美國 FCC 推新規定防制 SIM-swap 與門號攜碼攻擊
- 發布單位:TWCERT/CC
- 更新日期:2023-11-24
- 點閱次數:7907
美國聯邦通訊委員會(Federal Communication Commission, FCC)日前推出新規定,強制要求各家電信業者強化 SIM 卡補發或攜碼轉換電信業者作業申請的安全驗證流程,以保護消費者免於日益嚴重的 SIM-swap 攻擊。
FCC 旗下的「隱私與資料保護工作小組」(Privacy and Data Protection Task Force)在 2023 年 7 月研擬推出新規定,以強化消費者與電信業者對 SIM-swap 攻擊的防護能力。所謂 SIM-swap 攻擊是指駭侵者假冒消費者要求補發手機 SIM 卡或申請攜碼至其他電信業者以取得新 SIM 卡,藉以竊取消費者的手機門號控制權。
駭侵者取得新 SIM 卡後,即可以該門號來進行進一步的攻擊活動,例如配合竊得的用戶登入資訊,以該門號接收二階段登入驗證簡訊,取得消費者各種社群與金融服務帳號的控制權,或是假冒消費者身分使用或申請各種服務,以散布惡意連結或惡意軟體等,為害甚大。
FCC 本次新規定修改了與「消費者專屬網路資訊」(Customer Proprietary Network Information,CPNI)與「本地門號可攜性」(Local Number Portability)的相關規定,強制要求電信業者在接獲消費者進行新 SIM 補發或攜碼至其他電信業者服務時,必須進行額外的使用者身分驗證,並且明確通知用戶。
FCC 表示,新規定強化了電信業者對消費者的安全保護責任,期可大幅提高 SIM-swap 的攻擊難度,減少這類攻擊的得逞。
由於在台灣申請這類電信服務均需出示雙證件,因此國內的 SIM-swap 攻擊較為少見;但消費者如果擁有國外電信門號,務必提防這類攻擊。