现代社会什么事情都能网上做,商家第一要搞清就是:这个网上请求是客户本人吗?
从前网上登录就两个信息:用户名、密码。但这两个信息被盗的概率太大了所以商家有了新要求:two factor authentication,简称2FA。目前最流行的2FA就是给你手机发个短信验证码,假定能看到这个验证码的就是本尊。还有一种是手机上下载个app,一旦app连上了你网上账户,那么这个app连带你的手机就算可靠的设备,2FA也可以是发给这个手机上app的验证码。
这么一搞那些网络犯罪分子就盯上了手机。犯罪集团从网上搞到了个人信息(这类事情天天有新闻报道,连credit beureor都不能避免),比如SSN,住址、电话号码、某银行用户名、密码后,并不急着马上登录,因为他们知道登录要2FA。有了你许多个人信息,他们也许会从你手机carrier入手,假冒你本人去要一个新的SIM卡,也许是eSIM也许是物理SIM。拿到了SIM,往他们的手机上一插,你本尊(也就是你的手机)就转移到了罪犯手机。罪犯登录你银行账户就轻松实现。既然银行认罪犯为你本尊,也许密码也能改,地址也能改,电话号码也能改,改来改去那账号就完全不在你手底下了。
Amazon Prime上有个电视剧《Person of Interest》,大家不妨看看消遣消遣。虽然是虚构情节,但什么设备都是wireless, touchless,大家手机的Bluethooth, 信用卡的芯片都是攻击对象。另外,据说各国过安检海关等节点,国家级的hacking每天都在发生。
防不慎防,大家在网上(各类social media)还是低调点,invisible比较安全。
【2FA另一个弊端:万一你2FA的移动设备搞丢了或损坏了,你本尊就一时半会不能证明“我是我”,许多网上作业都做不成了】
