美國FCC祭出新規定以防範SIM卡挾持攻擊

美國聯邦通訊委員會（Federal Communications Commission，FCC）上周針對美國的電信營運商祭出了新規定，以防範消費者的手機遭到SIM卡挾持（SIM Swap）攻擊。

SIM卡挾持指的是駭客取信於受害者的電信營運商，以將受害者的手機服務移轉到駭客的手機上，進而使駭客取得基於受害者身分的一次性認證碼，執行詐騙交易。在FBI網路犯罪投訴中心（IC3）去年的消費者投訴統計中，SIM卡挾持雖然不是名列前茅，卻也榜上有名，總計接到超過2,000次的投訴，損失金額超過7,000萬美元。

此次FCC修訂了客戶專有之網路資訊（Customer Proprietary Network Information，CPNI）與市話可攜（Local Number Portability，LNP）的規定，要求服務供應商在將客戶的電話號碼移轉至新裝置或新供應商時，必須採用安全的方法來驗證客戶的身分，包括必須立即通知客戶，以及採取額外的措施來保護客戶，以避免客戶受到SIM卡挾持攻擊。

2020年時，幾位美國普林斯頓大學的研究人員曾經親自實驗SIM卡挾持攻擊，他們向5家不同的電信營運商各購買10張預付卡，再打電話去客服，宣稱所購買的SIM卡故障了，可否將身分切換到新SIM卡上，結果在50張SIM卡中，成功切換了39張，成效驚人。