手机号验证不堪一击？ Coinbase用户遭遇SIM卡转移攻击

攻前些天有人的 Coinbase 账号遭遇了 SIM Port Attack（SIM 卡转移攻击），损失了超过 10 万美金的数字货币，很惨痛。击过程大概是：攻击者通过社会工程学等手法拿到目标用户的隐私，并到运营商欺骗得到一张新的 SIM 卡，然后通过同样的手机号轻松搞定目标用户在 Coinbase 上的权限。

SIM 都被转移了，这就很麻烦了，基本来说我们很多在线服务都是通过手机号来做的二次验证或直接身份验证，这是一个非常中心化的认证方式，手机号成为攻击的弱点。

这个攻击以前在国内也有不少案例，运营商的风控策略也越来越强大，但策略这东西总是有绕过方式，这种方式主要就是社会工程学，当然也不排除其他方式的结合。

不是我不信任运营商或中心化服务，而是这种重要的资产，大家要更加谨慎了，大额的数字货币是不是应该有更安全的存放方式？相关平台的安全风控策略是不是也该多琢磨如何再提升提升？

攻击示意图见下面，第一张图是正常流程，第二张图是攻击流程。