SIM 卡交换攻击

什么是 SIM 卡交换攻击

SIM 卡交换攻击 (SIM Swap Attack / SIM 劫持) 是一种攻击手法，攻击者欺骗运营商将受害者的手机号码转移到攻击者控制的 SIM 卡上。通过夺取手机号码的控制权，截获通过 SMS 发送的双因素认证代码，非法访问银行账户、加密货币钱包、邮箱账户等。

这种攻击不是技术上高深的黑客行为，主要使用社会工程学手段。攻击者使用通过钓鱼或数据泄露获取的个人信息 (姓名、地址、出生日期、账号等) 联系运营商客服，谎称「SIM 卡丢失了」「想换手机」来请求号码转移。

在日本，2022 年以后也有通过 SIM 卡交换攻击进行非法转账的受害报告，总务省已要求运营商加强身份验证。

SIM 卡交换攻击的具体手法

1. 收集个人信息：攻击者从钓鱼邮件、SNS 公开信息、过去数据泄露中流出的信息、暗网上出售的个人信息等渠道收集目标的姓名、地址、出生日期、手机号码和账户信息。
2. 联系运营商：使用收集的个人信息联系运营商客服，冒充受害者。声称「SIM 卡丢了」「想换新设备」，请求将号码转移到新 SIM 卡。
3. SIM 卡切换：运营商通过身份验证后，受害者的手机号码被转移到攻击者的 SIM 卡。此时受害者的智能手机变为无服务状态，无法接收电话和 SMS。
4. 账户接管：攻击者用受害者的手机号码接收 SMS 认证代码，登录银行账户、邮箱账户、加密货币交易所等。密码重置也可以通过 SMS 执行，因此即使不知道密码也能接管账户。

整个攻击过程通常在数小时内完成，受害者发现异常时资金往往已被转移。

SIM 卡交换攻击的防御策略

保护自己免受 SIM 卡交换攻击的具体措施。

• 摆脱 SMS 认证：最有效的措施是不使用基于 SMS 的双因素认证。切换到 TOTP (Google Authenticator、Authy 等认证应用) 或通行密钥，即使手机号码被夺取，认证代码也不会被截获。
• 在运营商设置 PIN / 密码：许多运营商允许为 SIM 卡变更和号码携带设置额外的 PIN 或密码。NTT Docomo、au、SoftBank 在营业厅办理手续时都会验证密码。
• 最小化公开个人信息：避免在社交媒体上公开出生日期、地址、手机号码。减少攻击者可用于身份验证的信息，降低社会工程学的成功率。
• 异常的早期检测：如果智能手机突然无服务或无法收到 SMS，应怀疑 SIM 卡交换攻击，立即联系运营商。时间越长损失越大。
• 重要账户的邮件通知：为银行账户和加密货币交易所设置登录通知和转账通知的邮件接收。有助于早期发现非法访问。

SMS 认证的风险与替代方案

SIM 卡交换攻击的根本问题在于 SMS 作为认证手段是脆弱的。NIST (美国国家标准与技术研究院) 早在 2016 年就将基于 SMS 的认证列为「不推荐」。

SMS 认证脆弱的原因不仅限于 SIM 卡交换。

• SS7 协议漏洞：电话网络的基础协议 SS7 存在设计漏洞，技术上可以截获 SMS。
• 恶意软件截获 SMS：安装在 Android 设备上的恶意软件可以读取 SMS 并转发给攻击者。

推荐的替代方案优先顺序如下。

1. 通行密钥：具有防钓鱼能力，最安全。与设备生物识别联动，便利性也高。
2. TOTP 认证应用：在设备上生成的一次性密码。不依赖通信渠道，不受 SIM 卡交换影响。
3. 硬件安全密钥：YubiKey 等物理设备。具有防钓鱼能力，在企业环境中广泛采用。

并非所有服务都支持 SMS 以外的认证，但强烈建议从银行、邮箱、加密货币等重要账户优先迁移。

常见误解

SIM 卡交换攻击只针对名人和富人

持有加密货币的普通用户和依赖 SMS 认证的网上银行用户也会成为目标。攻击者可以在暗网上廉价获取大量个人信息，并使用自动化工具同时攻击多个目标。

日本运营商身份验证严格所以不会发生 SIM 卡交换

日本在 2022 年以后也有多起 SIM 卡交换攻击受害报告。使用伪造身份证件在营业厅重新发行 SIM 卡的手法已被确认。虽然运营商正在加强对策，但风险并非为零。

相关术语