大家要给手机账号上SIM Pin，定时更换密码，当心手机号码被非法转移

如果发现手机没有信号 SOS mode 要立即警戒，要马上去手机店查询，去银行冰冻各种账户。 现在什么都和手机绑定，都要手机确认密码，这样事情发生太可怕了
普通支票和储蓄账户里不要放很多钱，钱要存在长期储蓄里面，这样就是有意外发生也可以延缓转账的时间，能及时阻止
原文报道在这里
https://www.worldjournal.com/wj/story/121360/7982789?from=wj_maintab_cate
这里是FCC的警告
https://www.fcc.gov/port-out-fraud-targets-your-private-accounts
SEC 绑定在在 X (twitter) 的政府手机号码也被转走了
https://www.fastcompany.com/91017079/the-simple-way-that-hackers-took-over-the-secs-x-account

洛杉磯華裔居民張致君，5月的一天醒來時，手機突然沒有信號。她隨即查詢多個銀行帳戶，發現其中一個帳戶已被盜取帳號、密碼，無法登陸；另一個帳戶存款處於準備轉出（Pending）狀態；一張信用卡消費記錄顯示，已被人盜刷提現。當事人表示，一切的噩夢，都源於手機帳號被人盜用接管。
事發在5月上旬，張致君早上起床時，意外發現手機沒有任何信號，「我的第一反應是，不可能欠費，因為剛充一年的電話費」。生性敏感的她，趕緊查看銀行帳戶，這一看讓當事人大吃一驚，美國銀行（Bank of America）帳戶已經無法登陸，顯示密碼被修改。張致君嘗試找回密碼，但發現帳戶被凍結。
富國銀行（Wells Fargo）的網上帳戶當時還可以登錄，但所有錢都已處於轉出過程中，帳戶還被綁定在一個跨境匯款軟件上，張致君指出，通常都是華人使用該軟件。此外，一張久未使用的信用卡，也被提現400元現金。多個帳戶一夜之間發生異常，再加上手機失去信號，張致君猜測，嫌犯已盜取她的手機號碼，並接管所有銀行帳戶。
被害人首先趕到存款金額較多的美國銀行，但因所帶證件不齊全，再加上手機不能收到驗證碼，綁定的郵箱也被對方更換，銀行工作人員短時間無法驗證客戶身分信息，「一定需要兩張證件，除駕照外，還要提供社安號原件」。張致君表示，整整一天，她都無法向銀行驗證身分，只能不斷通過客服查詢帳戶裡的錢是否還在。
期間，銀行發現再次出現異常交易，馬上凍結當事人的網上帳戶。但沒想到，嫌犯通過盜取的手機號碼收到驗證碼，騙過客服，重新解鎖被害人帳戶，繼續從事非法轉帳。 銀行反詐部門隨後指出，當事人所有存款，都被轉到一個名叫何欣（Hexin，音譯）的帳戶，張致君表示，「這個名字一看，就感覺是華人名字，幸虧銀行及時發現，及時阻止這筆交易」。
在工作人員的幫助下，張致君終於成功開通一個新帳戶，目前從新帳戶上的信息看，存款都還在，「我不確定這些錢是不是銀行先賠給我的，他們還要進行調查，看最後調查結果，這筆錢是真正給我，還是可能收回」。
當事人指出，富國銀行的帳戶相對比較幸運，事發當天帳戶還能登陸，張致君趕緊換一個新手機號碼，重新綁定帳戶。但因為錢已被轉出，重新回到帳戶需要時間，富國銀行已介入調查，希望盡快阻止這筆錢流向嫌犯口袋。據悉，案發第一時間，當事人也已去警局報案。
回溯整個過程，張致君表示，帳戶被盜的起因，就是因為手機號碼被盜，「如果我沒有及時發現電話信號異常，沒有第一時間跟蹤銀行帳戶，趕到銀行及時處理，恐怕所有的錢都已經被壞人轉走，再也找不回來」。

这些年越来越觉得美国和中国好多东西其实一个玩法了。前几年国内不是好多这种手机号绑定被转移的诈骗吗。不完全一样，不过很类似。

我也觉得现在这种什么都绑定到手机上其实是个大问题,手机没被盗用还好,被盗用了就是大麻烦.

ismajia 发表于 2024-05-23 14:31
我也觉得现在这种什么都绑定到手机上其实是个大问题,手机没被盗用还好,被盗用了就是大麻烦.

手机绑定登陆银行收验证码吗？不绑定手机那用什么？email也会被黑？中产真的太悲催了，手里那点辛苦钱被资本家惦记，被irs惦记，还被骗子惦记

怎么给sim卡设置pin?

esim 也能设置吗

手机绑定登陆银行收验证码吗？不绑定手机那用什么？email也会被黑？中产真的太悲催了，手里那点辛苦钱被资本家惦记，被irs惦记，还被骗子惦记
猜 发表于 2024-05-23 14:53

不绑定手机你就登不上去呗。我一国内的朋友申请过一个gmail账号，那时候gmail还不需要其他验证方式；她就用这个gmail注册各种国外的资源网站。后来有一段时间她没有登录gmail，再后来就死活登不上去了，google说她没有提供验证方式，但是啥解决方案都不提供，没办法恢复账号，没办法绑手机，基本上那个账号是废了。好在其他网站都比较给力，客服能帮她换成国内邮箱。不绑手机光绑邮箱就有可能遇到这种破事儿。

简单讲，尽量不要用手机SMS做MFA，用authenticator app或者Yubikey 这样的硬件。

已经习惯了手机绑定

手机号也能随便转走？

另外sim pin 对sim swap是没用的。

sim pin是什么？

gokgs 发表于 2024-05-23 15:31
手机号也能随便转走？

先骗取个人信息，然后就可以把号port到别的运营商那儿了。

xuxhz 发表于 2024-05-23 15:20
简单讲，尽量不要用手机SMS做MFA，用authenticator app或者Yubikey 这样的硬件。

有的地方不提供authenticator app的验证方式

回复 15楼 ismajia 的帖子
所以我说尽量。如果必须用手机SMS，我用Google Fi 。

回复 1楼 goodhabits 的帖子
手机当然不能丢。然后用prepaid sim,别人不能冒充你去换新sim.

airsense 发表于 2024-05-23 17:03
回复 1楼 goodhabits 的帖子
手机当然不能丢。然后用prepaid sim,别人不能冒充你去换新sim.

Prepaid sim不能转走对吗

ilovepurple 发表于 2024-05-23 17:07
Prepaid sim不能转走对吗

prepaid 一样能转。

arizaq 发表于 2024-05-23 17:12
prepaid 一样能转。

那到底怎么办好

关注

回复 1楼 goodhabits 的帖子
所以，我只在电脑上用网上银行。

上 SIM PIN 無法防止身分被盜用，拿假 ID 申請補發 SIM card. 新聞裡的苦主 SIM card 應該還在手機裡，只是被電話公司停用了。 還有很多銀行就是一定要手機認證，不管你是從電腦還是 APP 登入。(例如 USBANK)

猜 发表于 2024-05-23 14:53
手机绑定登陆银行收验证码吗？不绑定手机那用什么？email也会被黑？中产真的太悲催了，手里那点辛苦钱被资本家惦记，被irs惦记，还被骗子惦记

可以用RSA token。但是你要随身带着也挺麻烦的，虽然很小。就和以前国内的usb key 一样。只不过不用插在电脑上。

这个帖子非常好！很多人没有意识到这个问题(手机SIM card hijacking)的严重性。我思考这个问题很久了，还没有找到完美的解决办法。
保管好驾照、护照、社安卡、汽车registration卡和手机这些能证明自己身份的东西的重要性不用说了。骗子拿到证件就可以去门店要求发新的SIM卡；偷到了你的手机，就可以在电话客服上要求把原电话号码导入到骗子提供的新SIM卡上，电话客服会发验证码到原手机，如果手机在锁定的状态下让然显示了收到的验证码，骗子就得逞了。于是就等于偷到了手机，用来接收验证码，重置一切账号的密码，进去为所欲为。
但罪犯没有这几样东西，单依靠泄露的个人信息，照样有可能在手机运营商的电话客服或者门店，通过忽悠（social engineering）的方法，偷到别人的SIM卡——正主的手机虽然没丢，但让正主的SIM卡失效，门店发一个新的SIM卡给骗子，或者电话客服让正主的手机号码重新关联到骗子提供的SIM卡上去。这样骗子等于偷到了手机，并且还解锁了。
我现在的做法是，重要账号的2-factor authentication用一个专用的手机来做，这个手机平时不干别的，只用来收验证码。但这也扛不住银行或者手机运营商身份泄露怎么办，或者手机运营商的门店有内鬼怎么办。
现状就是个人电子账号和数字化财富的安全，是很虚的依赖在手机门店服务员小二哥或者手机运营商客服小二哥的守法底线上的。

xuxhz 发表于 2024-05-23 15:20
简单讲，尽量不要用手机SMS做MFA，用authenticator app或者Yubikey 这样的硬件。

不用手机做MFA，还有其他方法吗？我们公司用DUO，但是银行好像并没有其他选择

提醒一下要有查账习惯，每个账户都要定期检查。 这里真是防君子不防小人，账号太容易泄漏。

莱 发表于 2024-05-23 20:40
不用手机做MFA，还有其他方法吗？我们公司用DUO，但是银行好像并没有其他选择

BoA支持Yubikey ，但是手机app不支持，etrade支持hardware token ，Fidelity 支持app 2FA 。
银行的deposit 账号不要放很大金额。手机Google Fi ，我还是信任Google 的安全比其它家好，而且Google 支持Yubikey ，并且没有门店。

好吧， 改成了孩子的生日， 哈哈

xuxhz 发表于 2024-05-23 21:15
BoA支持Yubikey ，但是手机app不支持，etrade支持hardware token ，Fidelity 支持app 2FA 。
银行的deposit 账号不要放很大金额。手机Google Fi ，我还是信任Google 的安全比其它家好，而且Google 支持Yubikey ，并且没有门店。

你说这个Google Fi的安全比别家好，我认为非常有可能
我回头好好研究一下，准备转到Google Fi

mtwash 发表于 2024-05-23 21:20
你说这个Google Fi的安全比别家好，我认为非常有可能
我回头好好研究一下，准备转到Google Fi

Google 账号里我删除了手机，邮件等不安全MFA方式，只留Yubikey 。

但是收验证码是在在线log in的第二步，是说她的在线登陆密码已经泄漏了？感觉隔断时间就应该改次在线登陆密码，我从不在手机上进银行账户，存款多的银行基本每三月改次秘吗

投资帐户只能转给自己，但是checking,saving可以转别人，所以checking,saving钱不要放太多，alert设好。

eSIM 还需要SIM PIN吗

star1991 发表于 2024-05-23 22:19
但是收验证码是在在线log in的第二步，是说她的在线登陆密码已经泄漏了？感觉隔断时间就应该改次在线登陆密码，我从不在手机上进银行账户，存款多的银行基本每三月改次秘吗

密码泄露有多种可能，密码不够强，或者多处用同一个密码，其它网站被攻破后影响到银行网站

ComingMarch 发表于 2024-05-23 22:54
eSIM 还需要SIM PIN吗

用处不大。
但是如之前所说，eSIM lock 对sim swap没用

ilovepurple 发表于 2024-05-23 17:07
Prepaid sim不能转走对吗

像redpocket那种一年付清的计划，都没有你的名字，别人怎么转。

airsense 发表于 2024-05-24 01:16
像redpocket那种一年付清的计划，都没有你的名字，别人怎么转。

Number port需要知道账号和PIN，可以social engineering 获得。

virtual phone number其实是最保险的，普通手机公司的号码都会被手机公司人员或者其他人用social engineering sim swap掉 重要账户最好用google voice号码 首先登记google voice要账户密码，然后如果有人登录都会及时提醒你有陌生IP登录 可笑的是很多银行不给用virtual phone number

xuxhz 发表于 2024-05-23 21:15
BoA支持Yubikey ，但是手机app不支持，etrade支持hardware token ，Fidelity 支持app 2FA 。
银行的deposit 账号不要放很大金额。手机Google Fi ，我还是信任Google 的安全比其它家好，而且Google 支持Yubikey ，并且没有门店。

我也动心了。六月份要回国。有人知道Google Fi可以在中国用吗？