SIM卡交换攻击(英语:SIM swap attack),又称SIM卡劫持,是透过冒用身份向电信业者提出申请,将被害者的电话号码从对方的SIM卡转移至攻击者的一种诈骗攻击手段。攻击者可借此在被害者不知情的情况下,收取一次性密码并盗取网站账号与银行账户。
2022年初,联邦调查局对这种日渐猖獗的攻击手段提出警告,称旗下的网络犯罪投诉中心(英语:Internet Crime Complaint Center)在2018年到2020年间共收到320件相关投诉、损失金额达1200万美元,但在2021年共收到1610件相关投诉、损失金额达6800万美元,是过去三年间的五倍以上。
这种攻击手段源自互联网的发展,许多线上服务开始以电话号码作为注册或登入账号的依据,而非使用电子邮件或让用户自行输入账号和密码。例如已有超过7亿用户使用的即时通讯软件Telegram,在首次开启时便会要求输入电话号码。
攻击者会从数据泄露事件中,或是透过网络钓鱼,取得被害者的身份证等详细个人资料。此外,也能透过被害者公开的社群媒体取得姓名、出生年月日或地址等资料。
随后,攻击者会借由这些资讯冒充被害者,运用社交工程说服电信业者将电话号码转移至自己的SIM卡上,例如声称自己弄丢了手机而需要进行转移。随着eSIM的出现,攻击者可以在线上完成申办和开通,让攻击变得更加容易。在印度,需要实体SIM卡上的20位号码才能进行转移,因此攻击者也会运用社交工程诱使被害者给出相关资料。
一旦攻击者成功转移,攻击者便可以使用自己的装置接收被害者的电话和简讯,从而收取一次性密码、绕过基于简讯的双重认证。攻击者可以透过“忘记密码”功能重置密码并夺取被害者的网络服务账号,甚至进入被害者的银行账户或加密货币钱包盗取资产。
这种攻击手段于2014年即有案例。近期较知名的案例是在2019年,Twitter联合创始人杰克·多西的Twitter账号被这种手段骇入,并在短时间内发布了大量种族歧视的推文。
2018年,区块链新创公司Transform Group创办人Michael Terpin被盗取了价值2400万美元的加密货币,他随即起诉美国电信业者AT&T未能充分保护用户安全,并求偿2.24亿美元;两年后,一名盗取其资产的纽约高中生被起诉,他在犯案时年仅15岁。目前,该名攻击者已表示愿意归还其盗取的资产,而对AT&T的求偿则被法院驳回。
2020年,普林斯顿大学信息技术政策中心(英语:Center for Information Technology Policy)的四位研究员发表了一份研究,他们在美国的五大电信业者申办了共50张预付卡,再尝试对其进行攻击,结果有39张SIM卡成功转移,且有两家电信业者完全未进行身份查核。研究中还测试了140个线上服务,其中有17个可以透过这种攻击手段来盗取账号。
2022年1月,台湾出现首起攻击案例。攻击者绕过台湾相对严格的身份认证机制,冒用被害者的身份证和健保卡影本、出入境证明、委托书等资料,挂失SIM卡后盗取网络银行资产,更冒用身份申办信用卡、领取振兴五倍券和接种2019冠状病毒病疫苗。
对民众而言,可以使用Google身份验证器这类的TOTP服务,取代原先基于简讯的两步骤验证;此外防范网络钓鱼和网络诈骗的意识亦不可少。
在企业方面,电信业者也需要拟定更完整的身份查核机制,并进行教育训练,防止业者员工收贿协助进行攻击。
