OPSEC52 / 第 4 週 — 電話號碼分艙
你的電話號碼比電子郵件更像萬能鑰匙——它是電信商、資料中介商與 SIM 調包攻擊者都當成「你本人」的現實世界錨點。別再把同一個號碼交給銀行、交易所和隨便一個論壇,也別再相信簡訊能守住任何東西。
威脅模型: 調包你號碼以洗劫簡訊雙因素帳號的 SIM 調包攻擊者;SS7 等級的簡訊攔截;以及透過共用、綁定電信商的號碼把你的帳號串聯起來的資料中介商與 App——那個號碼直接對應到你的真實姓名與住址。
上週我們為每個服務都發了一個電子郵件別名。本週要修補的,是一個比重複使用的電子郵件更糟的識別符——你的電話號碼。電子郵件可以隨時換掉;而電信商號碼是焊死在你的法定身分、帳單地址,以及一張攻擊者能社工奪走的實體 SIM 卡上的。
為什麼電話號碼是比電子郵件更糟的萬能鑰匙
電子郵件別名只是一條轉寄規則。電信商號碼卻是一個現實世界的身分錨點:它綁定一個經過 KYC 的帳戶、一個帳單地址,以及一張插在卡槽裡、門市櫃檯人員就能重新補發的 SIM 卡。三個問題互相疊加:
- 它會關聯。 同一個號碼交給交易所、銀行、交友 App 和某個會外洩的論壇,就讓中介商能把它們全部串起來——而號碼比電子郵件更容易反查到真名。
- 它會集中。 誰控制了那個號碼,誰就能對每個允許「忘記密碼 → 傳簡訊驗證碼」的帳號下手。
- 它可被調包。 不像你能端到端掌控的電子郵件,你的號碼住在電信商那裡,而它的客服可以被話術、賄賂或釣魚誘導,把號碼移轉到攻擊者的 SIM 上。那就是 SIM 調包,也是加密貨幣與高價值帳號被洗劫最常見的方式。
簡訊雙因素是弱點,不是安全網
簡訊驗證碼讓人有安全感;事實正好相反。簡訊跑在從未為機密性設計的協定(SS7)上,而且只要有人擁有了你的號碼,整套防護就瞬間崩潰。一個你拿來做雙因素的號碼,就是它背後每個帳號的單點故障。 原則是:簡訊可以當作不重要註冊的驗證碼通道,但永遠不該當成任何你不想失去之物的那把鎖。
- 用 TOTP App(Android 上的 Aegis,或任何離線驗證器)取代簡訊雙因素,更好的是用硬體安全金鑰(FIDO2)。它們從不離開你的裝置,也無法被 SIM 調包。
- 對那些強制要電話號碼的帳號,給它一個你輸得起的號碼(見下),同時仍開啟 TOTP 作為真正的第二因素。
分艙:每個信任層級一個號碼
和人格與別名是同一個概念——讓識別符與情境相匹配:
- 你的真實電信商號碼——第零層。 幾乎不給任何人。家人,也許還有你的醫生。永遠別給交易所、市集,或任何面向網際網路的東西。它若從不碰任何帳號,就無法解鎖任何帳號。
- 一個穩定的 VoIP / App 號碼——日常帳號。 用一個來自 VoIP 或 App 供應商、長期存在的號碼,給那些你要留著、但又不是命脈的帳號。它能撐住,但它不是你的電信商主線,所以那裡被調包也碰不到你的真實 SIM。
- 可拋棄的驗證號碼——用完即丟。 面對那些只用一次的服務上沒完沒了的「驗證你的號碼以繼續」高牆,每次註冊就租一個一次性號碼然後丟掉。註冊拿到驗證碼;你從不暴露一個能對應到你的號碼。xmr.club 的 SMS/號碼供應商 涵蓋了這裡的無 KYC 選項。
至於數據面,一張純數據 eSIM 能讓你保持連線,同時完全不在裝置上放一條經過 KYC 的語音線路——在旅行時,或當你單純不想讓一個電信商身分跟著你在不同情境之間移動時,特別好用。
SIM 調包測試
這就是回報,就像上週的「外洩測試」對電子郵件那樣。想像一個今晚成功調包了你電信商號碼的攻擊者。在共用號碼的世界裡,他會在你發現訊號格消失之前,跨你的交易所、銀行、電子郵件和社群帳號一路重設密碼——遊戲結束。在分艙的世界裡,那個號碼什麼都解鎖不了,因為沒有任何重要之物用它,也沒有任何重要之物信任簡訊。調包變成一個麻煩(重補一張 SIM),而不是一場災難。這就是全部重點:沒有任何單一識別符應該能毀掉你的一週。
常見錯誤
- 把「第二個號碼」當成分艙。 一個到處重複使用的備用號碼,只是第二把萬能鑰匙。單位是每個層級,不是一個備援。
- 把簡訊雙因素「留著當後備」。 一個退回到簡訊的後備本身就是攻擊面——攻擊者只要觸發那個後備就行。一旦設好 TOTP/硬體金鑰,就把號碼從帳號上整個移除。
- 用會重新連回你的資料去註冊你的拋棄/VoIP 號碼。 用一張 KYC 信用卡和你的真實電子郵件去付一個拋棄號碼,整個練習就白做了。把它和電子郵件別名以及隱私付款搭配起來。
延伸閱讀
- 第 3 週 — 電子郵件別名:每個帳號背後的另一個識別符。
- 第 2 週 — 身分分艙:一個用途配一個人格;電話號碼是一個人格最難偽造的肢體。
- xmr.club:SMS/號碼供應商 與 eSIM 選項,提供讓「每層級一個號碼」變得可行的無 KYC 工具。
由 Cyber Satoshi 策展