韓國最大SK Telecom 電信遭駭客攻擊,500萬行動門號資料遭竊,簡訊驗證身份的安全性再次引起討論
一、SIM 卡資料外流、遭偽冒的事件,在台灣有可能發生嗎?
南韓政府後續針對本次事件進行了調查,目前可知,用於複製USIM卡的4種用戶資訊、SK電訊為處理USIM卡數據而所需管理的21種資訊遭洩露,但未包含國際移動設備識別碼(IMEI,俗稱手機身份證),但建議民眾更換USIM卡並加入USIM卡保護服務。
雖然客戶的客戶姓名、其他身分資訊、財務資料並未外流,但外洩的資訊落入歹徒手中,結合自其他來源取得的用戶個資,可能會被用於發動SIM卡偽冒(SIM Swapping)攻擊。歹徒可以將銀行認證簡訊導到新的SIM卡,對銀行帳戶款項進行盜領,可能造成民眾大量財産損失。
台灣三大電信廠商依現行通訊法規的要求,在更換SIM卡的過程,需要本人親自到櫃枱辦理,確認是本人身分才提供換卡,因此,在台灣發生SIM卡偽冒的機會並不大。唯一一次較大的案件是2022年當時因疫情的關係,歹徒假冒大陸台商SIM卡遺失需補發,因航班停飛無法親自辦理,電信業者僅憑證件圖檔,即核準換卡,造成真正的客戶銀行帳戶被盜,差點身家不保。
二、SIM卡如此脆弱,那麼eSIM(數位化SIM卡)是否較安全?
三、SIM簡訊驗證是否值得信賴? 為什麼大家都在推薦其他更安全的二次驗證機制?
目前大多數銀行為了減少學習門檻,仍然採用簡訊驗證的方式確認客戶本人的身分。其實SIM卡資料遭竊在世界各地已發生數次,因此資安專家們總是提醒用戶使用更好的二次驗證機制。
 |
| 圖:近年sim卡資料外流事件頻傳,簡訊驗證遲早有一天要被取代 |
我們在2024年9月號的月刊文章中,有介紹過使用「驗證APP」(Authentication App) 配對QR Code後,後續則透過輸入動態數碼來當做二次驗證的機制。驗證APP的原理就是在配對時,金鑰資料儲分別存到系統與手機上,之後就可以透過動態數碼來認證是否為同一人。
然而對於大多數的一般使用者來說,使用驗證APP的門檻有點高,要熟悉所有的操作亦需要不小的學習成本,驗證時還要花眼力找尋動態碼存放位置,並且空出一隻手來輸入動態碼,真的很令人困擾。因此後來許多雲端業者開始倡導Passkey(密碼金鑰)的概念。
PassKey的概念和驗證APP很像,都是透過「配對QRCODE」傳遞金鑰的資料,但實際在真的要認證時,借助了行動裝置的生物辨識工具(如:臉部ID、指紋辨識等),如此一來就可以更輕鬆寫意的進行認證,不必手忙腳亂擔心KEY錯驗證碼,也幾乎不需要記得密碼。唯一和「驗證APP」不一樣的,就是有時可能需要在連網才能驗證,這一點和隨時可産生動態碼的驗證APP相比,就差了一些。詳細節操作方式,可以參考這篇文章的介紹。
 |
| 圖:驗證器APP 與 PassKey在實際使用上的差異 |
至於金融FIDO的機制,概念上和PassKey是一樣的,只是初始設定時需要使用實體金融卡至ATM機台前配對身份,設定好之後,未來要進行轉帳,就可以選擇FIDO驗證,除了可以保障帳戶的安全性及交易不可否認性,每次轉帳的額度也增加了(非約定帳號轉帳每月可達新臺幣50萬元),詳細的申請規則與方式,可與您的銀行客服洽詢與連繫,增加數位銀行使用的安全性。
| 類型 | 全名 | 形式 | 支援網路 | 特點與用途 |
|---|---|---|---|---|
| SIM | Subscriber Identity Module | 實體卡片 | 2G(GSM) | 早期用於 2G 網路,功能較為基礎,安全性和容量有限。 |
| USIM | Universal Subscriber Identity Module | 實體卡片 | 3G / 4G / 5G | 支援更高網速與加密,具備更大的儲存容量,可用於多媒體、行動支付等應用。 |
| eSIM | Embedded SIM | 內建晶片 | 4G / 5G | 無需實體卡,可遠端下載與切換電信業者設定,適用於智慧型手機、穿戴裝置與物聯網設備。 |
延伸閱讀:
留言
張貼留言