美国联邦通讯委员会(Federal Communications Commission,FCC)上周针对美国的电信营运商祭出了新规定,以防范消费者的手机遭到SIM卡挟持(SIM Swap)攻击。
SIM卡挟持指的是骇客取信于受害者的电信营运商,以将受害者的手机服务移转到骇客的手机上,进而使骇客取得基于受害者身分的一次性认证码,执行诈骗交易。在FBI网路犯罪投诉中心(IC3)去年的消费者投诉统计中,SIM卡挟持虽然不是名列前茅,却也榜上有名,总计接到超过2,000次的投诉,损失金额超过7,000万美元。
此次FCC修订了客户专有之网路资讯(Customer Proprietary Network Information,CPNI)与市话可携(Local Number Portability,LNP)的规定,要求服务供应商在将客户的电话号码移转至新装置或新供应商时,必须采用安全的方法来验证客户的身分,包括必须立即通知客户,以及采取额外的措施来保护客户,以避免客户受到SIM卡挟持攻击。
2020年时,几位美国普林斯顿大学的研究人员曾经亲自实验SIM卡挟持攻击,他们向5家不同的电信营运商各购买10张预付卡,再打电话去客服,宣称所购买的SIM卡故障了,可否将身分切换到新SIM卡上,结果在50张SIM卡中,成功切换了39张,成效惊人。