SIM卡交換攻擊

SIM卡交換攻擊（英語：SIM swap attack），又稱SIM卡劫持，是透過冒用身分向電信業者提出申請，將被害者的電話號碼從對方的SIM卡轉移至攻擊者的一種詐騙攻擊手段。^[1]攻擊者可藉此在被害者不知情的情況下，收取一次性密碼並盜取網站帳號與銀行帳戶。

2022年初，聯邦調查局對這種日漸猖獗的攻擊手段提出警告，稱旗下的網路犯罪投訴中心（英语：Internet Crime Complaint Center）在2018年到2020年間共收到320件相關投訴、損失金額達1200萬美元，但在2021年共收到1610件相關投訴、損失金額達6800萬美元，是過去三年間的五倍以上。^[2]

方法

這種攻擊手段源自網際網路的發展，許多線上服務開始以電話號碼作為註冊或登入帳號的依據，而非使用電子郵件或讓用戶自行輸入帳號和密碼。例如已有超過7億用戶使用的即時通訊軟體 Telegram，在首次開啟時便會要求輸入電話號碼。^[3]

攻擊者會從数据泄露事件中，或是透過網路釣魚，取得被害者的身分證等詳細個人資料。^[4]此外，也能透過被害者公開的社群媒體取得姓名、出生年月日或地址等資料。^[5]

隨後，攻擊者會藉由這些資訊冒充被害者，運用社交工程說服電信業者將電話號碼轉移至自己的SIM卡上，例如聲稱自己弄丟了手機而需要進行轉移。隨著eSIM的出現，攻擊者可以在線上完成申辦和開通，讓攻擊變得更加容易。^[6]在印度，需要實體SIM卡上的20位號碼才能進行轉移，因此攻擊者也會運用社交工程誘使被害者給出相關資料。^[7]

一旦攻擊者成功轉移，攻擊者便可以使用自己的裝置接收被害者的電話和簡訊，從而收取一次性密碼、繞過基於簡訊的雙重認證。攻擊者可以透過「忘記密碼」功能重置密碼並奪取被害者的網路服務帳號，甚至進入被害者的銀行帳戶或加密貨幣錢包盜取資產。^[8]

案例

這種攻擊手段於2014年即有案例。^[9]近期較知名的案例是在2019年，Twitter聯合創始人傑克·多西的Twitter帳號被這種手段駭入，並在短時間內發布了大量種族歧視的推文。^[10]

2018年，區塊鏈新創公司Transform Group創辦人Michael Terpin被盜取了價值2400萬美元的加密貨幣，他隨即起訴美國電信業者AT&T未能充分保護用戶安全，並求償2.24億美元；兩年後，盜取其資產的一名紐約高中生被起訴，他在犯案時年僅15歲。目前，該名攻擊者已表示願意歸還其盜取的資產，而對AT&T的求償則被法院駁回。^[11]^[12]

2020年，普林斯頓大學信息技術政策中心（英语：Center for Information Technology Policy）的四位研究員發表了一份研究，他們在美國的五大電信業者申辦了共50張預付卡，再嘗試對其進行攻擊，結果有39張SIM卡成功轉移，且有兩家電信業者完全未進行身分查核。研究中還測試了140個線上服務，其中有17個可以透過這種攻擊手段來盜取帳號。^[13]^[14]

2022年1月，台灣出現首起攻擊案例。攻擊者繞過台灣相對嚴格的身分認證機制，冒用被害者的身分證和健保卡影本、出入境證明、委託書等資料，掛失SIM卡後盜取網路銀行資產，更冒用身分申辦信用卡、領取振興五倍券和接種2019冠狀病毒病疫苗。^[15]^[16]

應對

對民眾而言，可以使用Google身分驗證器這類的TOTP服務，取代原先基於簡訊的兩步驟驗證；此外防範網路釣魚和網路詐騙的意識亦不可少。^[17]

在企業方面，電信業者也需要擬定更完整的身分查核機制，並進行教育訓練，防止業者員工收賄協助進行攻擊。^[18]

參考資料

^ SIM swapping attacks | CERT NZ. CERT NZ.
^ Internet Crime Complaint Center (IC3) | Criminals Increasing SIM Swap Schemes to Steal Millions of Dollars from US Public. www.ic3.gov. 2022-02-08.
^ Telegram FAQ. Telegram. Each phone number is a separate account on Telegram.
^ Winters, Mike. This SIM card scam once fooled Jack Dorsey—here's how to avoid it. CNBC. 2022-02-19 （英语）.
^ Tims, Anna. ‘Sim swap’ gives fraudsters access-all-areas via your mobile phone. The Guardian. 2015-09-26.
^ Ebert, Bastian. eSIM Swapping - höhere Gefahr für eSIM Nutzer. eSIM - Alles Wissenswerte zu Handys, Tarifen und Technik. 2021-06-05 （de-de）.
^ SIM Swap Fraud: 13 things you must know about this online banking scam. Gadgets Now （英语）.
^ How Hijacked Cellphone Numbers Can Be Security Risks. npr. 2019-10-25.
^ Onlinebanking: Neue Betrugsserie mit der mobilen Tan-Nummer. Süddeutsche Zeitung. 2014-08-14.
^ Brandom, Russell. The frighteningly simple technique that hijacked Jack Dorsey’s Twitter account. The Verge. 2019-08-31.
^ U.S. cryptocurrency investor sues suburban NYC teen for $71.4 million over alleged swindle. Reuters. 2020-05-07 （英语）.
^ Harkin, Oliver Knight and Christie. 'Baby Al Capone' Agrees to Pay $22M in AT&T SIM-Swap Case. www.coindesk.com. 2022-10-14 （英语）.
^ 研究：美國電信業者放任SIM卡偷換攻擊. iThome （中文（繁體））.
^ Lee, Kevin; Kaiser, Benjamin; Mayer, Jonathan; Narayanan, Arvind. An Empirical Study of Wireless Carrier Authentication for {SIM} Swaps: 61–79. 2020-08 （英语）.
^ 一支手機毀人生…電信、銀行、警方3大破口 SIM卡被盜存款蒸發. KO-IN 智高點. 2022-01-28 （中文（臺灣））.
^ 一支手機偷走我的人生. 商周. 2022-05-26 （中文（臺灣））.
^ Hurtz, Simon; Hoppenstedt, Max. Handynummer geleakt - was tun?. Süddeutsche.de （德语）.
^ AT&T Contractors and a Verizon Employee Charged With Helping SIM Swapping Criminal Ring. www.vice.com （英语）.

[1] SIM swapping attacks | CERT NZ. CERT NZ.

[2] Internet Crime Complaint Center (IC3) | Criminals Increasing SIM Swap Schemes to Steal Millions of Dollars from US Public. www.ic3.gov. 2022-02-08.

[3] Telegram FAQ. Telegram. Each phone number is a separate account on Telegram.

[4] Winters, Mike. This SIM card scam once fooled Jack Dorsey—here's how to avoid it. CNBC. 2022-02-19 （英语）.

[5] Tims, Anna. ‘Sim swap’ gives fraudsters access-all-areas via your mobile phone. The Guardian. 2015-09-26.

[6] Ebert, Bastian. eSIM Swapping - höhere Gefahr für eSIM Nutzer. eSIM - Alles Wissenswerte zu Handys, Tarifen und Technik. 2021-06-05 （de-de）.

[7] SIM Swap Fraud: 13 things you must know about this online banking scam. Gadgets Now （英语）.

[8] How Hijacked Cellphone Numbers Can Be Security Risks. npr. 2019-10-25.

[9] Onlinebanking: Neue Betrugsserie mit der mobilen Tan-Nummer. Süddeutsche Zeitung. 2014-08-14.

[10] Brandom, Russell. The frighteningly simple technique that hijacked Jack Dorsey’s Twitter account. The Verge. 2019-08-31.

[11] U.S. cryptocurrency investor sues suburban NYC teen for $71.4 million over alleged swindle. Reuters. 2020-05-07 （英语）.

[12] Harkin, Oliver Knight and Christie. 'Baby Al Capone' Agrees to Pay $22M in AT&T SIM-Swap Case. www.coindesk.com. 2022-10-14 （英语）.

[13] 研究：美國電信業者放任SIM卡偷換攻擊. iThome （中文（繁體））.

[14] Lee, Kevin; Kaiser, Benjamin; Mayer, Jonathan; Narayanan, Arvind. An Empirical Study of Wireless Carrier Authentication for {SIM} Swaps: 61–79. 2020-08 （英语）.

[15] 一支手機毀人生…電信、銀行、警方3大破口 SIM卡被盜存款蒸發. KO-IN 智高點. 2022-01-28 （中文（臺灣））.

[16] 一支手機偷走我的人生. 商周. 2022-05-26 （中文（臺灣））.

[17] Hurtz, Simon; Hoppenstedt, Max. Handynummer geleakt - was tun?. Süddeutsche.de （德语）.

[18] AT&T Contractors and a Verizon Employee Charged With Helping SIM Swapping Criminal Ring. www.vice.com （英语）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

www.wiki2.zh-cn.nina.az

SIM卡交換攻擊

目录

方法

案例

應對

相關條目

參考資料

法蘭西島區域鐵路

法蘭西島大區快鐵A線

法蘭西島大區快鐵B線

法蘭西島大區快鐵D線

法蘭西島大區快鐵E線

法蘭西斯科·佛朗哥

法蘭西斯科·哈維爾·德·波旁

法蘭西斯·培根

法蘭西斯·戴維斯·米萊特

法蘭西殖民帝國

領事轄區

領事館

領先者當選

領匯房地產信託基金

領土糾紛

文章