你該擔心 SIM 卡挾持攻擊 (SIM Swapping) 嗎?實測臺灣三大電信商 PUK 的驗證機制
更新於 2023/06/05閱讀時間約 8 分鐘
無論是線上匯款、帳戶申辦,還是購物結帳,你可能常常有「接收並輸入手機驗證碼」的經驗。而在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 雖然台灣較不容易發生 SIM Swapping 攻擊,但還是有其他類似的攻擊可能發生在你我周遭
什麼是 SIM 卡挾持攻擊 (SIM Swapping)?
SIM 卡挾持攻擊 (Sim Swapping),中文又稱 SIM 卡交換攻擊,是國外流行多年的詐騙手法。攻擊者透過各種方式偷竊你的手機號碼後,便能夠接收所有與受害者相關的簡訊、電話和驗證碼,進而對受害者的帳戶進行攻擊或是濫用。常見作法像是欺騙電信公司,將受害者的手機號碼轉移到攻擊者的 SIM 卡上。畢竟,在攻擊流程中,防守最薄弱的關卡通常是電信公司的客服。由於客服只會進行最基本的資訊確認,用來驗證是否為當事人的方式較少,因此攻擊者只要事先知道客服會詢問的問題,就能做好準備通過驗證。
根據 FBI 統計,美國地區光是 2021 年就有 6800 萬美元的損失與 SIM 卡挾持攻擊有關。但其實不只有歐洲、美國發生過這類型的攻擊,在非洲地區如肯亞等國家,這類攻擊依舊流行。
SIM 卡挾持攻擊在台灣
得利於臺灣的不便利性(?),一般人得用雙證件才能拿到實體的 SIM 卡,若要開通 eSIM(虛擬 SIM 卡) 則需多花錢,掛失 eSIM 、eSIM 更換手機目前大部分電信都還是需要去門市,這些因素使得臺灣較少 SIM 卡挾持攻擊的案例,至少我在撰寫這篇文章時,臺灣類似的案例新聞屈指可數。雖然有一篇標題聳動的新聞報導〈被盜SIM卡竟毀一生 被害人百萬存款蒸發〉,但有趣的是,我找不到當事人有告電信商的紀錄。
不過轉捩點即將到來。隨著近幾個月各大電信商,例如中華電信、台灣大哥大也在逐步釋出 eSIM 的線上申辦服務,如果這方面的驗證機制不夠完善,很有可能讓類似的攻擊在臺灣流行起來。
我又不是用 eSIM,這樣我還需要注意什麼?
目前的時空背景下,台灣人還是要小心實體 SIM 卡小偷。如同這個新聞案例〈當心!小偷鎖定健身房置物櫃...掉包手機SIM卡 收取驗證碼盜刷16萬〉,小偷其實很清楚他沒辦法直接破解你的手機解鎖密碼,因此他會取而代之地翻拍你的信用卡與個資,並把 SIM 卡偷走。而大多數的人並沒有修改 SIM 卡的預設 PIN 碼,讓小偷能輕而易舉地用 SIM 卡接受手機驗證盜刷信用卡。
可是,修改了 SIM 卡的預設 PIN 碼,這樣我就安全了嗎?
PIN 碼的第二道防線:PUK 碼
如果你曾經多次輸入錯誤 SIM 卡的 PIN 碼,你會被要求輸入 PUK 碼 (Personal Identification Number Unlock Key),此碼又被稱為「個人解鎖碼」,輸入之後就能重設 SIM 卡密碼。目前在臺灣,基本上都要跟電信商聯絡才能獲得你的 PUK 碼。
實測臺灣三大電信商 PUK 的驗證機制
如前所述,在國外的經驗中,防守最薄弱的關卡通常是電信公司的客服。那我們就來實測臺灣三大電信商的驗證機制(中華電信、遠傳電信、台灣大哥大)。
實體客服
針對實體客服,我並沒有設計詳細的測試流程,並交叉測試不同情境(例如回答錯誤會發生什麼事)。只是打去實體客服說要獲得 PUK 碼並藉此了解客服會問什麼樣的驗證問題,結果我面對的驗證問題基本上都過於簡單,像是身分證字號、生日號碼等,以及一些二選一就能回答的題目,例如我當下被問有沒有第二支門號(答案顯然只會有是或否)。這些問題都十分簡單,只要擁有你的個資就能輕易回答(而現在全臺灣詐騙集團應該都有大家的基本個資了)。
不過對實體客服來說,「驗證」本來就是一個兩難的問題。驗證問題太多客戶會不耐煩,驗證問題太少又會安全性不足,需要電信商仔細斟酌。
線上查詢
除了實體客服,現在三大電信商都支援線上查詢 PUK 碼。這對於無法打電話的人士來說,實在是一件非常友善貼心的服務。
但各大電信商提供的線上查詢方式安全嗎?以下是實際使用各家系統的實測:
- 台灣大哥大:要會員登入後才能查詢
- 遠傳電信:線上會員才能進行查詢,查詢時需輸入 SIM 卡序號末四碼(需查看實體 SIM 卡或是購買時裝載實體 SIM 卡的那張塑膠卡片)
- 中華電信:輸入身分證字號與手機號碼即可查詢
如上,兩間電信(台灣大哥大、遠傳電信)是將責任轉嫁到使用者身上,讓使用者輸入自己的會員密碼後登入做查詢。其實這做法對雙方來說都較為安全,畢竟帳號密碼本來就是驗證身份的管道之一,只要兩造雙方保護好帳密,理論上就能達成驗證的效果。除此之外,遠傳電信又多加了一道「輸入 SIM 卡序號」的關卡,雖然對使用者來說還要確認實體 SIM 卡稍微麻煩,但無疑增加了安全性。
相較之下,中華電信只依靠電話號碼與身分證字號便能查詢 PUK 碼,對攻擊者來說獲取門檻極低。以全臺灣身分證已經被洩漏過一輪的現況來看,我相信詐騙集團與各式犯罪分子手邊很可能都已經有一份個資,只依靠身分證號碼做驗證風險極高,希望中華電信之後能夠改善。
消費者如何防範 SIM 卡挾持攻擊?
- 務必更換 SIM 卡 PIN 碼,不要用預設密碼
- 定期檢查帳戶的異常活動,是否有你不認識的裝置或是來源登入
- 重要帳號盡可能地避免使用手機號碼作為雙因素驗證管道,也就是用手機收簡訊做驗證
- 使用密碼管理器並使用雙因素身份驗證,尤其是隨著臺灣逐步開放 eSIM 線上申辦,這是便利且環保的好事,但使用者同時也必須保管好自己的帳號密碼
- 如果你用的是美國的電話號碼,且有保護自己的需求,你可以參考像是 EFANI 這種資安服務,將資安公司當作你與電信商之間的中介,並透過中介進行手機的設定。由於原本被存放在電信商端的個資會改成由資安公司持有,所以攻擊者沒辦法透過電信商端重設 PUK 或是透過社交工程進行 SIM 卡挾持攻擊,而且安全責任被轉嫁到這間資安公司,如果真的發生資安事件,還會由這間資安公司進行資安險理賠,這是一個很有趣的商業模式。
如果已經成為 SIM 卡挾持攻擊的受害者,該怎麼辦?
- 立即通知電信公司,待在門市盡速處理好避免你的電話持續被利用
- 通知銀行你被竊取身份,暫時停止相關交易
- 同時確認電子信箱等其他裝置或服務是否有被竊取或是異常登入,因為一般來說很多裝置或服務都可以透過簡訊重設密碼
- 檢查有跟手機號碼綁定的服務是否發生異常
結論
SIM 卡挾持攻擊是一種嚴重的詐騙手法。雖然台灣較不容易發生 SIM 卡挾持攻擊(SIM Swapping 攻擊),但還是有其他類似的攻擊可能發生在你我周遭,在臺灣,雖然因為電信商開放速度緩慢,加上門市眾多且所有手續都要到門市實體辦理,讓這種手法較難發生。但實體 SIM 卡竊取並藉此盜刷的案例還是層出不窮,而 eSIM 開放也是大勢所趨(畢竟 eSIM 是真的方便許多),希望臺灣逐步開放的同時,電信商能夠借鑒國外的經驗並參考現行的缺失(如同我們實測的 PUK 驗證流程),調整業務流程,在資安與便利中間取得平衡點。
對於消費者的我們來說,也可以透過一些簡單的方法來避免成為受害者,希望各位看完這篇有所啟發。
順帶一提,撰寫這篇文章的時候,我也看了許多詐騙集團的人頭判決書而感到難過。每年都有人無知或是一時貪婪為了幾千塊或是幾萬塊,販賣自己的手機號碼與銀行帳號。然而,由於抓不到詐騙集團,這些販賣人頭號碼與帳號的人最後卻轉而被求償數十萬或數百萬的金額,之後有機會可能也會花一些時間撰寫這方面的文章。
參考文章
為什麼會看到廣告
22會員
9內容數
分享對於資訊安全的分析和評(吐)論(嘈),趨勢觀察、技術分析、觀點評論、科普教育,除了特別專業的網路安全分享,也會穿插一些科普文章與實體安全討論,歡迎分享給你的親朋好友,畢竟多了解一些安全也就多一份保障。
留言0
查看全部
你可能也想看
Google News 追蹤
*合作聲明與警語:
本文係由國泰世華銀行邀稿。
證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。
剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
公職放榜之後,初任公職者一定會有很多親戚朋友(同學、以前同事、嬸嬸、阿姨、姑姑…之類的)在做保險業務,會以請你吃飯名義,實際上要你買儲蓄險或投資型保單,我不是說這個東西不好不能買,而是你在買之前要評估自己在近3~6年內會不會有大額度的支出,例如:買房、買車、或是結婚、出國唸書…之類的。
一旦
當看似性別平等,自我追求的提升,新科技的發展,學歷與工作的追求等,卻也讓我們要找到合適的另一半變的越來越困難,隨著年紀的增長,我們對於另一半的要求卻開始減少,從我希望他有什麼什麼樣的特質…到希望他不要有什麼什麼樣的壞習慣就好。
你可能不知道,建立一個電子郵件清單是一個非常強大和有效的網路行銷策略。它可以幫助你:
- 用自動化的銷售漏斗來預測和增加你的收入
- 用產品更新來培養還沒下定決心的用戶
- 用分段的折扣來吸引有預算限制的用戶
- 用新產品發佈來獲得更多的支持和關注
在我們的生活中,每個人都會面臨健康問題,具備大小。當我們感到不滿足或需要醫療幫助時,通常首先要面對的問題是:我應該掛哪個醫院的哪個科室呢?這個問題可能讓人們感到困惑,因為醫院通常擁有多個不同的就診科室,每個科室都專注於不同的健康領域。做出明智的選擇以獲得合適的醫療護理至關重要。常常有人諮詢我,以下是
你是否曾經覺得自己太認真了,而忘了享受生活的樂趣?你是否曾經因為太在乎別人的看法,而壓抑了自己的真實感受?你是否曾經因為太想要做到完美,而失去了創造力和靈感?如果你的答案是肯定的,那麼你可能需要學習一個新的生活哲學:認真就輸了。
因應現今婚禮簡單化,大多新人會選擇結婚登記,或者因為疫情,只有簡單家宴為主,所以會有準新人問新北婚紗攝影之OKOH團隊婚禮攝影及紀錄該怎麼拍?會不會沒有東西可以拍啊?但對新北婚紗攝影之OKOH團隊來說把婚禮拍好是婚禮攝影師該做的職責。
拍婚紗照前務必要花時間與婚紗攝影師溝通!如何快速的將想法告知攝影師,搞懂婚紗照的風格就很重要。另外拍攝當天要怎麼擺姿勢,除了交給專業的攝影師外,也可以自行做點功課,可以更快速地進入狀況唷!
TIP:這一系列考驗的是攝影師引導的功力、或是新人隊友彼此的助攻能力,攝影
再十天我的大兒子就要滿18歲了,這點讓我有點緊張也有點期待。
青少年總是把自己的青春看得很重,比如說他如果覺得學測不重要,你也沒辦法改變他的觀點。又或是昨天外婆說他遇到長輩很吝於大聲稱呼,以後對他出社會要討人喜愛有負面影響,他並沒有認同大聲叫出長輩的稱謂是基本社會禮節,然後我勸導他的對話就“句點”了
X 是一個在目標執行上風格跟我很不一樣的朋友,在一天悠閒午後的閒聊中,X 提到當有計劃之外的空閑時間或是假日時,就會特別想要跑出去玩,又或者是盯著手機滑整天,一不小心時間就過去了。
有時候想要做點什麼,閒下來時卻又突然不知道該幹嘛、腦筋一片空白,朋友 X 對此感到特別的煩惱。
關於我:
*合作聲明與警語:
本文係由國泰世華銀行邀稿。
證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。
剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
公職放榜之後,初任公職者一定會有很多親戚朋友(同學、以前同事、嬸嬸、阿姨、姑姑…之類的)在做保險業務,會以請你吃飯名義,實際上要你買儲蓄險或投資型保單,我不是說這個東西不好不能買,而是你在買之前要評估自己在近3~6年內會不會有大額度的支出,例如:買房、買車、或是結婚、出國唸書…之類的。
一旦
當看似性別平等,自我追求的提升,新科技的發展,學歷與工作的追求等,卻也讓我們要找到合適的另一半變的越來越困難,隨著年紀的增長,我們對於另一半的要求卻開始減少,從我希望他有什麼什麼樣的特質…到希望他不要有什麼什麼樣的壞習慣就好。
你可能不知道,建立一個電子郵件清單是一個非常強大和有效的網路行銷策略。它可以幫助你:
- 用自動化的銷售漏斗來預測和增加你的收入
- 用產品更新來培養還沒下定決心的用戶
- 用分段的折扣來吸引有預算限制的用戶
- 用新產品發佈來獲得更多的支持和關注
在我們的生活中,每個人都會面臨健康問題,具備大小。當我們感到不滿足或需要醫療幫助時,通常首先要面對的問題是:我應該掛哪個醫院的哪個科室呢?這個問題可能讓人們感到困惑,因為醫院通常擁有多個不同的就診科室,每個科室都專注於不同的健康領域。做出明智的選擇以獲得合適的醫療護理至關重要。常常有人諮詢我,以下是
你是否曾經覺得自己太認真了,而忘了享受生活的樂趣?你是否曾經因為太在乎別人的看法,而壓抑了自己的真實感受?你是否曾經因為太想要做到完美,而失去了創造力和靈感?如果你的答案是肯定的,那麼你可能需要學習一個新的生活哲學:認真就輸了。
因應現今婚禮簡單化,大多新人會選擇結婚登記,或者因為疫情,只有簡單家宴為主,所以會有準新人問新北婚紗攝影之OKOH團隊婚禮攝影及紀錄該怎麼拍?會不會沒有東西可以拍啊?但對新北婚紗攝影之OKOH團隊來說把婚禮拍好是婚禮攝影師該做的職責。
拍婚紗照前務必要花時間與婚紗攝影師溝通!如何快速的將想法告知攝影師,搞懂婚紗照的風格就很重要。另外拍攝當天要怎麼擺姿勢,除了交給專業的攝影師外,也可以自行做點功課,可以更快速地進入狀況唷!
TIP:這一系列考驗的是攝影師引導的功力、或是新人隊友彼此的助攻能力,攝影
再十天我的大兒子就要滿18歲了,這點讓我有點緊張也有點期待。
青少年總是把自己的青春看得很重,比如說他如果覺得學測不重要,你也沒辦法改變他的觀點。又或是昨天外婆說他遇到長輩很吝於大聲稱呼,以後對他出社會要討人喜愛有負面影響,他並沒有認同大聲叫出長輩的稱謂是基本社會禮節,然後我勸導他的對話就“句點”了
X 是一個在目標執行上風格跟我很不一樣的朋友,在一天悠閒午後的閒聊中,X 提到當有計劃之外的空閑時間或是假日時,就會特別想要跑出去玩,又或者是盯著手機滑整天,一不小心時間就過去了。
有時候想要做點什麼,閒下來時卻又突然不知道該幹嘛、腦筋一片空白,朋友 X 對此感到特別的煩惱。
關於我: