【猛虎不及地頭蟲】歐美國家流行SIM-swapping詐騙 港人移民前學識自保
SIM-swapping (SIM card偷換) 攻擊雖然主要在歐美地區發生,但既然愈來愈多港人準備移民,當然要了解一下如何避免成為這種攻擊方法的受害者,特別是去年因 SIM-swapping 導致的損失高達過億美元,當中更有著名 KOL、體壇明星、名人,千萬不能掉以輕心。
所謂 SIM-swapping 攻擊,是一種透過非法手段,從電訊商員工手中騙取其客戶電話號碼使用權的攻擊,例如假扮其客戶訛稱遺失手機,要求電訊商員工將其電話號碼收到的來電、SMS 短訊全部轉接至另一號碼,或重設該客戶的登入密碼等。騙徒亦可以直接賄賂電訊商員工進行上述操作,不過由於被查出的風險較高,所以一般都會以詐騙手法達成。不知道是否因為歐美與亞洲存在的文化差異影響,這類騙案較少在亞洲發生,而歐美等地則非常猖獗。如想了解為何能夠輕易騙取電訊商員工更改號碼,可以參考以下社交工程 (social engineering) 攻擊的經典示範。
https://www.youtube.com/embed/BEHl2lAuWCk?wmode=transparent&rel=0&feature=oembed
騙取到電話號碼使用權後,如騙徒手上已持有該客戶的一些帳戶登入資料 (如銀行或 Facebook 帳戶),而又需要額外 SMS 密碼驗證的話,這時騙徒便能通過 SIM-swapping 取得驗證碼而入侵帳戶,進行金錢轉帳,或藉著該帳戶的社交網絡向更多人進行詐騙。而就在上星期,歐洲刑警在經過超過一年的調查後,終於在英國、美國、加拿大、比利時等執法機關配合下,成功拘捕 10 個年齡介乎 18 至 26 歲的 SIM-swapping 騙徒,歐洲刑警估計,單是這 10 個騙徒騙取的款項已高達一億美元。
由於大部分 SIM-swapping 詐騙都在暗地裏進行,電話號碼持有人一般難以即時發現,為了可以減少損失,歐洲刑警便呼籲市民在啟用雙重因素驗證 (2FA) 功能時,最好不要選用電話號碼接收 SMS 驗證碼,而應該選用如 Google 或 Microsoft 提供的 authenticator 手機應用軟件服務,除非手提電話被盜取,否則騙徒便難以盜用帳戶。