网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

该网站的用户不可以讨论SIM卡调换。当有人暗指这一越来越流行的做法时，其他人往往会发出这样的信息：“我不宽恕任何的非法活动。”然而，两位资深用户Ace(被列为论坛的版主之一)和Thug告诉我，SIM卡调换是OGUSERS成员用来盗取用户名的常用方法。

要通过SIM卡调换手法盗取用户名，用户必须要先知道哪个手机号码与该用户名相关联。

事实证明，在网上找到这类信息并不像人们想象的那么困难。

去年，黑客们推出了一项名为Doxagram的服务。在该服务上，你可以付费查明与特定Instagram账号相关联的手机号码和电子邮箱。(Doxagram推出时，它在OGUSERS上做了广告。)由于一系列引人注目的黑客攻击，社保号码长久以来一直都相对容易找到，如果你知道在网络地下市场的哪个地方寻找的话。

Ace声称已经不再从事销售用户名的行当。Thug说，他们使用内部的T-Mobile工具来查找用户的数据，从而进行SIM卡调换。在聊天期间，该黑客向我展示了他们浏览该工具的截图。

黑客Thug在最近的一次聊天中发来其浏览用户数据查找工具的截图

为了测试一下，我给了Thug我的手机号码。该黑客发回了一个屏幕截图，上面包含我的家庭地址、IMSI号码(国际移动用户识别码)和其他理论上的秘密账号信息。Thug甚至看到了我给T-Mobile提供的用来保护我的账号的特殊指令。

“我都疯掉了。”我说。

“的确，这是一个疯狂的网络世界。”Thug回答。

事实上，这并不是第一次有陌生人访问我的私人信息——本应受T-Mobile保护的私人信息。

去年，一名安全研究人员利用T-Mobile网站上的一个漏洞来获取几乎相同的信息。在修补了漏洞之后，T-Mobile最初对这个漏洞的影响不屑一顾，称没有人有利用过它。但事实上，很多人都利用了。在该公司填补漏洞之前，YouTube上有个详细解释了如何利用这个漏洞获取人们的私人数据的教程视频存在了好几周时间。

Thug说，在过去的几年里，电信运营商让像他们这样的黑客越来越难实施攻击。

在最近的一次在线聊天中，Thug告诉我说：“以前直接打电话给运营商(例如，T-Mobile)，告诉他们给手机号码更换SIM卡就行了，就这么简单。而现在，你需要认识在运营商工作的人，你给他们100美元他们就会给你PIN码。”

Thug和Ace解释说，许多黑客现在招募在T-Mobile和其他运营商工作的客户支持人员或店面员工，花80美元或100美元收买他们，让他们对目标对象进行SIM卡调换。Thug声称他们通过贿赂内部人士获得了上述T-Mobile内部工具的使用权，但Motherboard无法证实这一说法。T-Mobile拒绝回答有关该公司是否有内部人士参与SIM卡调换骗局的证据的问题。

“有内部人士的帮助，我们的工作变得更加便捷，”Thug说道。

Ace补充说，找到内部人士并不是主要的挑战。“说服他们按照你的要求去做，才是困难所在。”

用户“Simswap”在OGUSERS上发帖宣传一项伪造ID和其它文件的服务。

安全公司Flashpoint最近进行的一项调查发现，犯罪分子越来越多地从电信业内人士那里得到帮助，来进行SIM卡调换。美国联邦贸易委员会（FTC）前首席技术官洛里·克兰纳(Lorrie Cranor)表示，她已多次看到运营商内部人士牵涉进此类攻击的证据。安全研究员、SIM卡调换先驱泰勒说，他认识一些从门店员工那里得到帮助的人。在安全记者布莱恩·克雷布斯（Brian Krebs）最近写到的一个案例中，一名T-Mobile门店的雇员进行了未经授权的SIM卡调换，进而盗取了一个Instagram账号。

当然，SIM卡调换并不是OGUSERS论坛上的人掌控账号的唯一方式。Thug告诉我，有一种不那么恶劣的、被称为“turboing”的劫持使用程序在账号放出后第一时间自动注册，尽管它没有SIM卡调换那么有效。