web-dev-qa-db-ja.com

SIMハイジャック/ソーシャルエンジニアリングから身を守るにはどうすればよいですか?

これらのようないくつかの投稿があります:

https://medium.com/@N/how-i-lost-my-50-000-Twitter-username-24eb09e026dd

https://motherboard.vice.com/en_us/article/5984zn/listen-to-sim-jacking-account-ransom-instagram-email-tmobile

このような攻撃からどのようにして身を守るのでしょうか?

これに対して脆弱ではない構造を作成するために使用できるサービス、電話、またはテクノロジーの背後にある特定のロジスティクスは何ですか?そして、データはどのように流れますか?

また、有名人のような危険度の高い人々はこのようなことをどのように扱っていますか?

編集

これらは保護するために最も重要なものです

  1. SMSに使用する場合の携帯電話のアカウント(ただし、電子メールの回復を使用するだけで完全に回避できる可能性はありますか?)
  2. 復旧用の「ルート」メールアカウント
  3. ドメインアカウント(eNome、namecheapなど)
phishingaccount-securitysocial-engineeringsmssimcard
2
Uzimoto

これを可能にする主な犯人の1つは、2FAを何かとしてマーケティングすることですより安全すでによく知られているセキュリティプラクティスとの一貫性を維持するだけではありません。あなたの質問への簡単な答えは、使用しないでくださいSMS based 2FAです。

あなたのサブ質問に対するより長い答えは:

  • アカウントの認証情報をヘッジします。
  • FacebookやGoogleのログインを使用して提供されるような、愚かなeasy-login機能を使用してソーシャルネットワークアカウントを接続しないでください。

  • 重要度に応じてアカウントを区分します。つまり(ランダムなWebサイトへのサインアップに使用するのと同じGoogleアカウントを銀行業務に使用しないでください。)例:

    1. 銀行と資産
    2. 政府サービス
    3. ソーシャルネットワーク
    4. ランダムなWebサイトのサインアップ
    5. IoT /モバイルデバイスの使用

  • SMS関連するサービスは可能であれば避けてください(むしろSignalを使用して主張します)

  • 一時的/偽装メール、一時クレジットカードなどの匿名化プロバイダーを使用します。
4
not2qubit

電話会社を修正することはできません。また、取引先の組織に強力な認証を使用するように強制することもできません。最も効果的な保護は、電話以外のものを2番目の認証要素として使用することです。これは、「アプリを認証に使用する」のような名前でシステムごとに選択できる場合があります。

0
Adam Shostack