你該擔心 SIM 卡挾持攻擊 (SIM Swapping) 嗎?實測臺灣三大電信商 PUK 的驗證機制

更新於 發佈於 閱讀時間約 8 分鐘
無論是線上匯款、帳戶申辦,還是購物結帳,你可能常常有「接收並輸入手機驗證碼」的經驗。而在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 雖然台灣較不容易發生 SIM Swapping 攻擊,但還是有其他類似的攻擊可能發生在你我周遭

什麼是 SIM 卡挾持攻擊 (SIM Swapping)?

SIM 卡挾持攻擊 (Sim Swapping),中文又稱 SIM 卡交換攻擊,是國外流行多年的詐騙手法。攻擊者透過各種方式偷竊你的手機號碼後,便能夠接收所有與受害者相關的簡訊、電話和驗證碼,進而對受害者的帳戶進行攻擊或是濫用。常見作法像是欺騙電信公司,將受害者的手機號碼轉移到攻擊者的 SIM 卡上。畢竟,在攻擊流程中,防守最薄弱的關卡通常是電信公司的客服。由於客服只會進行最基本的資訊確認,用來驗證是否為當事人的方式較少,因此攻擊者只要事先知道客服會詢問的問題,就能做好準備通過驗證。
根據 FBI 統計,美國地區光是 2021 年就有 6800 萬美元的損失與 SIM 卡挾持攻擊有關。但其實不只有歐洲、美國發生過這類型的攻擊,在非洲地區如肯亞等國家,這類攻擊依舊流行。

SIM 卡挾持攻擊在台灣

得利於臺灣的不便利性(?),一般人得用雙證件才能拿到實體的 SIM 卡,若要開通 eSIM(虛擬 SIM 卡) 則需多花錢,掛失 eSIM 、eSIM 更換手機目前大部分電信都還是需要去門市,這些因素使得臺灣較少 SIM 卡挾持攻擊的案例,至少我在撰寫這篇文章時,臺灣類似的案例新聞屈指可數。雖然有一篇標題聳動的新聞報導〈被盜SIM卡竟毀一生 被害人百萬存款蒸發〉,但有趣的是,我找不到當事人有告電信商的紀錄。
不過轉捩點即將到來。隨著近幾個月各大電信商,例如中華電信、台灣大哥大也在逐步釋出 eSIM 的線上申辦服務,如果這方面的驗證機制不夠完善,很有可能讓類似的攻擊在臺灣流行起來。

我又不是用 eSIM,這樣我還需要注意什麼?

目前的時空背景下,台灣人還是要小心實體 SIM 卡小偷。如同這個新聞案例〈當心!小偷鎖定健身房置物櫃...掉包手機SIM卡 收取驗證碼盜刷16萬〉,小偷其實很清楚他沒辦法直接破解你的手機解鎖密碼,因此他會取而代之地翻拍你的信用卡與個資,並把 SIM 卡偷走。而大多數的人並沒有修改 SIM 卡的預設 PIN 碼,讓小偷能輕而易舉地用 SIM 卡接受手機驗證盜刷信用卡。
可是,修改了 SIM 卡的預設 PIN 碼,這樣我就安全了嗎?

PIN 碼的第二道防線:PUK 碼

如果你曾經多次輸入錯誤 SIM 卡的 PIN 碼,你會被要求輸入 PUK 碼 (Personal Identification Number Unlock Key),此碼又被稱為「個人解鎖碼」,輸入之後就能重設 SIM 卡密碼。目前在臺灣,基本上都要跟電信商聯絡才能獲得你的 PUK 碼。

實測臺灣三大電信商 PUK 的驗證機制

如前所述,在國外的經驗中,防守最薄弱的關卡通常是電信公司的客服。那我們就來實測臺灣三大電信商的驗證機制(中華電信、遠傳電信、台灣大哥大)。

實體客服

針對實體客服,我並沒有設計詳細的測試流程,並交叉測試不同情境(例如回答錯誤會發生什麼事)。只是打去實體客服說要獲得 PUK 碼並藉此了解客服會問什麼樣的驗證問題,結果我面對的驗證問題基本上都過於簡單,像是身分證字號、生日號碼等,以及一些二選一就能回答的題目,例如我當下被問有沒有第二支門號(答案顯然只會有是或否)。這些問題都十分簡單,只要擁有你的個資就能輕易回答(而現在全臺灣詐騙集團應該都有大家的基本個資了)。
不過對實體客服來說,「驗證」本來就是一個兩難的問題。驗證問題太多客戶會不耐煩,驗證問題太少又會安全性不足,需要電信商仔細斟酌。

線上查詢

除了實體客服,現在三大電信商都支援線上查詢 PUK 碼。這對於無法打電話的人士來說,實在是一件非常友善貼心的服務。
但各大電信商提供的線上查詢方式安全嗎?以下是實際使用各家系統的實測:
  • 台灣大哥大:要會員登入後才能查詢
台灣大哥大要會員登入後才能查詢
  • 遠傳電信:線上會員才能進行查詢,查詢時需輸入 SIM 卡序號末四碼(需查看實體 SIM 卡或是購買時裝載實體 SIM 卡的那張塑膠卡片)
遠傳電信要會員登入後,才能輸入 SIM 卡序號查詢
  • 中華電信:輸入身分證字號與手機號碼即可查詢
中華電信,有號碼與身分證號碼即可
如上,兩間電信(台灣大哥大、遠傳電信)是將責任轉嫁到使用者身上,讓使用者輸入自己的會員密碼後登入做查詢。其實這做法對雙方來說都較為安全,畢竟帳號密碼本來就是驗證身份的管道之一,只要兩造雙方保護好帳密,理論上就能達成驗證的效果。除此之外,遠傳電信又多加了一道「輸入 SIM 卡序號」的關卡,雖然對使用者來說還要確認實體 SIM 卡稍微麻煩,但無疑增加了安全性。
相較之下,中華電信只依靠電話號碼與身分證字號便能查詢 PUK 碼,對攻擊者來說獲取門檻極低。以全臺灣身分證已經被洩漏過一輪的現況來看,我相信詐騙集團與各式犯罪分子手邊很可能都已經有一份個資,只依靠身分證號碼做驗證風險極高,希望中華電信之後能夠改善。

消費者如何防範 SIM 卡挾持攻擊?

  • 務必更換 SIM 卡 PIN 碼,不要用預設密碼
  • 定期檢查帳戶的異常活動,是否有你不認識的裝置或是來源登入
  • 重要帳號盡可能地避免使用手機號碼作為雙因素驗證管道,也就是用手機收簡訊做驗證
  • 使用密碼管理器並使用雙因素身份驗證,尤其是隨著臺灣逐步開放 eSIM 線上申辦,這是便利且環保的好事,但使用者同時也必須保管好自己的帳號密碼
  • 如果你用的是美國的電話號碼,且有保護自己的需求,你可以參考像是 EFANI 這種資安服務,將資安公司當作你與電信商之間的中介,並透過中介進行手機的設定。由於原本被存放在電信商端的個資會改成由資安公司持有,所以攻擊者沒辦法透過電信商端重設 PUK 或是透過社交工程進行 SIM 卡挾持攻擊,而且安全責任被轉嫁到這間資安公司,如果真的發生資安事件,還會由這間資安公司進行資安險理賠,這是一個很有趣的商業模式。

如果已經成為 SIM 卡挾持攻擊的受害者,該怎麼辦?

  • 立即通知電信公司,待在門市盡速處理好避免你的電話持續被利用
  • 通知銀行你被竊取身份,暫時停止相關交易
  • 同時確認電子信箱等其他裝置或服務是否有被竊取或是異常登入,因為一般來說很多裝置或服務都可以透過簡訊重設密碼
  • 檢查有跟手機號碼綁定的服務是否發生異常

結論

SIM 卡挾持攻擊是一種嚴重的詐騙手法。雖然台灣較不容易發生 SIM 卡挾持攻擊(SIM Swapping 攻擊),但還是有其他類似的攻擊可能發生在你我周遭,在臺灣,雖然因為電信商開放速度緩慢,加上門市眾多且所有手續都要到門市實體辦理,讓這種手法較難發生。但實體 SIM 卡竊取並藉此盜刷的案例還是層出不窮,而 eSIM 開放也是大勢所趨(畢竟 eSIM 是真的方便許多),希望臺灣逐步開放的同時,電信商能夠借鑒國外的經驗並參考現行的缺失(如同我們實測的 PUK 驗證流程),調整業務流程,在資安與便利中間取得平衡點。
對於消費者的我們來說,也可以透過一些簡單的方法來避免成為受害者,希望各位看完這篇有所啟發。
順帶一提,撰寫這篇文章的時候,我也看了許多詐騙集團的人頭判決書而感到難過。每年都有人無知或是一時貪婪為了幾千塊或是幾萬塊,販賣自己的手機號碼與銀行帳號。然而,由於抓不到詐騙集團,這些販賣人頭號碼與帳號的人最後卻轉而被求償數十萬或數百萬的金額,之後有機會可能也會花一些時間撰寫這方面的文章。

參考文章

為什麼會看到廣告
avatar-img
22會員
10內容數
分享對於資訊安全的分析和評(吐)論(嘈),趨勢觀察、技術分析、觀點評論、科普教育,除了特別專業的網路安全分享,也會穿插一些科普文章與實體安全討論,歡迎分享給你的親朋好友,畢竟多了解一些安全也就多一份保障。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
駭客花生醬的沙龍 的其他內容
隨著「零信任架構」(Zero Trust Architecture) 一詞在臺灣風靡一時,各家資安廠商也搭上了這股風潮,什麼產品都要「零信任」一下。然而,有「零信任」的產品就是資安萬靈丹嗎? 零信任架構是什麼?
隨著「零信任架構」(Zero Trust Architecture) 一詞在臺灣風靡一時,各家資安廠商也搭上了這股風潮,什麼產品都要「零信任」一下。然而,有「零信任」的產品就是資安萬靈丹嗎? 零信任架構是什麼?
你可能也想看
Google News 追蹤
Thumbnail
隨著理財資訊的普及,越來越多台灣人不再將資產侷限於台股,而是將視野拓展到國際市場。特別是美國市場,其豐富的理財選擇,讓不少人開始思考將資金配置於海外市場的可能性。 然而,要參與美國市場並不只是盲目跟隨標的這麼簡單,而是需要策略和方式,尤其對新手而言,除了選股以外還會遇到語言、開戶流程、Ap
Thumbnail
嘿,大家新年快樂~ 新年大家都在做什麼呢? 跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。 然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
Thumbnail
eSIM的普及讓手機用戶可以更輕鬆地更換電信業者,並在出國時享有更高性價比的流量方案。本文提供了詳細的檢查手機是否支援eSIM的方法,並列出了支援eSIM功能的裝置清單,讓讀者能夠輕鬆享受eSIM技術帶來的便利。
由於台灣有家人力銀行資料外洩,以及我們戶籍資料外洩,所以目前只有好的客服人員和有手機驗證才有辦法讓你的帳號不被盜刷。
Thumbnail
遇到可疑電話或訊息,先打165求證 近幾年詐騙猖獗,詐騙手法層出不窮,當人在緊張、焦慮之下,通常無法冷靜判斷,詐騙手法還越來越縝密,此時很容易就落入詐騙集團的陷阱中,造成財物損失,而這種情形下,錢通常是很難全部要回來了QQ。因此,切記只要提到錢、需要匯款的、點進去某些不明連結等,不論什麼理由,都請
今天接到某市政府要查詢一個客戶資料的電話,我在要了對方的姓名和分機號碼後,掛了電話,然後查詢到那個市政府的號碼後,再打電話過去聯絡。 沒辦法,誰讓詐騙集團這麼多呢?就算是有來電顯示,號碼都有可能是偽造的!我寧可自己多花電話費,也要保障客戶的隱私,誰叫我已經跟客戶收了錢呢? 免費通訊軟體很多,但在
Thumbnail
eSim 技術為出國旅遊或暫時返臺的人提供更便利的通訊解決方案。本文介紹 eSim 的定義、與傳統 SIM 卡的差異、支援的手機型號以及推薦的 eSim 服務平臺 Airalo。
Thumbnail
在國外生活的時候,有時候需要收取在臺灣的簡訊,例如銀行的OTP認證或在蝦皮購物時使用臺灣信用卡。本文分享了收取臺灣簡訊的方法,提供了iPhone設定方式以及其他相關資訊。
Thumbnail
假網站攻擊近10年一直是全球銀行業的頭痛問題,過去發卡機構也致力去防止因為日漸盛行的網上購物而引發的騙財技倆。 有一定年資的網購使用者,對於使用保安編碼器會有點印象,但成本太高,而且每天要帶着外出也十分不便(也容易出現遺失的風險),近年智能手機普及,很多銀行已經轉用mobileapp作為主要保安編
Thumbnail
隨著理財資訊的普及,越來越多台灣人不再將資產侷限於台股,而是將視野拓展到國際市場。特別是美國市場,其豐富的理財選擇,讓不少人開始思考將資金配置於海外市場的可能性。 然而,要參與美國市場並不只是盲目跟隨標的這麼簡單,而是需要策略和方式,尤其對新手而言,除了選股以外還會遇到語言、開戶流程、Ap
Thumbnail
嘿,大家新年快樂~ 新年大家都在做什麼呢? 跨年夜的我趕工製作某個外包設計案,在工作告一段落時趕上倒數。 然後和兩個小孩過了一個忙亂的元旦。在深夜時刻,看到朋友傳來的解籤網站,興致勃勃熬夜體驗了一下,覺得非常好玩,或許有人玩過了,但還是想寫上來分享紀錄一下~
Thumbnail
eSIM的普及讓手機用戶可以更輕鬆地更換電信業者,並在出國時享有更高性價比的流量方案。本文提供了詳細的檢查手機是否支援eSIM的方法,並列出了支援eSIM功能的裝置清單,讓讀者能夠輕鬆享受eSIM技術帶來的便利。
由於台灣有家人力銀行資料外洩,以及我們戶籍資料外洩,所以目前只有好的客服人員和有手機驗證才有辦法讓你的帳號不被盜刷。
Thumbnail
遇到可疑電話或訊息,先打165求證 近幾年詐騙猖獗,詐騙手法層出不窮,當人在緊張、焦慮之下,通常無法冷靜判斷,詐騙手法還越來越縝密,此時很容易就落入詐騙集團的陷阱中,造成財物損失,而這種情形下,錢通常是很難全部要回來了QQ。因此,切記只要提到錢、需要匯款的、點進去某些不明連結等,不論什麼理由,都請
今天接到某市政府要查詢一個客戶資料的電話,我在要了對方的姓名和分機號碼後,掛了電話,然後查詢到那個市政府的號碼後,再打電話過去聯絡。 沒辦法,誰讓詐騙集團這麼多呢?就算是有來電顯示,號碼都有可能是偽造的!我寧可自己多花電話費,也要保障客戶的隱私,誰叫我已經跟客戶收了錢呢? 免費通訊軟體很多,但在
Thumbnail
eSim 技術為出國旅遊或暫時返臺的人提供更便利的通訊解決方案。本文介紹 eSim 的定義、與傳統 SIM 卡的差異、支援的手機型號以及推薦的 eSim 服務平臺 Airalo。
Thumbnail
在國外生活的時候,有時候需要收取在臺灣的簡訊,例如銀行的OTP認證或在蝦皮購物時使用臺灣信用卡。本文分享了收取臺灣簡訊的方法,提供了iPhone設定方式以及其他相關資訊。
Thumbnail
假網站攻擊近10年一直是全球銀行業的頭痛問題,過去發卡機構也致力去防止因為日漸盛行的網上購物而引發的騙財技倆。 有一定年資的網購使用者,對於使用保安編碼器會有點印象,但成本太高,而且每天要帶着外出也十分不便(也容易出現遺失的風險),近年智能手機普及,很多銀行已經轉用mobileapp作為主要保安編