SIM 卡交換攻擊或SIM 卡劫持,是近年新興的攻擊手法,相關案件個案急升,導致用戶損失巨大。根據聯邦調查一份公共服務公告,發現去年涉及 SIM 卡交換攻擊詐騙的投訴數量激增至 1,611 宗,對比 2018 年 1 月至 2020 年 12 月三年間的 320 宗攻擊升近五倍。惟市民大多對網絡攻擊或網絡釣魚攻擊有較多了解,卻因 SIM 卡交換攻擊屬新興攻擊手法,大多用戶未有加以警惕,成為網絡犯罪分子的機會,「複製」受害者的手機 SIM 卡從而盜取個人資料及資訊。
何謂 SIM 卡交換攻擊?
犯罪分子大多通過釣魚技術獲取個人電話號碼及盡可能多的個人資訊,然後聯絡相關流動網絡營運商,聲稱丟失手機需要將原來的號碼轉移到新的 SIM 卡上。一旦獲得重複的 SIM 卡,網絡犯罪分子只需將 SIM 卡插入設備便可存取受害者的所有訊息和數據,包括通話記錄和訊息歷史記錄。他們因而擁有完全的控制權,可以輕易登入銀行應用程式,將金錢轉移到另一個銀行帳戶。雖然,登入銀行應用程式往往需要使用驗證碼,由於網絡犯罪分子已控制受害者的手機,便能輕鬆查看驗證訊息及複製驗證碼便可做到。
六大要訣免墮陷阱
為免成為 SIM 卡交換攻擊的受害者,網絡安全服務供應商 Check Point 詳列六大安全要訣,提醒用戶加以小心及注意。
- 小心個人數據:網絡犯罪分子需要蒐集你的個人數據來「複製」你的 SIM 卡,因此務必注意你所到訪的網站,確保網站是官方網站,並且採取了各種安全防護措施,例如加密連結。留意位址欄中的掛鎖符號(這表明該網站具有有效的安全證書),注意是否以 https:// 開頭,若沒有 s 則該頁面可能存在風險。
- 提防網絡釣魚:需要了解網絡釣魚攻擊的跡象,以防攻擊者獲取你的個人數據。即使認識寄件者,也要留意電郵和短訊是否有拼寫錯誤。密切注意功能變數名稱,確保其真實。同樣,特別注意看起來異常的連結或附件,因為大多有網絡釣魚攻擊的蛛絲馬跡。
- 收到 SIM 卡通知提示要加倍留意:一個確定 SIM 卡是否被「複製」的簡單而有效方法是查看流動訊號是否有異常。如果 SIM 卡已被「複製」,即表示手機現在沒有 SIM 卡無法訪問流動網絡,也就無法再接收電話和收發短訊。如果發生這種情況,必須聯繫流動網絡營運商。
- 保護密碼:最有效的保護方法是建立強勁的密碼,避免使用「 123456 」或 「 password 」等經典密碼,並為每個平台建立不同的密碼組合,以防止網絡犯罪分子獲得一個密碼後登入多個帳戶。同時,建議定期更改密碼確保,以及考慮實施雙重身分認證。
- 保持精明:每當收到來自未知寄件人的電郵或短訊時,花一分鐘尋找任何可能是惡意的跡象。如有疑問,請不要點擊任何連接。
- 了解最新的威脅:以免成為最新趨勢的受害者,多留意網絡安全新聞,隨時了解最新的攻擊方法,加以警惕。