• 發布單位:TWCERT/CC
• 更新日期:2023-11-24
• 點閱次數:118

美國聯邦通訊委員會（Federal Communication Commission, FCC）日前推出新規定，強制要求各家電信業者強化 SIM 卡補發或攜碼轉換電信業者作業申請的安全驗證流程，以保護消費者免於日益嚴重的 SIM-swap 攻擊。

FCC 旗下的「隱私與資料保護工作小組」（Privacy and Data Protection Task Force）在 2023 年 7 月研擬推出新規定，以強化消費者與電信業者對 SIM-swap 攻擊的防護能力。所謂 SIM-swap 攻擊是指駭侵者假冒消費者要求補發手機 SIM 卡或申請攜碼至其他電信業者以取得新 SIM 卡，藉以竊取消費者的手機門號控制權。

駭侵者取得新 SIM 卡後，即可以該門號來進行進一步的攻擊活動，例如配合竊得的用戶登入資訊，以該門號接收二階段登入驗證簡訊，取得消費者各種社群與金融服務帳號的控制權，或是假冒消費者身分使用或申請各種服務，以散布惡意連結或惡意軟體等，為害甚大。

FCC 本次新規定修改了與「消費者專屬網路資訊」（Customer Proprietary Network Information，CPNI）與「本地門號可攜性」（Local Number Portability）的相關規定，強制要求電信業者在接獲消費者進行新 SIM 補發或攜碼至其他電信業者服務時，必須進行額外的使用者身分驗證，並且明確通知用戶。

FCC 表示，新規定強化了電信業者對消費者的安全保護責任，期可大幅提高 SIM-swap 的攻擊難度，減少這類攻擊的得逞。

由於在台灣申請這類電信服務均需出示雙證件，因此國內的 SIM-swap 攻擊較為少見；但消費者如果擁有國外電信門號，務必提防這類攻擊。