_12_2023.11.20_美國_FCC_推新規定防制_SIM-swap_與門號攜碼攻擊

美國聯邦通訊委員會(Federal Communication Commission, FCC)日前推出新規定,強制要求各家電信業者強化 SIM 卡補發或攜碼轉換電信業者作業申請的安全驗證流程,以保護消費者免於日益嚴重的 SIM-swap 攻擊。

FCC 旗下的「隱私與資料保護工作小組」(Privacy and Data Protection Task Force)在 2023 年 7 月研擬推出新規定,以強化消費者與電信業者對 SIM-swap 攻擊的防護能力。所謂 SIM-swap 攻擊是指駭侵者假冒消費者要求補發手機 SIM 卡或申請攜碼至其他電信業者以取得新 SIM 卡,藉以竊取消費者的手機門號控制權。

駭侵者取得新 SIM 卡後,即可以該門號來進行進一步的攻擊活動,例如配合竊得的用戶登入資訊,以該門號接收二階段登入驗證簡訊,取得消費者各種社群與金融服務帳號的控制權,或是假冒消費者身分使用或申請各種服務,以散布惡意連結或惡意軟體等,為害甚大。

FCC 本次新規定修改了與「消費者專屬網路資訊」(Customer Proprietary Network Information,CPNI)與「本地門號可攜性」(Local Number Portability)的相關規定,強制要求電信業者在接獲消費者進行新 SIM 補發或攜碼至其他電信業者服務時,必須進行額外的使用者身分驗證,並且明確通知用戶。

FCC 表示,新規定強化了電信業者對消費者的安全保護責任,期可大幅提高 SIM-swap 的攻擊難度,減少這類攻擊的得逞。

由於在台灣申請這類電信服務均需出示雙證件,因此國內的 SIM-swap 攻擊較為少見;但消費者如果擁有國外電信門號,務必提防這類攻擊。

  • 參考連結

FCC ADOPTS RULES TO PROTECT CONSUMERS’ CELL PHONE ACCOUNTS

https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf

FCC adopts new rules to protect consumers from SIM-swapping attacks

https://www.bleepingcomputer.com/news/security/fcc-adopts-new-rules-to-protect-consumers-from-sim-swapping-attacks/

arrow
arrow

    twcert 發表在 痞客邦 留言(0) 人氣()