eSIM 方便,但可能讓 SIM 卡交換攻擊變得更容易

你有聽過「SIM 卡交換攻擊」(SIM swap attack)嗎?這是一種竊取錢財方式,惡意人士會冒用受害者的身份,向電信業者提出要補發 SIM 卡,並將這張補發的 SIM 卡插入一次性的手機當中,幾分鐘之內,惡意人士就可以在這支手機中安裝受害者的應用程式,並竄改金融應用程式的密碼,藉此竊取受害者的錢財。

在惡意人士將補發的 SIM 卡插入一次性手機後,受害者的手機號碼就不能再運作,且會收到一則系統通知表示,你的電信商已經批准更換 SIM 卡。假如你也遇到這種情況,且實際上沒有向電信業者申請新的 SIM 卡,就應該儘速致電給電信業者告知情況,因為這種情況下時間的長短至關重要。

不過據外媒報導,隨著 eSIM 日漸普及使得 SIM 卡交換攻擊變得更加容易。為什麼?

首先先來說說 eSIM 的運作機制,這是一種嵌入式用戶身份模組,這個模組嵌入在手機內無法拿出來。當使用者向電信業者要求啟用 eSIM 後,業者會就會提供一組 QR code,使用者按照系統指示操作後即可啟用 eSIM。

過去在實體 SIM 卡時代,惡意人士的 SIM 卡交換攻擊手段,會是賄賂電信商內部人士,將一張實體 SIM 卡提供給犯罪分子,且不需要驗證用戶資訊。但現在透過 eSIM 將可更容易做到 SIM 卡交換攻擊。

惡意人士使用被盜、暴力獲取或洩漏的憑證破壞用戶的行動帳戶,然後移植受害者的憑證,並開始將受害者的號碼移殖到惡意人士的另一裝置上。這些過程都是透過受害者的行動帳號來向電信業者要求提供 QR code 以啟動 eSIM 來完成的。

一但惡意人士讓你的 eSIM 運行在他的手機上,那麼惡意人士就會開始嘗試使用你的訊息應用程式來騙取更多錢財,方法就是冒充你本人,告訴你的家人朋友你因為一些原因需要一些錢來度過難關。

為了防止這種狀況,專家也建議使用者要為自己的行動網路服務帳戶設定一組複雜且唯一的密碼,如果可以請再加上啟用雙重認證(2FA)。當啟用 2FA 後,除了要輸入密碼來登入應用程式外,還必須提供一個代碼,這個代碼會在你嘗試登入後以簡訊形式發送到你的手機中,唯有輸入正確的代碼與密碼才能正常登入應用程式中。

現今人手一機,每人至少都會申辦一個門號,就連我們使用的SIM卡也有可能遇到攻擊,使得SIM無法再使用,當遇到此狀況時除了立即打電話告知電信外,我們也能事先防範將自身重要資料做保護,勿將重要帳密資料記錄於手機中、帳密登入部分也請勿點選記住此帳號,建議密碼不要使用相同的且須有複雜度,以防止資料被盜取。

詳文請見資安快報新聞稿