具有多重角色的黑人生活问题活动家和政治家DeRay Mckesson宣布对唐纳德·特朗普的支持。

但周五早上，他的朋友告诉他，Mckesson的Twitter开始喷涌唐纳德·特朗普的背书和宣言，“我不是黑色的。”

当然，这是因为Mckesson的Twitter账户被劫持了。

那不是最令人奇怪的，因为代替这一事实的是3300万Twitter登录账户上周被挂牌出售。

除了Twitter登录账户一家被收集和出售之外，这已经被证明是巨大泄露的季节。由于最近的多个巨大的密码泄露事件，重用密码的人使得多个网站很容易被劫持，这包括：6500万Tumblr密码，11700万LinkedIn账号细节和50万的MySpace密码。

但Mckesson想要找到答案，因为问题不是他在这么多密码泄露之后忘了更改密码，也不是他在不同的网站重用相同的密码。

事实上，他是很注重安全的，而且Twitter也告诉人们：他是使用双因素身份验证(2FA)来保护他的账户的。

但仍然，尽管采取了好的安全措施，在他前面仍然有很多的知名人士——比如最近的马克·扎克伯格——有人想要设法控制他的账户。

在他重新控制他的推特账户后，他解释说，袭击者设法做的事是通过令人信服的Verizon来重置他的SIM卡。这样，劫机者或劫持者设法设置它，这样他们可以拦截发送给Mckesson的短信从而绕过2FA，这本应该保持他的账户安全。

“通过打电话给Verizon来成功更改我的手机SIM卡，黑客绕过了我用来保护账号的双因素身份认证”——deray mckesson (@deray) 在2016年6月10号发表。

这里涉及到了社会工程学：黑客(s)打电话给Verizon的计费部门并且模仿他。然后，他们重定向他的手机服务到他们自己的手机，因此发送给Mckesson号码的电话和短信都被发送到了他们的手机。

然后，他们使用Twitter的密码重置功能，这依赖于通过短信发送到手机的授权码。换句话说，他们不需要Mckesson的密码：所有他们需要的只是他的缴税ID的最后四个数字和姓名就可以锁定他的账户。

有办法抵御这种攻击。联邦贸易委员会(FTC)的首席技术专家罗莉卡拉纳描述了如何击退身份窃贼试图接管你的手机账户。

事实上，她在几周之前的一篇帖子中写道她和她的账户被利用了。当时有人走进一家手机店，自称是她，要求升级她的手机，然后带走了两个全新的分配在她的电话号码下的iphone。

“我的手机立即停止接收电话，而且身份窃贼留给了我一大波账单和对财政伤害的焦虑和恐惧。”

手机帐户劫持是一个日益严重的问题：在过去三年里翻了一番，2016年1月，这些事件占6.3%的身份盗窃。

美国所有四大运营商公司均被牵涉到这类案件中。但是这四家公司都提供了一个重要的步骤来防止身份盗窃。事实上，你可以设置一个在对你的手机做任何修改都需要提供的密码或者PIN码。

这里是主要的运营商公司的做法，来自FTC：

美国电话电报公司(AT&T)提供了一个 “额外的安全”功能。一旦激活，任何与美国电话电报公司相关，是否在线，通过电话，或在一个零售商店都将要求你提供你的密码。你可以用你的美国电话电报公司(AT&T)帐户在线登录或myAT&T应用登录在你的手机上打开额外的安全保护。请注意，当您用您的密码在线登录之后，您可能会看到一个不会再出现的选项。不要接受!你会取消额外的安全保护措施。

Sprint会要求客户设置一个PIN和安全问题，当他们与Sprint建立服务的时候，所以不需要额外的步骤来使用此功能。

T-Mobile允许客户针对他们的账户设置一个用户关心密码。一旦建立，当与T-Mobile通过手机联系的时候需要客户提供这个密码。建立这样一个密码，客户可以打T-Mobile客户服务或访问一个T-Mobile 零售商店。

Verizon允许客户设置一个账户PIN。客户能用这个PIN在他们的网上账户编辑个人资料，打电话给客服，或访问一个Verizon零售商店。这个PIN为手机事务和其他事务提供了额外的安全保障。

如果你在美国以外，与你的手机运营商进行额外的安全账户检查。

原文链接：https://nakedsecurity.sophos.com/2016/06/14/deray-mckessons-twitter-account-hacked-with-just-his-name-and-four-digits/

(责任编辑：安博涛)