SIM卡交換攻擊

SIM卡交換攻擊(英語:SIM swap attack),又稱SIM卡劫持,是透過冒用身分電信業者提出申請,將被害者的電話號碼從對方的SIM卡轉移至攻擊者的一種詐騙攻擊手段。[1]攻擊者可藉此在被害者不知情的情況下,收取一次性密碼並盜取網站帳號與銀行帳戶。

2022年初,聯邦調查局對這種日漸猖獗的攻擊手段提出警告,稱旗下的網路犯罪投訴中心英語Internet Crime Complaint Center在2018年到2020年間共收到320件相關投訴、損失金額達1200萬美元,但在2021年共收到1610件相關投訴、損失金額達6800萬美元,是過去三年間的五倍以上。[2]

方法

編輯

這種攻擊手段源自網際網路的發展,許多線上服務開始以電話號碼作為註冊或登入帳號的依據,而非使用電子郵件或讓使用者自行輸入帳號和密碼。例如已有超過7億使用者使用的即時通訊軟體Telegram,在首次開啟時便會要求輸入電話號碼。[3]

攻擊者會從資料洩露事件中,或是透過網路釣魚,取得被害者的身分證等詳細個人資料。[4]此外,也能透過被害者公開的社群媒體取得姓名、出生年月日或位址等資料。[5]

隨後,攻擊者會藉由這些資訊冒充被害者,運用社交工程說服電信業者將電話號碼轉移至自己的SIM卡上,例如聲稱自己弄丟了手機而需要進行轉移。隨著eSIM的出現,攻擊者可以在線上完成申辦和開通,讓攻擊變得更加容易。[6]印度,需要實體SIM卡上的20位號碼才能進行轉移,因此攻擊者也會運用社交工程誘使被害者給出相關資料。[7]

一旦攻擊者成功轉移,攻擊者便可以使用自己的裝置接收被害者的電話和簡訊,從而收取一次性密碼、繞過基於簡訊的雙重認證。攻擊者可以透過「忘記密碼」功能重設密碼並奪取被害者的網路服務帳號,甚至進入被害者的銀行帳戶或加密貨幣錢包盜取資產。[8]

案例

編輯

這種攻擊手段於2014年即有案例。[9]近期較知名的案例是在2019年,Twitter聯合創始人傑克·多西的Twitter帳號被這種手段駭入,並在短時間內發布了大量種族歧視的推文。[10]

2018年,區塊鏈新創公司Transform Group創辦人Michael Terpin被盜取了價值2400萬美元的加密貨幣,他隨即起訴美國電信業者AT&T未能充分保護使用者安全,並求償2.24億美元;兩年後,盜取其資產的一名紐約高中生被起訴,他在犯案時年僅15歲。目前,該名攻擊者已表示願意歸還其盜取的資產,而對AT&T的求償則被法院駁回。[11][12]

2020年,普林斯頓大學資訊科技政策中心英語Center for Information Technology Policy的四位研究員發表了一份研究,他們在美國的五大電信業者申辦了共50張預付卡,再嘗試對其進行攻擊,結果有39張SIM卡成功轉移,且有兩家電信業者完全未進行身分查核。研究中還測試了140個線上服務,其中有17個可以透過這種攻擊手段來盜取帳號。[13][14]

2022年1月,台灣出現首起攻擊案例。攻擊者繞過台灣相對嚴格的身分認證機制,冒用被害者的身分證和健保卡影本、出入境證明、委託書等資料,掛失SIM卡後盜取網路銀行資產,更冒用身分申辦信用卡、領取振興五倍券和接種嚴重特殊傳染性肺炎疫苗[15][16]

應對

編輯

對民眾而言,可以使用Google身分驗證器這類的TOTP服務,取代原先基於簡訊的兩步驟驗證;此外防範網路釣魚和網路詐騙的意識亦不可少。[17]

在企業方面,電信業者也需要擬定更完整的身分查核機制,並進行教育訓練,防止業者員工收賄協助進行攻擊。[18]

相關條目

編輯

參考資料

編輯
  1. ^ SIM swapping attacks | CERT NZ. CERT NZ. [2023-02-25]. (原始內容存檔於2023-03-28). 
  2. ^ Internet Crime Complaint Center (IC3) | Criminals Increasing SIM Swap Schemes to Steal Millions of Dollars from US Public. www.ic3.gov. 2022-02-08 [2023-02-25]. (原始內容存檔於2023-05-03). 
  3. ^ Telegram FAQ. Telegram. [2023-02-25]. (原始內容存檔於2014-02-09). Each phone number is a separate account on Telegram. 
  4. ^ Winters, Mike. This SIM card scam once fooled Jack Dorsey—here's how to avoid it. CNBC. 2022-02-19 [2023-02-25]. (原始內容存檔於2023-03-06) (英語). 
  5. ^ Tims, Anna. ‘Sim swap’ gives fraudsters access-all-areas via your mobile phone. The Guardian. 2015-09-26 [2023-02-25]. (原始內容存檔於2023-05-03). 
  6. ^ Ebert, Bastian. eSIM Swapping - höhere Gefahr für eSIM Nutzer. eSIM - Alles Wissenswerte zu Handys, Tarifen und Technik. 2021-06-05 [2023-02-25]. (原始內容存檔於2023-03-23) (de-de). 
  7. ^ SIM Swap Fraud: 13 things you must know about this online banking scam. Gadgets Now. [2023-02-25]. (原始內容存檔於2023-03-06) (英語). 
  8. ^ How Hijacked Cellphone Numbers Can Be Security Risks. npr. 2019-10-25 [2023-02-25]. (原始內容存檔於2023-04-10). 
  9. ^ Onlinebanking: Neue Betrugsserie mit der mobilen Tan-Nummer. Süddeutsche Zeitung. 2014-08-14 [2023-02-25]. (原始內容存檔於2023-02-25). 
  10. ^ Brandom, Russell. The frighteningly simple technique that hijacked Jack Dorsey’s Twitter account. The Verge. 2019-08-31 [2023-02-25]. (原始內容存檔於2023-03-31). 
  11. ^ U.S. cryptocurrency investor sues suburban NYC teen for $71.4 million over alleged swindle. Reuters. 2020-05-07 [2023-02-25]. (原始內容存檔於2023-03-06) (英語). 
  12. ^ Harkin, Oliver Knight and Christie. 'Baby Al Capone' Agrees to Pay $22M in AT&T SIM-Swap Case. www.coindesk.com. 2022-10-14 [2023-02-25]. (原始內容存檔於2023-03-29) (英語). 
  13. ^ 研究:美國電信業者放任SIM卡偷換攻擊. iThome. [2023-02-25]. (原始內容存檔於2023-02-25) (中文(繁體)). 
  14. ^ Lee, Kevin; Kaiser, Benjamin; Mayer, Jonathan; Narayanan, Arvind. An Empirical Study of Wireless Carrier Authentication for {SIM} Swaps: 61–79. 2020-08 (英語). 
  15. ^ 一支手機毀人生…電信、銀行、警方3大破口 SIM卡被盜存款蒸發. KO-IN 智高點. 2022-01-28 [2023-02-25]. (原始內容存檔於2022-07-23) (中文(臺灣)). 
  16. ^ 一支手機偷走我的人生. 商周. 2022-05-26 [2023-02-25]. (原始內容存檔於2023-02-25) (中文(臺灣)). 
  17. ^ Hurtz, Simon; Hoppenstedt, Max. Handynummer geleakt - was tun?. Süddeutsche.de. [2023-02-25]. (原始內容存檔於2023-02-25) (德語). 
  18. ^ AT&T Contractors and a Verizon Employee Charged With Helping SIM Swapping Criminal Ring. www.vice.com. [2023-02-25]. (原始內容存檔於2023-05-15) (英語).