小心！「SIM卡劫持」詐騙正鎖定你我，連知名企業M&S都中招

英國零售巨頭Marks & Spencer（M&S）近期遭駭客入侵，調查發現攻擊者使用一種名為「SIM卡劫持」（SIM-swap）的手法。這種詐騙方式雖然技術門檻不高，卻能造成嚴重損害。據《泰晤士報》報導，駭客可能先取得員工手機號碼控制權，再騙取IT部門重置關鍵登入憑證，最終成功入侵企業內部系統。

SIM卡劫持詐騙在英國正快速蔓延。根據英國國家詐欺預防服務CIFAS統計，相關案件從2022年不到300件，暴增至2023年近3,000件。過去主要鎖定加密貨幣投資人或網紅的攻擊手法，現在已擴大到一般民眾和大型企業。

這種詐騙之所以危險，在於它利用人們對手機號碼的信任。詐騙者會說服電信業者將受害者的號碼轉移到他們控制的新SIM卡（甚至是嵌入式eSIM）。取得號碼後，所有來電和簡訊都會轉到詐騙者手中，包括銀行驗證碼、社群媒體登入認證等重要資訊。

更可怕的是，詐騙者通常已掌握受害者大量個資。這些資料可能來自資料外洩、釣魚網站，甚至是受害者自己在社群媒體公開的資訊。Instagram上的生日貼文、求職網站留的電話、參加抽獎活動填的住址，都可能成為詐騙者偽裝身分的素材。

一旦號碼被劫持，後果不堪設想。詐騙者能：
• 存取敏感檔案
• 重置各平臺密碼
• 登入WhatsApp等通訊軟體
• 假冒身分向親友行騙
受害者可能面臨金錢損失、名譽受損，甚至心理創傷。

M&S事件更凸顯企業風險：許多公司仍將手機號碼作為員工身分驗證方式，使系統暴露在相同威脅下。

雖然即時偵測號碼劫持仍有難度，但我們可以採取以下防護措施：
• 避免在不明網站留下個資
• 學習辨識釣魚攻擊
• 改用Google Authenticator等驗證器App
• 為電信帳戶設定專用PIN碼

當然，防範責任不該全落在使用者身上。電信業者應強化身分驗證程式，金融機構應減少依賴簡訊驗證，企業則需加強訓練IT人員識別這類攻擊。

SIM卡劫持之所以有效，正是因為它利用了我們對手機號碼的信任。M&S事件再次提醒：保護「數位身分」已是刻不容緩的課題。

[end]