SIM卡交換攻擊
SIM卡交換攻擊(英語:SIM swap attack),又稱SIM卡劫持,是透過冒用身份向電訊供應商提出申請,將被害者的電話號碼從對方的SIM卡轉移至攻擊者的一種詐騙攻擊手段。[1]攻擊者可藉此在被害者不知情的情況下,收取一次性密碼並盜取網站帳號與銀行帳戶。
2022年初,聯邦調查局對這種日漸猖獗的攻擊手段提出警告,稱旗下的網絡犯罪投訴中心在2018年到2020年間共收到320件相關投訴、損失金額達1200萬美元,但在2021年共收到1610件相關投訴、損失金額達6800萬美元,是過去三年間的五倍以上。[2]
方法
這種攻擊手段源自互聯網的發展,許多線上服務開始以電話號碼作為註冊或登入帳號的依據,而非使用電子郵件或讓用戶自行輸入帳號和密碼。例如已有超過7億用戶使用的即時通訊軟件Telegram,在首次開啟時便會要求輸入電話號碼。[3]
攻擊者會從數據泄露事件中,或是透過網絡釣魚,取得被害者的身份證等詳細個人資料。[4]此外,也能透過被害者公開的社交媒體取得姓名、出生年月日或地址等資料。[5]
隨後,攻擊者會藉由這些資訊冒充被害者,運用社交工程說服電訊供應商將電話號碼轉移至自己的SIM卡上,例如聲稱自己弄丟了手機而需要進行轉移。隨着eSIM的出現,攻擊者可以在線上完成申辦和開通,讓攻擊變得更加容易。[6]在印度,需要實體SIM卡上的20位號碼才能進行轉移,因此攻擊者也會運用社交工程誘使被害者給出相關資料。[7]
一旦攻擊者成功轉移,攻擊者便可以使用自己的裝置接收被害者的電話和短訊,從而收取一次性密碼、繞過基於短訊的雙重認證。攻擊者可以透過「忘記密碼」功能重設密碼並奪取被害者的網絡服務帳號,甚至進入被害者的銀行帳戶或加密貨幣錢包盜取資產。[8]
案例
這種攻擊手段於2014年即有案例。[9]近期較知名的案例是在2019年,Twitter聯合創始人傑克·多西的Twitter帳號被這種手段駭入,並在短時間內發佈了大量種族歧視的推文。[10]
2018年,區塊鏈新創公司Transform Group創辦人Michael Terpin被盜取了價值2400萬美元的加密貨幣,他隨即起訴美國電訊供應商AT&T未能充分保護用戶安全,並求償2.24億美元;兩年後,盜取其資產的一名紐約高中生被起訴,他在犯案時年僅15歲。目前,該名攻擊者已表示願意歸還其盜取的資產,而對AT&T的求償則被法院駁回。[11][12]
2020年,普林斯頓大學資訊科技政策中心的四位研究員發表了一份研究,他們在美國的五大電訊供應商申辦了共50張預付卡,再嘗試對其進行攻擊,結果有39張SIM卡成功轉移,且有兩家電訊供應商完全未進行身份查核。研究中還測試了140個線上服務,其中有17個可以透過這種攻擊手段來盜取帳號。[13][14]
2022年1月,台灣出現首起攻擊案例。攻擊者繞過台灣相對嚴格的身份認證機制,冒用被害者的身份證和健保卡影本、出入境證明、委託書等資料,掛失SIM卡後盜取網絡銀行資產,更冒用身份申辦信用卡、領取振興五倍券和接種2019冠狀病毒病疫苗。[15][16]
應對
對民眾而言,可以使用Google身份驗證器這類的TOTP服務,取代原先基於短訊的兩步驟驗證;此外防範網絡釣魚和網絡詐騙的意識亦不可少。[17]
在企業方面,電訊供應商也需要擬定更完整的身份查核機制,並進行教育訓練,防止業者員工收賄協助進行攻擊。[18]
相關條目
參考資料
- ^ SIM swapping attacks | CERT NZ. CERT NZ. [2023-02-25]. (原始內容存檔於2023-03-28).
- ^ Internet Crime Complaint Center (IC3) | Criminals Increasing SIM Swap Schemes to Steal Millions of Dollars from US Public. www.ic3.gov. 2022-02-08 [2023-02-25]. (原始內容存檔於2023-05-03).
- ^ Telegram FAQ. Telegram. [2023-02-25]. (原始內容存檔於2014-02-09).
Each phone number is a separate account on Telegram.
- ^ Winters, Mike. This SIM card scam once fooled Jack Dorsey—here's how to avoid it. CNBC. 2022-02-19 [2023-02-25]. (原始內容存檔於2023-03-06) (英語).
- ^ Tims, Anna. ‘Sim swap’ gives fraudsters access-all-areas via your mobile phone. The Guardian. 2015-09-26 [2023-02-25]. (原始內容存檔於2023-05-03).
- ^ Ebert, Bastian. eSIM Swapping - höhere Gefahr für eSIM Nutzer. eSIM - Alles Wissenswerte zu Handys, Tarifen und Technik. 2021-06-05 [2023-02-25]. (原始內容存檔於2023-03-23) (de-de).
- ^ SIM Swap Fraud: 13 things you must know about this online banking scam. Gadgets Now. [2023-02-25]. (原始內容存檔於2023-03-06) (英語).
- ^ How Hijacked Cellphone Numbers Can Be Security Risks. npr. 2019-10-25 [2023-02-25]. (原始內容存檔於2023-04-10).
- ^ Onlinebanking: Neue Betrugsserie mit der mobilen Tan-Nummer. Süddeutsche Zeitung. 2014-08-14 [2023-02-25]. (原始內容存檔於2023-02-25).
- ^ Brandom, Russell. The frighteningly simple technique that hijacked Jack Dorsey’s Twitter account. The Verge. 2019-08-31 [2023-02-25]. (原始內容存檔於2023-03-31).
- ^ U.S. cryptocurrency investor sues suburban NYC teen for $71.4 million over alleged swindle. Reuters. 2020-05-07 [2023-02-25]. (原始內容存檔於2023-03-06) (英語).
- ^ Harkin, Oliver Knight and Christie. 'Baby Al Capone' Agrees to Pay $22M in AT&T SIM-Swap Case. www.coindesk.com. 2022-10-14 [2023-02-25]. (原始內容存檔於2023-03-29) (英語).
- ^ 研究:美國電信業者放任SIM卡偷換攻擊. iThome. [2023-02-25]. (原始內容存檔於2023-02-25) (中文(繁體)).
- ^ Lee, Kevin; Kaiser, Benjamin; Mayer, Jonathan; Narayanan, Arvind. An Empirical Study of Wireless Carrier Authentication for {SIM} Swaps: 61–79. 2020-08 (英語).
- ^ 一支手機毀人生…電信、銀行、警方3大破口 SIM卡被盜存款蒸發. KO-IN 智高點. 2022-01-28 [2023-02-25]. (原始內容存檔於2022-07-23) (中文(臺灣)).
- ^ 一支手機偷走我的人生. 商周. 2022-05-26 [2023-02-25]. (原始內容存檔於2023-02-25) (中文(臺灣)).
- ^ Hurtz, Simon; Hoppenstedt, Max. Handynummer geleakt - was tun?. Süddeutsche.de. [2023-02-25]. (原始內容存檔於2023-02-25) (德語).
- ^ AT&T Contractors and a Verizon Employee Charged With Helping SIM Swapping Criminal Ring. www.vice.com. [2023-02-25]. (原始內容存檔於2023-05-15) (英語).