無論是線上匯款、帳戶申辦,還是購物結帳,你可能常常有「接收並輸入手機驗證碼」的經驗。而在這個「無處不需要手機驗證碼」的世界,如果你還對「如何保護好手機號碼」沒概念,你可能會被盜刷一堆錢、背負莫名其妙的借貸債務、或是帳號被盜。 雖然台灣較不容易發生 SIM Swapping 攻擊,但還是有其他類似的攻擊可能發生在你我周遭
什麼是 SIM 卡挾持攻擊 (SIM Swapping)?
SIM 卡挾持攻擊 (Sim Swapping),中文又稱 SIM 卡交換攻擊,是國外流行多年的詐騙手法。攻擊者透過各種方式偷竊你的手機號碼後,便能夠接收所有與受害者相關的簡訊、電話和驗證碼,進而對受害者的帳戶進行攻擊或是濫用。常見作法像是欺騙電信公司,將受害者的手機號碼轉移到攻擊者的 SIM 卡上。畢竟,在攻擊流程中,防守最薄弱的關卡通常是電信公司的客服。由於客服只會進行最基本的資訊確認,用來驗證是否為當事人的方式較少,因此攻擊者只要事先知道客服會詢問的問題,就能做好準備通過驗證。
根據 FBI 統計,美國地區光是 2021 年就有 6800 萬美元的損失與 SIM 卡挾持攻擊有關。但其實不只有歐洲、美國發生過這類型的攻擊,在非洲地區如肯亞等國家,這類攻擊依舊流行。
SIM 卡挾持攻擊在台灣
得利於臺灣的不便利性(?),一般人得用雙證件才能拿到實體的 SIM 卡,若要開通 eSIM(虛擬 SIM 卡) 則需多花錢,掛失 eSIM 、eSIM 更換手機目前大部分電信都還是需要去門市,這些因素使得臺灣較少 SIM 卡挾持攻擊的案例,至少我在撰寫這篇文章時,臺灣類似的案例新聞屈指可數。雖然有一篇標題聳動的新聞報導〈被盜SIM卡竟毀一生 被害人百萬存款蒸發〉,但有趣的是,我找不到當事人有告電信商的紀錄。不過轉捩點即將到來。隨著近幾個月各大電信商,例如中華電信、台灣大哥大也在逐步釋出 eSIM 的線上申辦服務,如果這方面的驗證機制不夠完善,很有可能讓類似的攻擊在臺灣流行起來。
我又不是用 eSIM,這樣我還需要注意什麼?
目前的時空背景下,台灣人還是要小心實體 SIM 卡小偷。如同這個新聞案例〈當心!小偷鎖定健身房置物櫃...掉包手機SIM卡 收取驗證碼盜刷16萬〉,小偷其實很清楚他沒辦法直接破解你的手機解鎖密碼,因此他會取而代之地翻拍你的信用卡與個資,並把 SIM 卡偷走。而大多數的人並沒有修改 SIM 卡的預設 PIN 碼,讓小偷能輕而易舉地用 SIM 卡接受手機驗證盜刷信用卡。
可是,修改了 SIM 卡的預設 PIN 碼,這樣我就安全了嗎?
PIN 碼的第二道防線:PUK 碼
如果你曾經多次輸入錯誤 SIM 卡的 PIN 碼,你會被要求輸入 PUK 碼 (Personal Identification Number Unlock Key),此碼又被稱為「個人解鎖碼」,輸入之後就能重設 SIM 卡密碼。目前在臺灣,基本上都要跟電信商聯絡才能獲得你的 PUK 碼。
實測臺灣三大電信商 PUK 的驗證機制
如前所述,在國外的經驗中,防守最薄弱的關卡通常是電信公司的客服。那我們就來實測臺灣三大電信商的驗證機制(中華電信、遠傳電信、台灣大哥大)。
實體客服
針對實體客服,我並沒有設計詳細的測試流程,並交叉測試不同情境(例如回答錯誤會發生什麼事)。只是打去實體客服說要獲得 PUK 碼並藉此了解客服會問什麼樣的驗證問題,結果我面對的驗證問題基本上都過於簡單,像是身分證字號、生日號碼等,以及一些二選一就能回答的題目,例如我當下被問有沒有第二支門號(答案顯然只會有是或否)。這些問題都十分簡單,只要擁有你的個資就能輕易回答(而現在全臺灣詐騙集團應該都有大家的基本個資了)。
不過對實體客服來說,「驗證」本來就是一個兩難的問題。驗證問題太多客戶會不耐煩,驗證問題太少又會安全性不足,需要電信商仔細斟酌。
線上查詢
除了實體客服,現在三大電信商都支援線上查詢 PUK 碼。這對於無法打電話的人士來說,實在是一件非常友善貼心的服務。
但各大電信商提供的線上查詢方式安全嗎?以下是實際使用各家系統的實測:
- 台灣大哥大:要會員登入後才能查詢
台灣大哥大要會員登入後才能查詢
- 遠傳電信:線上會員才能進行查詢,查詢時需輸入 SIM 卡序號末四碼(需查看實體 SIM 卡或是購買時裝載實體 SIM 卡的那張塑膠卡片)
遠傳電信要會員登入後,才能輸入 SIM 卡序號查詢
- 中華電信:輸入身分證字號與手機號碼即可查詢
中華電信,有號碼與身分證號碼即可
如上,兩間電信(台灣大哥大、遠傳電信)是將責任轉嫁到使用者身上,讓使用者輸入自己的會員密碼後登入做查詢。其實這做法對雙方來說都較為安全,畢竟帳號密碼本來就是驗證身份的管道之一,只要兩造雙方保護好帳密,理論上就能達成驗證的效果。除此之外,遠傳電信又多加了一道「輸入 SIM 卡序號」的關卡,雖然對使用者來說還要確認實體 SIM 卡稍微麻煩,但無疑增加了安全性。
相較之下,中華電信只依靠電話號碼與身分證字號便能查詢 PUK 碼,對攻擊者來說獲取門檻極低。以全臺灣身分證已經被洩漏過一輪的現況來看,我相信詐騙集團與各式犯罪分子手邊很可能都已經有一份個資,只依靠身分證號碼做驗證風險極高,希望中華電信之後能夠改善。
消費者如何防範 SIM 卡挾持攻擊?
- 務必更換 SIM 卡 PIN 碼,不要用預設密碼
- 定期檢查帳戶的異常活動,是否有你不認識的裝置或是來源登入
- 重要帳號盡可能地避免使用手機號碼作為雙因素驗證管道,也就是用手機收簡訊做驗證
- 使用密碼管理器並使用雙因素身份驗證,尤其是隨著臺灣逐步開放 eSIM 線上申辦,這是便利且環保的好事,但使用者同時也必須保管好自己的帳號密碼
- 如果你用的是美國的電話號碼,且有保護自己的需求,你可以參考像是 EFANI 這種資安服務,將資安公司當作你與電信商之間的中介,並透過中介進行手機的設定。由於原本被存放在電信商端的個資會改成由資安公司持有,所以攻擊者沒辦法透過電信商端重設 PUK 或是透過社交工程進行 SIM 卡挾持攻擊,而且安全責任被轉嫁到這間資安公司,如果真的發生資安事件,還會由這間資安公司進行資安險理賠,這是一個很有趣的商業模式。
如果已經成為 SIM 卡挾持攻擊的受害者,該怎麼辦?
- 立即通知電信公司,待在門市盡速處理好避免你的電話持續被利用
- 通知銀行你被竊取身份,暫時停止相關交易
- 同時確認電子信箱等其他裝置或服務是否有被竊取或是異常登入,因為一般來說很多裝置或服務都可以透過簡訊重設密碼
- 檢查有跟手機號碼綁定的服務是否發生異常
結論
SIM 卡挾持攻擊是一種嚴重的詐騙手法。雖然台灣較不容易發生 SIM 卡挾持攻擊(SIM Swapping 攻擊),但還是有其他類似的攻擊可能發生在你我周遭,在臺灣,雖然因為電信商開放速度緩慢,加上門市眾多且所有手續都要到門市實體辦理,讓這種手法較難發生。但實體 SIM 卡竊取並藉此盜刷的案例還是層出不窮,而 eSIM 開放也是大勢所趨(畢竟 eSIM 是真的方便許多),希望臺灣逐步開放的同時,電信商能夠借鑒國外的經驗並參考現行的缺失(如同我們實測的 PUK 驗證流程),調整業務流程,在資安與便利中間取得平衡點。
對於消費者的我們來說,也可以透過一些簡單的方法來避免成為受害者,希望各位看完這篇有所啟發。
順帶一提,撰寫這篇文章的時候,我也看了許多詐騙集團的人頭判決書而感到難過。每年都有人無知或是一時貪婪為了幾千塊或是幾萬塊,販賣自己的手機號碼與銀行帳號。然而,由於抓不到詐騙集團,這些販賣人頭號碼與帳號的人最後卻轉而被求償數十萬或數百萬的金額,之後有機會可能也會花一些時間撰寫這方面的文章。
