普林斯顿大学的研究人员说，SIM卡交易所是一个主要问题

普林斯顿大学的研究人员证明，五家主要的电话运营商极易受到SIM交易所攻击的攻击。

该小组在1月10日发布的草稿中透露了实验结果。他们还调查了150多个网站，并确定是否可以通过这种攻击来访问用户帐户。

电话运营商不安全

该论文的作者Arvind Narayana认为，SIM卡交易所是“技术含量低但破坏性很大”。

正如Narayana解释的那样，攻击者可以与电话运营商联系，模拟受害者，并将受害者的服务转移到他们自己的SIM卡上。这使攻击者可以通过SMS截取验证码并访问受害者的网站帐户。

普林斯顿大学的研究人员通过创建模拟身份并说服运营商将每个帐户重新分配给新的SIM卡，尝试进行50次SIM卡交易所。涉及AT＆T，T-Mobile和Verizon帐户的所有10个掉期交易均成功。六笔Tracfone交易所成功，三笔美国移动交易所成功。 50次尝试中有39次总体成功。

该团队还注意到，AT＆T，Tracfone和US Mobile在未验证呼叫者身份的情况下泄露了个人数据，包括账单地址，激活日期和付款日期。尽管仅凭这些信息不能保证成功进行SIM交易所，但它可以帮助攻击者正确猜测安全问题的答案。

研究人员表示，他们遵循了负责任的披露程序，并将调查结果提交给了所有五个电话运营商。他们还通知了无线通信贸易机构CTIA。

到目前为止，只有T-Mobile明确更新了其安全做法，但其他运营商也有可能这样做。

加密货币交易所的安全性参差不齐

SIM卡交易所不一定使攻击者能够访问受害者的在线帐户。因此，研究人员评估了156个网站，以确定它们是否安全。他们发现83个站点“不安全”，或者可以通过密码和SMS验证访问。 17个站点“严重不安全”，或者仅通过SMS验证即可访问。

研究人员也在他们的调查中包括了几个加密货币交易所，在线钱包以及与加密货币相关的网站。

这些站点中的大多数都提供不依赖SMS验证的安全的两因素身份验证设置。但是，许多加密货币网站提供不安全的帐户配置，如下所示：

通过IsSMS2FASecure.com，加密货币网站的SMS做法。由于研究小组隐藏了“双重不安全”网站的名称，因此某些网站可能会丢失。为什么要使用加密帐户

SIM卡交易所和SMS验证可用于定位任何种类的帐户，包括银行帐户和社交媒体帐户。

但是，加密货币交易账户也相当有利可图。在过去的一年中，已经报告了超过十起与SIM交易所有关的加密货币盗窃案，累计被盗资金达数千万美元。

有时，攻击者会串行操作。一位特别引人注目的攻击者乔尔·奥尔蒂斯（Joel Ortiz）在2018年偷走了超过500万美元的加密货币。还有很多大目标：BitGo的工程经理Sean Coonce在针对他个人Coinbase帐户的SIM掉期攻击中损失了100,000美元。在2019年5月。

但是，变化可能正在发生。 SIM交易所的受害者通过对AT＆T的疏忽安全实践提起诉讼，突显了这一问题。

议员们也引起了兴趣：美国国会本周要求FCC出台防止SIM互换的保护措施。但是就目前而言，唯一的安全措施是唯一真正的预防措施。