遏止 SIM 交换：给消费者和移动运营商的小建议

手机 SIM 交换攻击正变得越来越猖獗。 据估算，仅在美国，消费者在 2021 年因 SIM 交换而蒙受的损失就高达近 7,000 万美元，而西班牙国家警察最近逮捕了 8 名被控参与团伙犯罪，利用一系列 SIM 卡交换攻击清空银行账户的嫌犯。 此类攻击极为猖獗，以至于微软已警告消费者不要使用基于电话或短信的多因素身份验证 (MFA)。

SIM 交换是什么？

SIM 交换，也称 SIM 劫持或 SIM 拆分攻击，是一种帐户接管 (ATO) 攻击，在这类攻击过程中，网络犯罪分子会将受害者的手机号码移植到新的 SIM 卡上。 SIM 交换攻击通常通过以下三种方式之一进行：

1. 针对消费者的网络钓鱼攻击。 在这种场景下，网络犯罪分子通过网络钓鱼获取手机用户的个人识别信息，然后利用这些信息冒充该用户，说服移动运营商为目标电话号码发放新 SIM 卡。 西班牙发生的攻击事件就采取了这种形式。
2. 针对移动运营商的网络钓鱼攻击。 在这种场景下，网络犯罪分子通过网络钓鱼诱使移动运营商员工提供密码或下载恶意软件，利用恶意软件攻破移动运营商的系统，然后即可自行执行 SIM 交换。
3. 移动运营商内部人员的恶意行为。 在这种场景下，网络犯罪分子直接与有权执行 SIM 交换的移动运营商员工串通。

无论攻击以何种方式执行，最终结果都是一样的。 一旦网络犯罪分子将消费者的手机号码移植到自己拥有的 SIM 卡上，只需将其插入一部新设备，即可将其用于基于手机的 MFA，重置消费者的登录凭证，并接管他们的在线帐户和应用程序。

遏止 SIM 交换：给消费者的小建议

• 尽可能使用双因素身份验证 (2FA) 保护您的在线帐户，但不要使用电话或短信进行身份验证。 而是使用生物特征识别、物理安全令牌或独立的身份验证应用程序。
• 避免在线上共享您的手机号码或其他个人信息，例如您的街道地址。
• 永远不要在线上共享个人财务信息。
• 在回复自称来自您的移动运营商但并非应您要求拨打的电话或发送的电子邮件时，永远不要提供您的手机号码帐户信息。 请致电您的移动运营商客服专线或直接登录其网站，对该联系人的身份进行确认。
• 为您的所有在线帐户使用唯一的强密码。
• 永远不要将您的登录凭证或其他敏感信息存储在文本文件、电子表格或其他未经加密的介质中。 而是使用 Keeper 这样的密码管理器，它会将您的登录凭证和其他个人信息存储在只有您才能访问的加密保险库中。
• 考虑更改移动运营商，转网至 Efani，这家安全移动服务商发放经加密的 SIM 卡，能够保护您的移动帐户和个人信息免受潜在 SIM 交换漏洞的损害，还为每个用户提供 500 万美元保险。

遏止 SIM 交换：给移动运营商的小建议

• 对员工进行网络安全意识培训，包括犯罪分子如何利用网络钓鱼攻击进行 SIM 交换。
• 为员工制定全面的安全准则，要求他们在为号码发放新 SIM 卡之前，先按照准则中的流程验证客户的身份凭证。
• 通过基于角色的访问控制 (RBAC) 限制有权限将号码移植至新 SIM 卡的员工数量，并使用审计日志跟踪所有此类活动，包括进行移植操作的具体人员和时间。
• 要求您的员工使用唯一的强密码，对所有工作帐户启用 MFA，并使用可靠的企业密码管理和加密平台（如 Keeper）强制执行这些政策。

通过 Keeper 的零知识密码管理和安全平台，IT 管理员能够全面掌握员工的密码实践，监控密码的使用，并在整个组织中执行密码安全策略，包括密码复杂性要求、MFA、RBAC 和其他安全策略。

还不是 Keeper 客户？立即注册，享受 14 天免费试用！想要详细了解 Keeper 如何帮助您的组织防止安全漏洞？立即联系我们的团队。