xmr.club
EN 中文 ES RU
← 全部 #OPSEC52
#OPSEC52 · 第 04 / 52 · Digital identity compartmentalization

電話號碼分艙 — 一個號碼從來就不該是你的身分

你的電話號碼比電子郵件更像萬能鑰匙——它是電信商、資料中介商與 SIM 調包攻擊者都當成「你本人」的現實世界錨點。別再把同一個號碼交給銀行、交易所和隨便一個論壇,也別再相信簡訊能守住任何東西。

Digital identity compartmentalization beginner $0–$5/mo (free app numbers + data-only eSIM; pay-per-use verification SMS) 2026-06-22

OPSEC52 / 第 4 週 — 電話號碼分艙

你的電話號碼比電子郵件更像萬能鑰匙——它是電信商、資料中介商與 SIM 調包攻擊者都當成「你本人」的現實世界錨點。別再把同一個號碼交給銀行、交易所和隨便一個論壇,也別再相信簡訊能守住任何東西。

威脅模型: 調包你號碼以洗劫簡訊雙因素帳號的 SIM 調包攻擊者;SS7 等級的簡訊攔截;以及透過共用、綁定電信商的號碼把你的帳號串聯起來的資料中介商與 App——那個號碼直接對應到你的真實姓名與住址。

上週我們為每個服務都發了一個電子郵件別名。本週要修補的,是一個比重複使用的電子郵件更糟的識別符——你的電話號碼。電子郵件可以隨時換掉;而電信商號碼是焊死在你的法定身分、帳單地址,以及一張攻擊者能社工奪走的實體 SIM 卡上的。

為什麼電話號碼是比電子郵件更糟的萬能鑰匙

電子郵件別名只是一條轉寄規則。電信商號碼卻是一個現實世界的身分錨點:它綁定一個經過 KYC 的帳戶、一個帳單地址,以及一張插在卡槽裡、門市櫃檯人員就能重新補發的 SIM 卡。三個問題互相疊加:

  1. 它會關聯。 同一個號碼交給交易所、銀行、交友 App 和某個會外洩的論壇,就讓中介商能把它們全部串起來——而號碼比電子郵件更容易反查到真名。
  2. 它會集中。 誰控制了那個號碼,誰就能對每個允許「忘記密碼 → 傳簡訊驗證碼」的帳號下手。
  3. 它可被調包。 不像你能端到端掌控的電子郵件,你的號碼住在電信商那裡,而它的客服可以被話術、賄賂或釣魚誘導,把號碼移轉到攻擊者的 SIM 上。那就是 SIM 調包,也是加密貨幣與高價值帳號被洗劫最常見的方式。

簡訊雙因素是弱點,不是安全網

簡訊驗證碼讓人有安全感;事實正好相反。簡訊跑在從未為機密性設計的協定(SS7)上,而且只要有人擁有了你的號碼,整套防護就瞬間崩潰。一個你拿來做雙因素的號碼,就是它背後每個帳號的單點故障。 原則是:簡訊可以當作不重要註冊的驗證碼通道,但永遠不該當成任何你不想失去之物的那把鎖。

分艙:每個信任層級一個號碼

和人格與別名是同一個概念——讓識別符與情境相匹配:

  1. 你的真實電信商號碼——第零層。 幾乎不給任何人。家人,也許還有你的醫生。永遠別給交易所、市集,或任何面向網際網路的東西。它若從不碰任何帳號,就無法解鎖任何帳號。
  2. 一個穩定的 VoIP / App 號碼——日常帳號。 用一個來自 VoIP 或 App 供應商、長期存在的號碼,給那些你要留著、但又不是命脈的帳號。它能撐住,但它不是你的電信商主線,所以那裡被調包也碰不到你的真實 SIM。
  3. 可拋棄的驗證號碼——用完即丟。 面對那些只用一次的服務上沒完沒了的「驗證你的號碼以繼續」高牆,每次註冊就租一個一次性號碼然後丟掉。註冊拿到驗證碼;你從不暴露一個能對應到你的號碼。xmr.club 的 SMS/號碼供應商 涵蓋了這裡的無 KYC 選項。

至於數據面,一張純數據 eSIM 能讓你保持連線,同時完全不在裝置上放一條經過 KYC 的語音線路——在旅行時,或當你單純不想讓一個電信商身分跟著你在不同情境之間移動時,特別好用。

SIM 調包測試

這就是回報,就像上週的「外洩測試」對電子郵件那樣。想像一個今晚成功調包了你電信商號碼的攻擊者。在共用號碼的世界裡,他會在你發現訊號格消失之前,跨你的交易所、銀行、電子郵件和社群帳號一路重設密碼——遊戲結束。在分艙的世界裡,那個號碼什麼都解鎖不了,因為沒有任何重要之物用它,也沒有任何重要之物信任簡訊。調包變成一個麻煩(重補一張 SIM),而不是一場災難。這就是全部重點:沒有任何單一識別符應該能毀掉你的一週。

常見錯誤

延伸閱讀

Cyber Satoshi 策展

在 X 分享: twitter.com/intent/tweet