劫持。波兰中央网络犯罪局联合美国FBI,刚刚逮捕了4名涉案的犯罪团伙成员。

SIM Swap,全称SIM卡置换攻击,运作逻辑简单但破坏力极大。攻击者的目标不是盗取手机,而是直接接管你的手机号码。具体来说,他们会非法将受害者的手机号转移到自己控制的SIM卡或eSIM上。一旦号码被迁移,你的通话、短信就会全部落入攻击者手里,而你手里的真卡瞬间变砖。

打开网易新闻 查看精彩图片

这个团伙是怎么拿到转移号码所需的关键资料的呢?警方通报揭露了他们的手法:专业软件加上社会工程学手段。他们瞄准的是与电信运营商合作的企业,入侵这些公司的IT基础设施和员工邮箱系统,从中窃取能够实施SIM Swap的凭证和数据。整个过程不需要接触受害者本人,只需要突破运营商外围的合作生态。

号码一旦到手,攻击链条就完整了。他们可以实时拦截受害者收到的短信验证码以及邮箱验证信息。这就是问题的关键:当短信验证码已经成为大量在线服务的二次验证手段时,谁掌控了手机号,谁就拿到了通往银行账户、加密货币钱包的钥匙。该团伙正是利用这一点,绕过双重验证机制,直接窃取银行卡信息和加密货币资产。赃款随后被层层转移洗白。

目前这4名嫌疑人已被波兰法院批准羁押。他们面临的指控包括参与有组织犯罪集团、非法入侵信息系统实施盗窃以及洗钱等多项罪名。按照波兰法律,如果罪名全部成立,最高刑期是25年。

安全专家给出的建议很明确:别再依赖短信验证码作为核心身份验证方式。更安全的替代方案是基于应用的身份验证器,或者使用硬件安全密钥。只要手机号被劫持的可能性存在,收短信这一步就是整个安全链条上最薄弱的环节。