大多數人分享手機號碼時都不會多想,但仔細想想,你的手機號碼其實是任何想竊取你資訊的人的絕佳切入點。你用它進行網路銀行交易、接收雙重驗證碼,甚至登入社群媒體。
如果你想知道別人能用你的手機號碼做什麼,答案其實很複雜。它確實會給攻擊者打開方便之門,但只要你採取了安全措施,就沒什麼大問題。
攻擊者僅憑手機號碼無法存取你的裝置。但是,如果他們將手機號碼與從資料庫洩露或公開記錄中獲取的其他資訊結合起來,風險就會增加。他們可以利用這些資訊進行網路釣魚或帳戶盜用,最糟糕的情況下,甚至會導致身分盜竊。
你需要知道的是:
- 單憑手機號碼無法直接入侵你的裝置。
- 詐騙分子會利用手機號碼進行網路釣魚、身分冒用和帳號重置等活動。
- 最嚴重的風險是SIM卡交換,它可以攔截登入驗證碼。
- 當你的手機號碼與其他洩漏的個人資料結合使用時,風險會進一步增加。
- 意外的服務問題或登入警報可能預示著麻煩。
- 強大的身份驗證和運營商保護措施可以顯著降低風險。
詐騙分子可以利用您的電話號碼做什麼?
詐騙分子一旦取得您的手機號碼,便可利用它發送釣魚簡訊、偽造來電顯示,並嘗試重設您的帳號密碼。在很多情況下,您的手機號碼只是他們精心策劃的詐騙策略中的一個環節。值得注意的是,這些攻擊都不需要實際接觸您的裝置。僅僅擁有您的手機號碼就足以啟動詐騙活動。
詐騙分子常用的伎倆有很多,其中最常見的是簡訊釣魚(smishing)。這些釣魚訊息透過簡訊發送,冒充您經常聯繫的公司,例如銀行、快遞公司和政府機構。短信中通常會包含一個指向網頁的鏈接,網頁上會有一個表格要求您填寫個人信息,或者提示您撥打虛假的客服熱線。這些簡訊看起來像是來自官方管道,因此人們往往會在未經深思熟慮的情況下做出回應。
在某些情況下,您的手機號碼可能會被用來觸發密碼重設。當使用者要求重設密碼時,線上服務通常會透過簡訊發送一次性驗證碼。如果這種情況發生,而攻擊者已經知道你的郵箱地址,他們可以發動重置,然後嘗試攔截或利用社交工程手段從你那裡獲取驗證碼。
詐騙分子能僅憑你的手機號碼就存取你的帳戶嗎?
僅憑電話號碼通常不足以直接存取您的帳戶。攻擊者要成功入侵,至少還需要其他訊息,例如您的電子郵件地址或洩漏的密碼。
主要漏洞在於密碼重設流程。如果您註冊的服務僅使用短信驗證作為恢復選項,而攻擊者能夠接收到您的短信,他們就能訪問您的帳戶。這需要攻擊者透過SIM 卡交換或您裝置上的惡意軟體來取得您的簡訊存取權限。
由於此類事件頻傳,大多數公司正在逐步放棄將簡訊作為敏感資訊傳輸的第二重驗證方式。已有不少備受矚目的帳號被盜事件被記錄在案,受害者包括加密貨幣持有者、記者等等。
詐騙分子可以冒充您或攻擊您的聯絡人嗎?
是的,來電顯示欺騙技術可以讓攻擊者撥打電話或發送短信,使其看起來像是來自您的號碼。隨著人工智慧技術的進步,冒充他人變得更加容易,這種方法也變得更加普遍。這項技術應用廣泛、成本極低且易於使用。
一旦垃圾郵件發送者偽造了您的號碼,他們就可以致電您的聯絡人,要求緊急轉帳、發送虛假付款連結或索取驗證碼。這些攻擊之所以能得逞,原因顯而易見:您的聯絡人在螢幕上看到一個他們信任的名字,他們怎麼可能不接受您的要求呢?
當您發現有人偽造您的號碼時,請立即通知您的聯絡人。使用您可以控制的管道(例如裝置上的群組訊息或電子郵件),並向您的電信業者報告此事。
您的號碼會被用於身分盜竊嗎?
單憑電話號碼不足以構成身分盜竊。但如果與其他個人識別資訊 (PII)結合使用,例如您的全名、出生日期或社會安全號碼,問題就出現了。當攻擊者掌握兩個或更多數據點時,他們可以嘗試以您的名義開設信用卡帳戶、提交虛假納稅申報表或存取您的金融帳戶。
對於最終用戶來說,問題在於如何判斷有多少個人資訊已被洩露。經常會發生大規模資料外洩事件,數百萬個電話號碼以及客戶姓名、地址和帳戶詳細資訊都會被洩露。
這些記錄最終可能會出現在暗網上,攻擊者可以將其作為資料庫的一部分購買。因此,許多公司將電話號碼視為敏感資料;一旦電話號碼與其他個人資料一起使用,其資訊敏感度就會急劇上升。而且,在大多數情況下,這種洩漏並非源自於您的過錯。
那麼,詐騙分子究竟是如何取得您的電話號碼的呢?
詐騙分子透過資料外洩、人員搜尋網站、釣魚表單以及能夠偵測活躍線路的自動撥號系統來取得電話號碼。請記住,從您的號碼被盜用到您注意到可疑活動之間,通常需要很長時間,有時甚至長達數年。
如果您想知道詐騙分子是如何獲取您的電話號碼的,答案幾乎總是指向上述某種途徑。
詐騙分子取得電話號碼的另一個途徑是公共記錄。法院文件、選民登記和房產記錄通常包含電話號碼,並且在許多司法管轄區都可以在線上免費取得。填寫保固登記卡或加入商店會員計畫可能會將您的電話號碼輸入行銷資料庫,而這些資料庫隨後可能會遭到外洩或轉售。
資料外洩和資料經紀商扮演著怎樣的角色?
資料外洩是電話號碼外洩的最大來源,而資料經紀商則火上加油,將洩漏的資訊廣泛傳播。
當公司遭遇資料外洩時,客戶記錄通常會在幾天內出現在暗網論壇和交易平台上。攻擊者會將這些資訊與現有資料庫進行交叉比對,從而逐步建立名單上每個人的完整畫像。
像 Whitepages、Spokeo 和 BeenVerified 這樣的資料經紀商將公共和商業資料聚合到一個可搜尋的資料庫中,加劇了資料外洩問題。只需支付少量費用,任何人都可以查詢你的電話號碼,並取得與該號碼關聯的姓名、地址和其他個人資訊。雖然可以從這些網站刪除你的訊息,但你需要分別向每個經紀商發送電子郵件,提出退出請求。
如何判斷你的電話號碼是否已被盜用?
如果你突然失去手機訊號或收到你未曾要求的密碼重置短信,則你的電話號碼可能已被盜用。其他跡象包括收到你未曾更改的帳號通知,以及聯絡人報告收到來自你號碼的可疑簡訊。
注意短時間內是否出現大量此類事件。接到單一垃圾電話無需擔心。所謂“完美風暴”,指的是即使設備和SIM卡物理完好無損,信號卻完全丟失,同時還出現你並未觸發的登錄提示或身份驗證請求。這種情況通常表示SIM卡被調換過。
如果發現任何可疑之處,請快速檢查您的電信業者帳戶是否有未經授權的修改。您可以嘗試使用其他手機撥打電話或親自前往營業廳。然後登入您的電子郵件、銀行和社群媒體帳戶,檢查是否有您未曾進行的變更。
什麼是SIM卡交換?為什麼它是最大的威脅?
SIM卡交換攻擊是指詐騙分子成功說服您的行動電信商將您的手機號碼轉移到他們控制的SIM卡上。這使得詐騙分子可以攔截發送到您號碼的所有來電和簡訊。它是最嚴重的基於手機號碼的威脅,因為它完全繞過了基於簡訊的雙重認證的安全機制。
如果SIM卡交換成功,攻擊者可以接收到發送到您手機的每個簡訊驗證碼。想想所有可能發生這種情況的場景:電子郵件和銀行的一次性密碼、加密貨幣交易所的驗證以及社群媒體的存取。
一旦您的電子郵件帳戶被盜用,損失可能會迅速擴大,因為詐騙者可以針對數十個其他服務發起密碼重設。為了幫助用戶,美國聯邦通訊委員會 (FCC) 的 SIM 卡交換詐騙指南涵蓋了營運商層面的保護措施和報告步驟,以及詐騙手法和需要注意的事項。
SIM 卡交換詐騙是如何運作的?
為了成功實施SIM卡交換,攻擊者首先會收集目標用戶的個人信息,然後冒充用戶聯繫運營商,要求轉移號碼。
攻擊者會從先前的資料外洩事件或社群媒體個人資料中收集姓名、地址、帳號、社保號碼後四位等資訊。之後,攻擊者會透過業者的線上入口網站或客服專線發動SIM卡交換。由於他們掌握了用戶的信息,因此能夠成功完成驗證流程,從而獲得號碼轉移批准。
在某些情況下,攻擊者甚至會直接賄賂或利用社交工程手段欺騙業者員工。SIM卡交換的變體,稱為攜號轉網詐騙,其流程類似,但會將號碼轉移到不同的運營商。
詐騙分子喜歡使用SIM卡交換,因為任何能夠重新路由簡訊的攻擊都能立即繞過所有依賴簡訊驗證碼的帳戶安全機制。
如果有人掌握了你的手機號碼,你需要擔心嗎?
如果有人掌握了你的手機號碼,目前還不必太擔心。你可能會接到垃圾電話和偶爾收到釣魚短信,但這本身並不值得擔心;你的帳戶或身份不會有危險。
當您使用手機號碼進行基於簡訊的帳戶恢復(例如電子郵件、銀行或其他帳戶)時,風險會更高。如果您的手機號碼與其他個人資料一起在資料外洩事件中被曝光,風險還會進一步增加。如果手機號碼被盜者掌握了您的電子郵件地址和洩露的密碼,他們可利用的資訊就比在社群媒體上找到您號碼的人多得多。
普通垃圾訊息和嚴重威脅有什麼區別?
一般垃圾訊息是一種廣撒網式的詐騙手段,包括自動撥號電話、電話推銷和一次發送給成千上萬個號碼的通用詐騙簡訊。雖然這些資訊很煩人,但不太可能造成危險,您只需封鎖並舉報即可。
相比之下,嚴重威脅通常是帶有您的真實姓名、銀行資訊或近期交易記錄的定向訊息,這表明寄件者掌握的不僅僅是您的手機號碼。重複收到密碼重設代碼表示有人正在試圖存取您的帳戶。如果發生SIM卡被盜用的情況,您的手機可能會突然顯示「無服務」。
如果詐騙分子掌握了您的手機號碼,您該怎麼辦?
如果您懷疑詐騙分子盜用了您的手機號碼,您需要立即鎖定您的電信商帳戶,更改重要帳戶的密碼,並升級您的身分驗證方式。您還應該舉報此事。
這一切都應該盡快完成,因為從SIM卡被更換到帳戶完全被盜用可能只需要幾分鐘。如果詐騙分子掌握了你的手機號碼,如何應對取決於速度。
如果你不確定駭客掌握了你的手機號碼該怎麼辦,首先要確保你的電信商帳戶安全。使用其他電話(例如座機或家人的電話),或前往實體營業廳,要求他們立即凍結SIM卡更換和攜號轉網請求。
帳戶安全後,先檢查你的電子郵件帳戶(因為其他所有帳戶的重置都由電子郵件控制),然後是銀行帳戶,最後是社交媒體帳戶。如果你擔心自己是身分盜竊的受害者,請凍結三大信用機構(Equifax、Experian和TransUnion)的信用記錄,並在IdentityTheft.gov網站提交報告。
提交報告時,請務必盡可能詳細地記錄所有資訊。包括運營商來電的截圖、時間戳記和參考編號,因為你可能需要在後期對欺詐性收費提出異議。
如何保護您的電信業者帳戶?
為了保護您的電信商帳戶,您應該設定 SIM 卡 PIN 碼,建立強密碼且獨特的帳戶密碼,並啟用號碼轉移保護。
SIM 卡密碼 (SIM PIN) 是您在新裝置上使用 SIM 卡之前必須成功輸入的代碼。您可以在手機設定中設定此密碼,也可以致電客服設定。此外,您的電信商帳戶(用於登入帳單的帳戶)需要設定與 SIM 卡密碼不同的強密碼。
最後,大多數運營商都提供號碼鎖定或連接埠凍結選項,以防止未經授權的轉移。您可以在您的線上帳戶中啟用這些設定。如需全面了解行動安全,NIST 的行動裝置安全建議提供了涵蓋大多數情況的實用框架。
如何保護您的線上帳戶?
將基於簡訊的雙重認證替換為基於應用程式或硬體的替代方案。使用 Google Authenticator、Microsoft Authenticator 或 Authy 等驗證器應用程式在您的裝置上產生基於時間的驗證碼,這將使您的帳戶免受 SIM 卡交換攻擊。
為了進一步保護您的重要帳戶,您可以使用 YubiKey 等硬體安全金鑰。這些措施使得遠端帳戶接管成為不可能,因為它們需要實際持有金鑰才能授權登入。
重複使用密碼也會增加帳號的脆弱性,因為如果您使用的某個網站被駭客入侵,攻擊者就能利用您的密碼存取您註冊的其他多個網站。為了降低這種風險,請使用密碼管理器為每個帳戶產生並儲存唯一的密碼。
為了加強保護,請使用基於應用程式或硬體的多因素身份驗證方式,而不是簡訊驗證。這種方式會將驗證碼與您的裝置而非手機號碼綁定,從而大大增加攻擊者攔截驗證碼的難度。
如何長期保護您的手機號碼?
長期保護手機號碼的目標是減少其暴露範圍,並盡可能降低其在帳戶安全中的作用。遺憾的是,這並非一勞永逸,您可能需要每年多次進行操作。
首先,請從所有線上平台刪除您的手機號碼,包括您的社群媒體帳號和商業目錄。您可能還需要選擇退出資料經紀網站,您可以手動發送退出請求,或使用像DeleteMe這樣的服務。
然後,列出所有使用您的手機號碼進行帳戶恢復的帳戶,並將它們遷移到基於應用程式的身份驗證方式。
為了增加安全性,您可以選擇使用預付費SIM卡或VoIP服務註冊一個備用號碼,用於註冊外帶應用程式和零售帳戶。如果主號碼被盜用,您可以輕鬆更換備用號碼。
定期檢查您的隱私設置,因為平台預設設定可能會在更新後發生變化。原本私密的個人資料欄位可能會悄悄變成公開。了解他人可以透過您的電話號碼獲取哪些訊息,有助於您決定哪些資訊需要保護,哪些資訊需要徹底刪除。這只需每季花費 10 分鐘,卻能避免日後大量的清理工作。您可以考慮使用Kaspersky Premium等全面的安全解決方案來監控涉及您個人資訊(包括電話號碼)的資料外洩。
相關文章:
相關產品:
常見問題
有人能透過我的電話號碼追蹤我的位置嗎?
不能,透過電話號碼追蹤位置需要訪問運營商級基礎設施或在您的設備上安裝間諜軟體。位置追蹤僅限於持有搜索令的執法部門。有些詐騙網站提供基於電話號碼的追蹤服務,這些幾乎都是網路釣魚陷阱或詐騙行為。
有人能透過我的手機號碼存取我的銀行帳戶嗎?
單憑手機號碼不足以存取您的銀行帳戶。但是,如果手機號碼與其他個人資訊結合使用,則可能用於進行SIM卡交換。這將使攻擊者能夠攔截簡訊驗證碼,並有可能存取您的帳戶。
我應該在身分盜竊後更換手機號碼嗎?
不,只有在您是SIM卡交換或騷擾的受害者時,更換手機號碼才有意義。大多數漏洞都可以透過保護您的電信業者帳戶、升級身分驗證和凍結您的信用來解決。美國聯邦貿易委員會 (FTC) 提供的身份盜竊恢復步驟可以幫助您做出決定。
