2FA (和其他帐户验证)系统如何识别真实的移动号码和VoIP号码？

Question

当我尝试使用VoIP号码接收2FA消息时，我一直在接触VoIP运营商，这些运营商提供的短信结果比较复杂。

我的目标是有一个专用的to / number，我不会公开发布这个号码来接收短消息，这样对我的主要移动电话号码的社交工程访问就不会允许攻击者访问我的2FA短信。

(是的，我宁愿使用TOTP。遗憾的是，一些供应商只提供短信，而不会将短信发送到VoIP号码)

在线服务如何确定一个号码是VoIP还是真正的移动提供商？如果我将加拿大的VoIP号码移植到移动运营商，我能接收到这样的消息吗?或者我会通过继续使用这个号码来永久限制我的选择吗？

Answer 1

以类似于某些在线服务如何基于已知的VoIP地址数据库检测VPN的方式，VoIP号码以批次的形式出现，在每个区域代码中都有已知的前缀。某些提供者选择不允许VoIP号码进行验证，因为它们可以从世界上的任何地方获取和访问，并且更难与真实的人、位置或帐户绑定，并且更容易更改或处理。一些服务提供商也不希望对在IP域中截取SMS消息所犯的欺诈行为负责。在蜂窝网络上截取短信比在被劫持的VoIP帐户上要困难得多。攻击者不必物理获取VoIP帐户上的设备(如窃取移动电话)，只需获取登录凭据即可。