SIM卡交換攻擊是什麼?如何防護?完整指南
SIM卡交換攻擊是什麼?如何防護?完整指南
直接答案:SIM卡交換攻擊(SIM Swap Attack)是詐騙者透過社交工程冒充受害者,向電信商客服申請補發SIM卡,成功後接管電話號碼並截取所有簡訊驗證碼,進而入侵銀行帳戶、社群媒體、加密貨幣錢包等各類帳戶。最佳防護方式是向電信商申請設定帳戶安全PIN碼,並改用驗證器APP或硬體金鑰取代簡訊驗證。
TL;DR
- 攻擊者先收集你的個資(姓名、身份證、地址、電話)
- 打電話給電信商假裝是你,聲稱SIM卡遺失或損壞需要補發
- 成功後你的手機會立刻斷訊,所有簡訊驗證碼都發送到攻擊者的新SIM卡
- 幾分鐘內就能透過「忘記密碼」功能重設所有帳戶並清空銀行存款
- 防護核心:設定電信商PIN碼、改用硬體金鑰或驗證器APP、減少個資曝光
什麼是SIM卡交換攻擊?
SIM卡交換攻擊(SIM Swap Attack,又稱SIM卡劫持)是近年快速增長的身份盜用手法。攻擊者不需要物理接觸你的手機,只需要掌握足夠的個人資訊,就能遠端將你的電話號碼轉移到他們控制的SIM卡上。
攻擊原理
電信商的客服系統設計上假定「來電者就是帳戶擁有者」,只要能通過基本的身份驗證問題(姓名、地址、身份證末四碼等),客服就會協助辦理SIM卡補發。這個設計漏洞被詐騙者大量利用。
攻擊流程圖
| 階段 | 攻擊者動作 | 受害者狀態 |
|---|---|---|
| 第一階段 | 收集受害者個資 | 毫無察覺 |
| 第二階段 | 致電電信商冒充受害者 | 毫無察覺 |
| 第三階段 | 成功取得新SIM卡 | 手機突然斷訊 |
| 第四階段 | 截取驗證碼重設帳戶 | 發現時已太遲 |
| 第五階段 | 轉移資金或變賣帳戶 | 資金被盜 |
攻擊者如何取得你的個資?
SIM卡交換攻擊的前提是攻擊者必須掌握足夠的個人資訊來通過電信商的身份驗證。這些資訊通常來自以下管道:
1. 社群媒體
你在Facebook、Instagram上公開的生日、寵物名字、母校名稱,往往就是安全問題的答案。
2. 資料外洩事件
歷年來大大小小的資料外洩事件讓數億筆個資流入暗網市場。攻擊者可以用很低的價格購買到包含姓名、電話、地址、身份證號碼的資料包。
3. 釣魚攻擊
偽裝成銀行、政府機關的釣魚郵件或簡訊,誘騙受害者填寫個人資料。
4. 內部人員洩漏
部分案例涉及電信公司內部員工被收買,直接協助詐騙者辦理SIM卡轉移。
為什麼SIM卡交換攻擊這麼危險?
現代生活中,手機號碼已經成為「數位身份」的核心。控制了電話號碼,幾乎就控制了一切:
影響層面分析
| 風險等級 | 帳戶類型 | 具體風險 |
|---|---|---|
| 極高 | 銀行網銀 | 透過簡訊驗證碼轉帳、修改密碼 |
| 極高 | 加密貨幣交易所 | 繞過2FA直接提幣 |
| 高 | 電子郵件 | 取得後可重設所有關聯帳戶 |
| 高 | 社群媒體 | 盜號後詐騙親友、敲詐勒索 |
| 中 | 電商平台 | 盜刷已綁定的信用卡 |
| 中 | 雲端硬碟 | 竊取隱私照片、商業機密 |
真實案例
2019年,Twitter創辦人Jack Dorsey的帳號就是透過SIM Swap攻擊被盜。攻擊者取得他的電話號碼控制權後,直接使用Twitter的「透過簡訊發推」功能發布攻擊性內容。
2021年,美國一名投資者因SIM Swap攻擊損失了價值超過2400萬美元的加密貨幣。
如何察覺自己可能正在被攻擊?
SIM卡交換攻擊最明顯的徵兆就是手機突然沒有訊號。如果你發現以下情況,應立即警覺:
警示徵兆
- 手機顯示「無服務」或「僅限緊急通話」
- 收到電信商發送的「SIM卡已變更」通知
- 收到銀行或其他服務的「密碼已重設」通知
- 無法登入常用帳戶
- 朋友告知收到你發送的可疑訊息
完整防護措施
第一層:電信商層面
-
設定帳戶安全PIN碼
- 致電你的電信商客服專線(中華電信:0800-080-090、遠傳:0800-058-885、台灣大哥大:0809-000-852)
- 要求設定「帳戶安全PIN」或「SIM卡變更保護」
- 任何SIM卡異動都必須提供此PIN碼才能辦理
-
啟用進階身份驗證
- 部分電信商提供臨櫃驗證服務,所有SIM卡變更必須本人攜帶雙證件到門市辦理
第二層:帳戶層面
-
改用驗證器APP
- 使用 Google Authenticator、Microsoft Authenticator 或 Authy
- 這些APP產生的驗證碼存在手機本地,不透過簡訊傳輸
-
使用硬體安全金鑰
- YubiKey、Google Titan 等硬體金鑰
- 這是目前最安全的2FA方式,物理金鑰無法被遠端劫持
-
啟用銀行APP推播通知
- 確保任何交易都會收到即時通知
- 發現異常可在第一時間反應
第三層:個資保護
-
減少個資曝光
- 社群媒體設定:隱藏生日、電話號碼
- 不要在公開平台使用真實安全問題答案
-
使用獨立電子郵件
- 重要帳戶使用專用郵箱
- 此郵箱不公開、不用於訂閱電子報
-
定期檢查資料外洩
- 使用 haveibeenpwned.com 檢查你的郵箱是否出現在外洩資料庫
如果已經被攻擊怎麼辦?
黃金30分鐘應對流程
-
立即聯繫電信商(使用其他電話撥打)
- 告知疑似遭受SIM Swap攻擊
- 要求立即停用被盜號碼
-
凍結銀行帳戶
- 撥打銀行24小時專線停用網銀功能
- 確認是否有異常交易
-
修改所有重要帳戶密碼
- 使用另一台設備登入
- 優先處理:郵箱 > 銀行 > 社群媒體
-
報警備案
- 撥打165反詐騙專線
- 前往派出所報案取得報案三聯單
-
通知親友
- 告知親友你的帳號可能被盜
- 請他們勿回應任何可疑訊息
常見誤區
-
「我從沒公開電話號碼,不會被攻擊」 你的號碼可能早已在各種資料外洩中被收集整理
-
「電信商不會那麼容易被騙」 客服人員面對大量來電,難以識別每一通是否為詐騙
-
「SMS雙重驗證已經夠安全了」 SMS是目前最弱的2FA形式,強烈建議升級
-
「這種攻擊只針對名人或有錢人」 任何人都可能成為目標,尤其是有加密貨幣的人
各電信商客服專線
| 電信商 | 客服專線 | 補充說明 |
|---|---|---|
| 中華電信 | 0800-080-090 | 可設定帳戶安全密碼 |
| 遠傳電信 | 0800-058-885 | 可設定認證保護 |
| 台灣大哥大 | 0809-000-852 | 可設定安全PIN |
| 台灣之星 | 0809-000-888 | 併入台灣大後統一客服 |
| 亞太電信 | 0800-050-090 | 併入遠傳後統一客服 |
參考來源
- FBI: SIM Swapping
- NIST Special Publication 800-63B: Digital Identity Guidelines
- Krebs on Security: SIM Swap Case Studies
- 刑事警察局165反詐騙專線
延伸閱讀
🎯 Ready to Get Cited by AI?
Join 500+ marketers optimizing their content for ChatGPT, Perplexity & Google AI Overviews