新的研究警告与回收电话号码有关的安全威胁

一项新的学术研究强调了一些与回收手机号码相关的隐私和安全隐患，这些手机号码可能被滥用以进行各种攻击，包括账户接管、进行钓鱼和垃圾邮件攻击，甚至阻止受害者注册在线服务。

在被抽样的回收号码中，近66%被发现与前车主在热门网站上的在线账户有关，只要恢复与这些号码有关的账户，就有可能导致账户劫持。

研究人员说：“攻击者可以循环浏览在线号码更改界面上显示的可用号码，并检查其中是否有任何号码与以前所有者的在线帐户有关。”。如果是这样，攻击者就可以获得这些号码并重置帐户上的密码，并在登录时接收并正确输入通过SMS发送的OTP。"

这些发现是对美国电信巨头T-Mobile和Verizon Wireless的259个新用户可用电话号码样本进行分析的一部分。这项研究由普林斯顿大学的凯文·李和信息技术政策中心执行委员会成员之一阿文德·纳拉亚南教授进行。

电话号码回收是指将断开连接的电话号码重新分配给运营商的其他新用户的标准做法。根据联邦通信委员会（FCC）的数据，估计美国每年有3500万个电话号码被切断。

但是，当攻击者通过在两家运营商提供的在线界面中随机输入此类号码进行反向查找，并在遇到回收的号码时，购买这些号码并成功登录到该号码链接的受害者帐户时，这也会带来严重的危险。

攻击策略的核心是，除了显示“完整数字”之外，运营商在预付费接口上设置的更改号码的可用号码的查询限制不足，这使攻击者能够在确认号码更改之前发现回收的号码

此外，在抽样的电话号码中，有100个被确认与过去参与数据泄露的电子邮件地址有关，从而允许第二类账户劫持，绕过基于短信的多因素身份验证。在第三次攻击中，259个可用号码中有171个被列在BeenVerified等人员搜索服务上，在此过程中，泄露了前任所有者的敏感个人信息。

研究人员解释说：“一旦他们获得了前任所有者的号码，他们就可以进行模拟攻击，以进行欺诈，或者在前任所有者身上积累更多的PII。”。

除了上述三次反向查找攻击外，电话号码回收带来的另外五次威胁同时针对以前和未来的所有者，允许恶意行为人冒充以前的所有者，劫持受害者的在线电话帐户和其他链接的在线帐户，更糟的是，实施拒绝服务攻击。

“攻击者获得一个号码，注册一个需要电话号码的在线服务，然后释放该号码，”研究人员说。“当受害者获得该号码并尝试注册同一服务时，他们将因现有帐户而被拒绝。攻击者可以通过短信联系受害者并要求付款，以在平台上释放该号码。”

作为对调查结果的回应，T-Mobile表示，它已经更新了“更改您的电话号码”支持页面，其中包含提醒用户“更新可能保存您号码的任何账户的联系电话号码，如银行账户、社交媒体等通知”，并指定FCC规定的45天号码老化期，以允许重新分配旧号码数字。

同样，Verizon也对其“管理Verizon移动服务”支持页面进行了类似的修订。但这两家航空公司似乎都没有做出任何具体的改变，使攻击更难实施。

如果说有什么区别的话，这项研究是另一个证据，说明了为什么基于SMS的身份验证是一种危险的方法，因为上述攻击可能会让对手在不知道密码的情况下劫持启用SMS 2FA的帐户。

纳拉亚南在一条推文中说：“如果你需要放弃你的号码，先把它与在线服务断开。”。“考虑低成本的数字‘停车’服务。使用比SMS-2FA更安全的替代方案，如身份验证应用。”