ismajia 发表于 2024-05-23 14:31 我也觉得现在这种什么都绑定到手机上其实是个大问题,手机没被盗用还好,被盗用了就是大麻烦.
手机绑定登陆银行收验证码吗?不绑定手机那用什么?email也会被黑?中产真的太悲催了,手里那点辛苦钱被资本家惦记,被irs惦记,还被骗子惦记 猜 发表于 2024-05-23 14:53
gokgs 发表于 2024-05-23 15:31 手机号也能随便转走?
xuxhz 发表于 2024-05-23 15:20 简单讲,尽量不要用手机SMS做MFA,用authenticator app或者Yubikey 这样的硬件。
airsense 发表于 2024-05-23 17:03回复 1楼 goodhabits 的帖子 手机当然不能丢。然后用prepaid sim,别人不能冒充你去换新sim.
ilovepurple 发表于 2024-05-23 17:07 Prepaid sim不能转走对吗
arizaq 发表于 2024-05-23 17:12 prepaid 一样能转。
猜 发表于 2024-05-23 14:53 手机绑定登陆银行收验证码吗?不绑定手机那用什么?email也会被黑?中产真的太悲催了,手里那点辛苦钱被资本家惦记,被irs惦记,还被骗子惦记
莱 发表于 2024-05-23 20:40 不用手机做MFA,还有其他方法吗?我们公司用DUO,但是银行好像并没有其他选择
xuxhz 发表于 2024-05-23 21:15 BoA支持Yubikey ,但是手机app不支持,etrade支持hardware token ,Fidelity 支持app 2FA 。 银行的deposit 账号不要放很大金额。手机Google Fi ,我还是信任Google 的安全比其它家好,而且Google 支持Yubikey ,并且没有门店。
mtwash 发表于 2024-05-23 21:20 你说这个Google Fi的安全比别家好,我认为非常有可能 我回头好好研究一下,准备转到Google Fi
star1991 发表于 2024-05-23 22:19 但是收验证码是在在线log in的第二步,是说她的在线登陆密码已经泄漏了?感觉隔断时间就应该改次在线登陆密码,我从不在手机上进银行账户,存款多的银行基本每三月改次秘吗
ComingMarch 发表于 2024-05-23 22:54 eSIM 还需要SIM PIN吗
airsense 发表于 2024-05-24 01:16 像redpocket那种一年付清的计划,都没有你的名字,别人怎么转。
NewMe 发表于 2024-05-24 10:27 我也动心了。六月份要回国。有人知道Google Fi可以在中国用吗?
普通支票和储蓄账户里不要放很多钱,钱要存在长期储蓄里面,这样就是有意外发生也可以延缓转账的时间,能及时阻止
原文报道在这里
https://www.worldjournal.com/wj/story/121360/7982789?from=wj_maintab_cate
这里是FCC的警告
https://www.fcc.gov/port-out-fraud-targets-your-private-accounts
SEC 绑定在在 X (twitter) 的政府手机号码也被转走了
https://www.fastcompany.com/91017079/the-simple-way-that-hackers-took-over-the-secs-x-account
事發在5月上旬,張致君早上起床時,意外發現手機沒有任何信號,「我的第一反應是,不可能欠費,因為剛充一年的電話費」。生性敏感的她,趕緊查看銀行帳戶,這一看讓當事人大吃一驚,美國銀行(Bank of America)帳戶已經無法登陸,顯示密碼被修改。張致君嘗試找回密碼,但發現帳戶被凍結。
富國銀行(Wells Fargo)的網上帳戶當時還可以登錄,但所有錢都已處於轉出過程中,帳戶還被綁定在一個跨境匯款軟件上,張致君指出,通常都是華人使用該軟件。此外,一張久未使用的信用卡,也被提現400元現金。多個帳戶一夜之間發生異常,再加上手機失去信號,張致君猜測,嫌犯已盜取她的手機號碼,並接管所有銀行帳戶。
被害人首先趕到存款金額較多的美國銀行,但因所帶證件不齊全,再加上手機不能收到驗證碼,綁定的郵箱也被對方更換,銀行工作人員短時間無法驗證客戶身分信息,「一定需要兩張證件,除駕照外,還要提供社安號原件」。張致君表示,整整一天,她都無法向銀行驗證身分,只能不斷通過客服查詢帳戶裡的錢是否還在。
期間,銀行發現再次出現異常交易,馬上凍結當事人的網上帳戶。但沒想到,嫌犯通過盜取的手機號碼收到驗證碼,騙過客服,重新解鎖被害人帳戶,繼續從事非法轉帳。 銀行反詐部門隨後指出,當事人所有存款,都被轉到一個名叫何欣(Hexin,音譯)的帳戶,張致君表示,「這個名字一看,就感覺是華人名字,幸虧銀行及時發現,及時阻止這筆交易」。
在工作人員的幫助下,張致君終於成功開通一個新帳戶,目前從新帳戶上的信息看,存款都還在,「我不確定這些錢是不是銀行先賠給我的,他們還要進行調查,看最後調查結果,這筆錢是真正給我,還是可能收回」。
當事人指出,富國銀行的帳戶相對比較幸運,事發當天帳戶還能登陸,張致君趕緊換一個新手機號碼,重新綁定帳戶。但因為錢已被轉出,重新回到帳戶需要時間,富國銀行已介入調查,希望盡快阻止這筆錢流向嫌犯口袋。據悉,案發第一時間,當事人也已去警局報案。
回溯整個過程,張致君表示,帳戶被盜的起因,就是因為手機號碼被盜,「如果我沒有及時發現電話信號異常,沒有第一時間跟蹤銀行帳戶,趕到銀行及時處理,恐怕所有的錢都已經被壞人轉走,再也找不回來」。
手机绑定登陆银行收验证码吗?不绑定手机那用什么?email也会被黑?中产真的太悲催了,手里那点辛苦钱被资本家惦记,被irs惦记,还被骗子惦记
不绑定手机你就登不上去呗。我一国内的朋友申请过一个gmail账号,那时候gmail还不需要其他验证方式;她就用这个gmail注册各种国外的资源网站。后来有一段时间她没有登录gmail,再后来就死活登不上去了,google说她没有提供验证方式,但是啥解决方案都不提供,没办法恢复账号,没办法绑手机,基本上那个账号是废了。好在其他网站都比较给力,客服能帮她换成国内邮箱。不绑手机光绑邮箱就有可能遇到这种破事儿。
先骗取个人信息,然后就可以把号port到别的运营商那儿了。
有的地方不提供authenticator app的验证方式
所以我说尽量。如果必须用手机SMS,我用Google Fi 。
手机当然不能丢。然后用prepaid sim,别人不能冒充你去换新sim.
Prepaid sim不能转走对吗
prepaid 一样能转。
那到底怎么办好
所以,我只在电脑上用网上银行。
可以用RSA token。但是你要随身带着也挺麻烦的,虽然很小。就和以前国内的usb key 一样。只不过不用插在电脑上。
保管好驾照、护照、社安卡、汽车registration卡和手机这些能证明自己身份的东西的重要性不用说了。骗子拿到证件就可以去门店要求发新的SIM卡;偷到了你的手机,就可以在电话客服上要求把原电话号码导入到骗子提供的新SIM卡上,电话客服会发验证码到原手机,如果手机在锁定的状态下让然显示了收到的验证码,骗子就得逞了。于是就等于偷到了手机,用来接收验证码,重置一切账号的密码,进去为所欲为。
但罪犯没有这几样东西,单依靠泄露的个人信息,照样有可能在手机运营商的电话客服或者门店,通过忽悠(social engineering)的方法,偷到别人的SIM卡——正主的手机虽然没丢,但让正主的SIM卡失效,门店发一个新的SIM卡给骗子,或者电话客服让正主的手机号码重新关联到骗子提供的SIM卡上去。这样骗子等于偷到了手机,并且还解锁了。
我现在的做法是,重要账号的2-factor authentication用一个专用的手机来做,这个手机平时不干别的,只用来收验证码。但这也扛不住银行或者手机运营商身份泄露怎么办,或者手机运营商的门店有内鬼怎么办。
现状就是个人电子账号和数字化财富的安全,是很虚的依赖在手机门店服务员小二哥或者手机运营商客服小二哥的守法底线上的。
不用手机做MFA,还有其他方法吗?我们公司用DUO,但是银行好像并没有其他选择
BoA支持Yubikey ,但是手机app不支持,etrade支持hardware token ,Fidelity 支持app 2FA 。
银行的deposit 账号不要放很大金额。手机Google Fi ,我还是信任Google 的安全比其它家好,而且Google 支持Yubikey ,并且没有门店。
你说这个Google Fi的安全比别家好,我认为非常有可能
我回头好好研究一下,准备转到Google Fi
Google 账号里我删除了手机,邮件等不安全MFA方式,只留Yubikey 。
密码泄露有多种可能,密码不够强,或者多处用同一个密码,其它网站被攻破后影响到银行网站
用处不大。
但是如之前所说,eSIM lock 对sim swap没用
像redpocket那种一年付清的计划,都没有你的名字,别人怎么转。
Number port需要知道账号和PIN,可以social engineering 获得。
我也动心了。六月份要回国。有人知道Google Fi可以在中国用吗?
Unlimited Plus可以全球漫游,包括中国,而且Tether 也可以。
你太有才了
关键字
因為剛充一年的電話費
另外: SIM Pin 没用的,sim pin是保护local 不是远程攻击