手機號碼跳船策略（中）

文：薯伯伯

上文提及 SIM 卡手機號碼是過時的科技，但卻是識別身份的其中一個有效方法，文章中提了一些場景去說明以上情況，建議先讀〈上篇〉，再讀這篇對策。

之前提出的問題，提及使用 SIM 卡時經常遇到的不便，例如要插入 SIM 卡才能收取驗證碼，而萬一丟失手機及 SIM 卡，即使有新手機，也要補領 SIM 卡後才能重新啟動 Signal 或 WhatsApp 等聊天軟件，費時失事。

最理想的處理方法，是使用「虛擬號碼」，英文叫 virtual number，或 VoIP 號碼。不需要 SIM 卡或電話線，只用透過服務供應商的 app 或網站，即能查看發至該號碼的短訊。

舉個例子，萬一你丟失了手機及 SIM 卡，你只要在新的手機安裝 Signal 或 WhatsApp，輸入虛擬號碼，然後登錄虛擬手機 app，即能收取驗證碼，極之方便，尤其身處外地之時。

一，虛擬號碼

虛擬電話通常是美國號碼，也就是開頭是 +1 字頭，成功申請後，這個 +1 字頭的電話號碼，將會成為 Signal 或 WhatsApp 等對外公開的號碼。坊間提供虛擬號碼的服務供應商雖多，但有些號碼似乎曾經過度使用，登記甚麼服務也會出現問題，另一些則要月費數十至百多元港幣，有比較之下就覺得不算太值得。

我測試最多的服務商有三家：MySudo、Google Voice 及 TextNow。我先說我最不推介的服務吧，不推介 TextNow，他們提供的號碼似乎有不少都曾經重複使用，登記服務時經常遇到問題，得物無所用，極不推介。

那就餘下 MySudo 及 Google Voice。兩者之間，我較為喜歡 Google Voice，但在這裡則會推介 MySudo。我雖然很想推介 Google Voice，但除非你身處美國，本身又有美國當地的手機號碼，否則申請過程頗為困難。即使用了 VPN 並連接至美國伺服器 ，Google 似乎偵測到是用 VPN 連線而拒絕服務申請。

比較容易讓大眾去申請的虛擬號碼服務，是 MySudo。下載該 app，必須要透過美國的 App Store，而不能使用香港 App Store。我一向很鼓勵離岸，所以除了銀行戶口要離岸，其實 App Store 也應該要離岸，這裡示範如何申請美國版的 App Store。

MySudo: https://mysudo.com
（這裡示範用 iPhone 設置，Android 手機用戶申請過程應該大同小異，請朝這個方向自己摸索一下。對了，其實很多時寫文章，就只是想開個方向，讓讀者自行探索一下，這樣會更有趣。）

申請美國版 App Store：

這部份最好在電腦上完成：

1. 使用 VPN，連接到美國伺服器。
2. 使用 Firefox 或其他瀏覽器，打開 https://appleid.apple.com/
3. 點擊 Create your Apple ID。
4. 輸入自己的資料，要填寫真實的電郵地址，要跟香港 App Store 的登錄電郵不同，這將是你的戶口登錄資料，稍後要收取一個驗證碼。
5. Country 選 United States。
6. 電話號碼，出奇地，可以使用香港電話，使用 +852，填上香港號碼，稍後要收取驗證碼。

完成以上步驟之後，轉用 iPhone 或 iPad：

1. 建議在手機上先開啟 VPN，連接去美國伺服器。
2. 打開 App Store，把原先的戶口退出。退出的方法，是點擊右上方的頭像，掃至最底，選擇 log out。
3. 登入美國帳號的資料，系統會顯示「This Apple ID has not been used in iTunes Store.」（這個Apple ID還沒有在 iTunes 商店中使用過。）
4. 選擇 Review，然後等待一會，畫面會一片空白，可能要等一分鐘。
5. 確保寫著 United States，選擇 Agree to Terms and Conditions（同意條款），選擇 Next。
6. Payment Method（付費方式）：選擇 None。
7. Billing Address（帳單地址）：寫個美國地址及電話，自己想，他們不查證。
8. 填完地址選 Next。
9. 如果出現 Apple ID Completed，這就代表你已經成功開設了 App Store 的離岸戶口了！

有關美國 App Store 戶口充值的方法，實在太多細節，請看看之前我寫的文章： https://www.patreon.com/posts/39576067

之後要用美國版 App Store 下載 MySudo：

1. 用美國的 App Store 戶口，下載免費的應用 MySudo：https://mysudo.com/
2. 用 VPN 連接到美國的伺服器。
3. 打開 MySudo，如果起始畫面一直沒有任何動靜，可能因為你還未連接到美國 VPN 吧。
4. 在 MySudo 的介面，選擇 Create your first Sudo。
5. 按 Next。如果這裡出現問題，可以嘗試重新連接 VPN，選擇另一些美國的伺服器。如果仍然出現問題，可能你以前曾經使用同一個美國 Apple ID 下載並申請過 MySudo，所以顯示出錯，要用一個之前沒有下載過 MySudo 的美國 Apple ID 再試一次。
6. 輸入名字，暫時輸入真名都可以，之後隨時可以改動，選 Next。
7. 關鍵步驟，選擇號碼，按 Create a Phone Number。
8. 選擇美國（其他國家也可以，按自己情況決定），輸入自己喜歡的三位數字組合，例如 314（314 是密蘇里州聖路易）
9. 選擇心水號碼，選定之後就不能更改了。
10. 之後會問能否取用咪高風，選擇不允許。
11. 選擇名字，這個名字要選個合用，因為之後修改較麻煩。
12. 之後問能否傳送通知，選擇「允許」。

MySudo 的免費版本，提供一個美國的虛擬號碼（也有英國號碼，但我沒有試用過），縱然這裡提供的虛擬號碼是免費，但亦可以接收認證短訊，能用作登記 Signal、Telegram 及 WhatsApp，亦能夠接受不少證券行、交易所之類的二步認證碼，但 VoIP 的號碼不能用作申請美國版本的 PayPal。

我申請的時候，MySudo 號碼是可以一直保留，但近日收到一些讀者回應，指 MySudo 號碼一個月不使用就會過期，我覺得也值得付費保留號碼，而且收費不貴，最便宜的收費計劃一個月才 US$ 0.99。

由於美國 App Store 不支援香港信用卡，所以最好最方便最快捷亦是較為安全的充值方法，是購買 Apple Gift Card（以前有分 iTunes 卡或 Apple Store 卡而且互不兼容，現在統一了，方便易明）。先到 https://www.apple.com/shop/buy-giftcard/giftcard ，選擇 Email，選擇 Other Amount，輸入 $10 試玩一下吧，在 Recipient/Sender Name 輸入自己（可以是代號）， Recipient/Sender Email 輸入自己電郵地址（要能接收訊息）。之後填信用卡資料時，只要確保信用卡號碼、日期及 CVC 正確就可以，至於 billing address 即使填了美國，其實也會通過的。可以支付的信用卡，例如獅子銀行信用卡、八達通 app 內的 MasterCard 等，比較容易出問題或被拒絕的是 DBS。支付後等一小時，收到禮品卡就按照指示充值。我自己最喜歡用這個方法充值，而不是把信用卡綁定在 App Store 內，方便易容，又減少信用卡被盜的風險。

🚫 注意：切勿把這個美國號碼登記接收銀行驗證碼，否則一些銀行以為你與美國有關，中了 FATCA（《美國海外帳戶稅收遵從法》，Foreign Account Tax Compliance Act）並要求你經常填寫表格 W-8BEN 申報，很麻煩。其他則沒有問題，只要不用來收銀行短訊就可以。

有一點必須留意，截至 2021 年 1 月 22 日，MySudo 仍然不能在 iPhone 與 Android 之間轉移，但該公司網站上稱會考慮加入此功能。而 MySudo 的備份一定要做得好，這個 app 用 iCloud 也合適（如果開 iCloud，其他大多數 app 的數據其實都沒必要同步，但 MySudo 有點例外）。如果沒有做好備份可能會失去這個號碼，所以要小心，做好備份。

二，把虛擬號碼融進日常生活

申請了並保存了虛擬號碼，確保 MySudo 的備份做得完美，那就開始逐步把虛擬號碼融進日常生活，取代用了十多年的電話號碼。

這部份還是留待續篇才寫。

注：我稍後（一月底）會在 Patreon 較私密的空間，再探討一下另一個我很推介的虛擬號碼 Google Voice 的申請及應用，但考慮到該文觸及 Google 的灰色地帶，所以設定為 Patreon 的獨家文章。反正大部份文章都是公開，有時設置一兩篇為 Patreon exclusive，我會原諒我自己的任性。

圖：Pixabay / mohamed_hassan

手機號碼跳船策略（上）：https://www.patreon.com/posts/46473280
手機號碼跳船策略（中）：https://www.patreon.com/posts/46491016
手機號碼跳船策略（下）：https://www.patreon.com/posts/46695482
手機號碼跳船策略（番外篇）：https://www.patreon.com/posts/46736756（Patreon 獨家文章）

🔑 【資訊保安文章整理，超務實長清單】 https://www.patreon.com/posts/46192115

▶️ 請訂閱 Patreon 頻道，支持不受干預的獨立創作及評論 | www.patreon.com/pazu

我覺得有一點一定要正視聽，就是很多人都誤會了，以為自己只要用了太空卡，或太空機，或甚至兩者都不用，就可以完全匿名隱身，這種誤會有可能導致極嚴重的後果，所以大家一定要小心謹慎去處理所謂的「匿名隱身幻覺」。

我之前寫了一篇文章，現在再一次跟大家分享。

* * *

零基資安訓練營（九）：如果要完全隱藏網上身份

文：薯伯伯

有些朋友會覺得很奇怪，看到我一方面又對資訊保安很著緊，要用 VPN、 加密的通訊軟件、硬件保安鑰匙等等，但另一方面又會用信用卡、電子錢包，甚至當 iPhone 可以使用八達通時，還第一時間搶著去試用。

朋友問：「我還以為你要做到隱藏自己的身份。」

不是的，我其實從來沒有打算完全隱藏自己的身份，我只是有限度地保障自己的私隱。例如我與朋友之間的關係網、對話記錄，其他人當然沒有資格過問。但換了是去超市買了 100 元東西，我又不是太過介意留下記錄，甚至用信用卡消費儲點積分來兌換機票。

坊間經常有人把「保護私隱」及「隱藏身份」混為一談，這是錯誤的說法，也是危險的說法，亦容易使人誤判自己的防衛能力。例如有人買了一張「太空電話卡」，就覺得自己是匿名，那肯定是錯誤。又例如有人上網用了 VPN，就覺得隱藏了 IP，以為可以隱藏了真實身份，也是大錯特錯。

我在這篇文章，就大概講一下，如何可以做到真正隱身上網。真正隱身，是指即使對方有較高強的追蹤能力，也難以把你的網上身份，與真實的身份形成任何連結。

首先你要到一些不相熟的店鋪，以現金購買一台全新的電腦（二手未必好，因為你不知道之前是甚麼人用過），不能用信用卡付款，購買的過程要戴鴨舌帽，現在方便的話也要戴上口罩，以防監控電視把你拍下。在第一次開啟電腦及連線時，必須確保自己的手機或其他上網設備提前全部關閉。

在電腦上安裝 Tails 作業系統（The Amnesic Incognito Live System）及 TOR 瀏覽器，這部電腦只能作為你新建的匿名身份之用，絕對不能與其他身份混合使用。不過要留意，每部上網的設備本身都有一個 Media Access Control Address（即簡稱 MAC 地址），這是其中一個可能辨認的痕跡。例如去快餐店上網，每日限時一小時，他們就是按照 MAC 地址來辨認你的身份。不過在國安法的陰霾之下，為免增加寫作人及轉載媒體的法律風險，有關 MAC 地址的討論就到此為止。

還是得強調一點，保持匿名，是完全合法合理。

用 TOR 連到免費的 wi-fi 熱點，在商場裡監控鏡頭太多，巴士上的熱線可能好一些，但上車時當然要用現金支付車資。上網首先要開一個完全匿名的電郵地址，例如 ProtonMail。以前開啟 ProtonMail 戶口時是不需要任何身份驗證，但可能太多人濫用，最近要輸入電話做驗證。如果真的有這個情況，就要用現金買一部太空電話及一張太空卡，並在跟自己完全無關的位置開啟太空機及插入太空卡，接收到短訊認證，這部機就不應重複使用。

之後如果你有任何交易，可以使用加密貨幣 Bitcoin，但有 Bitcoin 的交易本身是公開，是可以輕易清楚查看每宗交易記錄，每一分每一毫都會清楚列出，這是區塊鏈（blockchain）的特性，不能關閉這個功能。

有些網站容許你在沒有任何身份認證的情況下購買 Bitcoin，最有名氣的網站是 Paxful.com，你可以用 TOR 去該網站，以匿名情況下申請的電郵地址去開啟錢包，再看看不同貨幣販子的要求，有些需要你的身份認證，手續費較低，有些甚麼也不需認證，但手續費可能要 50%，這就是匿名的代價。支付的方式，可以用禮品卡，而因為 Bitcoin 本身不會隱藏交易記錄，所以禮品卡必須要用匿名的方式在實體店購買。用完的實體禮品卡，要用安全的方法棄置。

之後可以用這些匿名購買的 Bitcoin 再買 VPN，例如 ProtonVPN。不過因為要維持匿名，即使 ProtonVPN 在業界裡的信譽很好，但在申請服務時也不要提供個人資料。

好了，你現在終於有一部新的電腦，裡面安裝了較安全的操作系統 Tails，還有 TOR，加上用 Bitcoin 買回來的 VPN，這裡預計花上數千港元。

之後是關鍵之處，想像一下，你花了數千元設置的匿名裝置及系統，卻一時不小心或手痕，把匿名設備連上了自己家裡或工作地點的 wi-fi，那這個設備就算是污染了，不再匿名。

又或是，你每次都很小心，明明家住香港仔，卻跑到天水圍才找免費的 wi-fi 上網，但原來每次你都同時帶備自己的手機兼全程開機，那麼你的行蹤也有可能暴露了，情況就有點像明星 A 和歌手 B 兩人從不交談，但經常出雙入對，難道只是巧合而已？

所以每次在新位置使用匿名裝置，就必須提前把身上其他上網裝置關閉，至於關閉了的手機會否仍然發出訊號，有點難說，所以還要把手機放進「法拉第袋」（Faraday bag），金屬物料做的布袋，能有效屏蔽外電場的電磁干擾，單用錫紙袋是沒有用。

每次上網不能太長時間，例如斯諾登當年在美國舉報 NSA 監聽事件，就是開著車到處找尋開放的 wi-fi 訊號，而每次上網也只是十多分鐘，否則易受追蹤。他在爆料之前跟記者聯絡，要求對方先安裝 PGP（加密方法），但記者不明白又不在意，斯諾登等了數個月才成功跟記者建立了加密聯諾途徑，而在這幾個月裡，斯諾登顯出強大的自控能力，能抑壓著心中團火，沒有提前在其他渠道洩漏敏感訊息。

這篇文章很長，當中不少細節寫得粗疏，但最主要的目的是要普及一個訊息，要做到真正匿名，除了要有金錢資源，有技術知識，更重要是必須有堅忍的耐性。這篇文章的標題是「如果要完全隱藏網上身份」，而不是「如何完全隱藏網上身份」，正正就是因為我覺得對大多數人而言，根本就不可能輕易隱藏自己的數碼足跡（包括上網，包括日常的電子交易等）。

所以每當有人聲稱基於「匿名」的考慮而全面停用信用卡或交通卡，手機卻在任何場合均會長開，打電話時甚至會用最原始的方式直接撥打號碼，而不用有點對點加密的方式聯絡（例如使用 Signal 的電話功能），我就總覺不安。

在適當的日子，去特定的地方，要用現金支付，避免留下交通記錄，這確實是常識，但如果不理解匿名的運作原理，卻誤以為自己沒有使用銀行卡或交通卡就等同安全，那是幻像而已。

照片：Joshua Gandara / Unsplash

⏺ 請支持不受干預的創作：http://patreon.com/Pazu

零基資安訓練營（九）：如果要完全隱藏網上身份

文：薯伯伯

有些朋友會覺得很奇怪，看到我一方面又對資訊保安很著緊，要用 VPN、 加密的通訊軟件、硬件保安鑰匙等等，但另一方面又會用信用卡、電子錢包，甚至當 iPhone 可以使用八達通時，還第一時間搶著去試用。

朋友問：「我還以為你要做到隱藏自己的身份。」

不是的，我其實從來沒有打算完全隱藏自己的身份，我只是有限度地保障自己的私隱。例如我與朋友之間的關係網、對話記錄，其他人當然沒有資格過問。但換了是去超市買了 100 元東西，我又不是太過介意留下記錄，甚至用信用卡消費儲點積分來兌換機票。

坊間經常有人把「保護私隱」及「隱藏身份」混為一談，這是錯誤的說法，也是危險的說法，亦容易使人誤判自己的防衛能力。例如有人買了一張「太空電話卡」，就覺得自己是匿名，那肯定是錯誤。又例如有人上網用了 VPN，就覺得隱藏了 IP，以為可以隱藏了真實身份，也是大錯特錯。

我在這篇文章，就大概講一下，如何可以做到真正隱身上網。真正隱身，是指即使對方有較高強的追蹤能力，也難以把你的網上身份，與真實的身份形成任何連結。

首先你要到一些不相熟的店鋪，以現金購買一台全新的電腦（二手未必好，因為你不知道之前是甚麼人用過），不能用信用卡付款，購買的過程要戴鴨舌帽，現在方便的話也要戴上口罩，以防監控電視把你拍下。在第一次開啟電腦及連線時，必須確保自己的手機或其他上網設備提前全部關閉。

在電腦上安裝 Tails 作業系統（The Amnesic Incognito Live System）及 TOR 瀏覽器，這部電腦只能作為你新建的匿名身份之用，絕對不能與其他身份混合使用。不過要留意，每部上網的設備本身都有一個 Media Access Control Address（即簡稱 MAC 地址），這是其中一個可能辨認的痕跡。例如去快餐店上網，每日限時一小時，他們就是按照 MAC 地址來辨認你的身份。不過在國安法的陰霾之下，為免增加寫作人及轉載媒體的法律風險，有關 MAC 地址的討論就到此為止。

還是得強調一點，保持匿名，是完全合法合理。

用 TOR 連到免費的 wi-fi 熱點，在商場裡監控鏡頭太多，巴士上的熱線可能好一些，但上車時當然要用現金支付車資。上網首先要開一個完全匿名的電郵地址，例如 ProtonMail。以前開啟 ProtonMail 戶口時是不需要任何身份驗證，但可能太多人濫用，最近要輸入電話做驗證。如果真的有這個情況，就要用現金買一部太空電話及一張太空卡，並在跟自己完全無關的位置開啟太空機及插入太空卡，接收到短訊認證，這部機就不應重複使用。

之後如果你有任何交易，可以使用加密貨幣 Bitcoin，但有 Bitcoin 的交易本身是公開，是可以輕易清楚查看每宗交易記錄，每一分每一毫都會清楚列出，這是區塊鏈（blockchain）的特性，不能關閉這個功能。

有些網站容許你在沒有任何身份認證的情況下購買 Bitcoin，最有名氣的網站是 Paxful.com，你可以用 TOR 去該網站，以匿名情況下申請的電郵地址去開啟錢包，再看看不同貨幣販子的要求，有些需要你的身份認證，手續費較低，有些甚麼也不需認證，但手續費可能要 50%，這就是匿名的代價。支付的方式，可以用禮品卡，而因為 Bitcoin 本身不會隱藏交易記錄，所以禮品卡必須要用匿名的方式在實體店購買。用完的實體禮品卡，要用安全的方法棄置。

之後可以用這些匿名購買的 Bitcoin 再買 VPN，例如 ProtonVPN。不過因為要維持匿名，即使 ProtonVPN 在業界裡的信譽很好，但在申請服務時也不要提供個人資料。

好了，你現在終於有一部新的電腦，裡面安裝了較安全的操作系統 Tails，還有 TOR，加上用 Bitcoin 買回來的 VPN，這裡預計花上數千港元。

之後是關鍵之處，想像一下，你花了數千元設置的匿名裝置及系統，卻一時不小心或手痕，把匿名設備連上了自己家裡或工作地點的 wi-fi，那這個設備就算是污染了，不再匿名。

又或是，你每次都很小心，明明家住香港仔，卻跑到天水圍才找免費的 wi-fi 上網，但原來每次你都同時帶備自己的手機兼全程開機，那麼你的行蹤也有可能暴露了，情況就有點像明星 A 和歌手 B 兩人從不交談，但經常出雙入對，難道只是巧合而已？

所以每次在新位置使用匿名裝置，就必須提前把身上其他上網裝置關閉，至於關閉了的手機會否仍然發出訊號，有點難說，所以還要把手機放進「法拉第袋」（Faraday bag），金屬物料做的布袋，能有效屏蔽外電場的電磁干擾，單用錫紙袋是沒有用。

每次上網不能太長時間，例如斯諾登當年在美國舉報 NSA 監聽事件，就是開著車到處找尋開放的 wi-fi 訊號，而每次上網也只是十多分鐘，否則易受追蹤。他在爆料之前跟記者聯絡，要求對方先安裝 PGP（加密方法），但記者不明白又不在意，斯諾登等了數個月才成功跟記者建立了加密聯諾途徑，而在這幾個月裡，斯諾登顯出強大的自控能力，能抑壓著心中團火，沒有提前在其他渠道洩漏敏感訊息。

這篇文章很長，當中不少細節寫得粗疏，但最主要的目的是要普及一個訊息，要做到真正匿名，除了要有金錢資源，有技術知識，更重要是必須有堅忍的耐性。這篇文章的標題是「如果要完全隱藏網上身份」，而不是「如何完全隱藏網上身份」，正正就是因為我覺得對大多數人而言，根本就不可能輕易隱藏自己的數碼足跡（包括上網，包括日常的電子交易等）。

所以每當有人聲稱基於「匿名」的考慮而全面停用信用卡或交通卡，手機卻在任何場合均會長開，打電話時甚至會用最原始的方式直接撥打號碼，而不用有點對點加密的方式聯絡（例如使用 Signal 的電話功能），我就總覺不安。

在適當的日子，去特定的地方，要用現金支付，避免留下交通記錄，這確實是常識，但如果不理解匿名的運作原理，卻誤以為自己沒有使用銀行卡或交通卡就等同安全，那是幻像而已。

照片：政府總部下，攝於 2019 年 6 月 13 日。

▶️ Patreon: www.patreon.com/pazu