SIM卡交换攻击

SIM卡交换攻击(英语:SIM swap attack),又称SIM卡劫持,是透过冒用身份电信运营商提出申请,将被害者的电话号码从对方的SIM卡转移至攻击者的一种诈骗攻击手段。[1]攻击者可借此在被害者不知情的情况下,收取一次性密码并盗取网站账号与银行账户。

2022年初,联邦调查局对这种日渐猖獗的攻击手段提出警告,称旗下的网络犯罪投诉中心英语Internet Crime Complaint Center在2018年到2020年间共收到320件相关投诉、损失金额达1200万美元,但在2021年共收到1610件相关投诉、损失金额达6800万美元,是过去三年间的五倍以上。[2]

方法 编辑

这种攻击手段源自互联网的发展,许多在线服务开始以电话号码作为注册或登录账号的依据,而非使用电子邮件或让用户自行输入账号和密码。例如已有超过7亿用户使用的即时通信软件Telegram,在首次开启时便会要求输入电话号码。[3]

攻击者会从数据泄露事件中,或是透过网络钓鱼,获取被害者的身份证等详细个人资料。[4]此外,也能透过被害者公开的社交媒体获取姓名、出生年月日或地址等资料。[5]

随后,攻击者会借由这些信息冒充被害者,运用社交工程说服电信运营商将电话号码转移至自己的SIM卡上,例如声称自己弄丢了手机而需要进行转移。随着eSIM的出现,攻击者可以在在线完成申办和开通,让攻击变得更加容易。[6]印度,需要实体SIM卡上的20位号码才能进行转移,因此攻击者也会运用社交工程诱使被害者给出相关资料。[7]

一旦攻击者成功转移,攻击者便可以使用自己的设备接收被害者的电话和短信,从而收取一次性密码、绕过基于短信的双重认证。攻击者可以透过“忘记密码”功能重置密码并夺取被害者的网络服务账号,甚至进入被害者的银行账户或加密货币钱包盗取资产。[8]

案例 编辑

这种攻击手段于2014年即有案例。[9]近期较知名的案例是在2019年,Twitter联合创始人杰克·多西的Twitter账号被这种手段骇入,并在短时间内发布了大量种族歧视的推文。[10]

2018年,区块链新创公司Transform Group创办人Michael Terpin被盗取了价值2400万美元的加密货币,他随即起诉美国电信运营商AT&T未能充分保护用户安全,并求偿2.24亿美元;两年后,盗取其资产的一名纽约高中生被起诉,他在犯案时年仅15岁。目前,该名攻击者已表示愿意归还其盗取的资产,而对AT&T的求偿则被法院驳回。[11][12]

2020年,普林斯顿大学信息技术政策中心英语Center for Information Technology Policy的四位研究员发表了一份研究,他们在美国的五大电信运营商申办了共50张预付卡,再尝试对其进行攻击,结果有39张SIM卡成功转移,且有两家电信运营商完全未进行身份查核。研究中还测试了140个在线服务,其中有17个可以透过这种攻击手段来盗取账号。[13][14]

2022年1月,台湾出现首起攻击案例。攻击者绕过台湾相对严格的身份认证机制,冒用被害者的身份证和健保卡影本、出入境证明、委托书等资料,挂失SIM卡后盗取网络银行资产,更冒用身份申办信用卡、领取振兴五倍券和接种2019冠状病毒病疫苗[15][16]

应对 编辑

对民众而言,可以使用Google身份验证器这类的TOTP服务,取代原先基于短信的两步骤验证;此外防范网络钓鱼和网络诈骗的意识亦不可少。[17]

在企业方面,电信运营商也需要拟定更完整的身份查核机制,并进行教育训练,防止业者员工收贿协助进行攻击。[18]

相关条目 编辑

参考资料 编辑

  1. ^ SIM swapping attacks | CERT NZ. CERT NZ. [2023-02-25]. (原始内容存档于2023-03-28). 
  2. ^ Internet Crime Complaint Center (IC3) | Criminals Increasing SIM Swap Schemes to Steal Millions of Dollars from US Public. www.ic3.gov. 2022-02-08 [2023-02-25]. (原始内容存档于2023-05-03). 
  3. ^ Telegram FAQ. Telegram. [2023-02-25]. (原始内容存档于2014-02-09). Each phone number is a separate account on Telegram. 
  4. ^ Winters, Mike. This SIM card scam once fooled Jack Dorsey—here's how to avoid it. CNBC. 2022-02-19 [2023-02-25]. (原始内容存档于2023-03-06) (英语). 
  5. ^ Tims, Anna. ‘Sim swap’ gives fraudsters access-all-areas via your mobile phone. The Guardian. 2015-09-26 [2023-02-25]. (原始内容存档于2023-05-03). 
  6. ^ Ebert, Bastian. eSIM Swapping - höhere Gefahr für eSIM Nutzer. eSIM - Alles Wissenswerte zu Handys, Tarifen und Technik. 2021-06-05 [2023-02-25]. (原始内容存档于2023-03-23) (de-de). 
  7. ^ SIM Swap Fraud: 13 things you must know about this online banking scam. Gadgets Now. [2023-02-25]. (原始内容存档于2023-03-06) (英语). 
  8. ^ How Hijacked Cellphone Numbers Can Be Security Risks. npr. 2019-10-25 [2023-02-25]. (原始内容存档于2023-04-10). 
  9. ^ Onlinebanking: Neue Betrugsserie mit der mobilen Tan-Nummer. Süddeutsche Zeitung. 2014-08-14 [2023-02-25]. (原始内容存档于2023-02-25). 
  10. ^ Brandom, Russell. The frighteningly simple technique that hijacked Jack Dorsey’s Twitter account. The Verge. 2019-08-31 [2023-02-25]. (原始内容存档于2023-03-31). 
  11. ^ U.S. cryptocurrency investor sues suburban NYC teen for $71.4 million over alleged swindle. Reuters. 2020-05-07 [2023-02-25]. (原始内容存档于2023-03-06) (英语). 
  12. ^ Harkin, Oliver Knight and Christie. 'Baby Al Capone' Agrees to Pay $22M in AT&T SIM-Swap Case. www.coindesk.com. 2022-10-14 [2023-02-25]. (原始内容存档于2023-03-29) (英语). 
  13. ^ 研究:美國電信業者放任SIM卡偷換攻擊. iThome. [2023-02-25]. (原始内容存档于2023-02-25) (中文(繁体)). 
  14. ^ Lee, Kevin; Kaiser, Benjamin; Mayer, Jonathan; Narayanan, Arvind. An Empirical Study of Wireless Carrier Authentication for {SIM} Swaps: 61–79. 2020-08 (英语). 
  15. ^ 一支手機毀人生…電信、銀行、警方3大破口 SIM卡被盜存款蒸發. KO-IN 智高点. 2022-01-28 [2023-02-25]. (原始内容存档于2022-07-23) (中文(台湾)). 
  16. ^ 一支手機偷走我的人生. 商周. 2022-05-26 [2023-02-25]. (原始内容存档于2023-02-25) (中文(台湾)). 
  17. ^ Hurtz, Simon; Hoppenstedt, Max. Handynummer geleakt - was tun?. Süddeutsche.de. [2023-02-25]. (原始内容存档于2023-02-25) (德语). 
  18. ^ AT&T Contractors and a Verizon Employee Charged With Helping SIM Swapping Criminal Ring. www.vice.com. [2023-02-25]. (原始内容存档于2023-05-15) (英语).