FBI注意到SIM卡替换攻击类型急剧增加 导致民众损失超过6800万美元

SIM 卡替换攻击的基本方式是嫌犯窃取一定数量的个人数据（包括受害者电话号码），假装机主联系另一家运营商，声称手机已丢失并说服运营商提供新手机和 SIM 卡，断开 “旧” 线路，然后从云端传输受害者的应用程序和信息。通过 SIM 卡替换攻击，罪犯可以用不同的设备控制手机以持续获得更多有用的信息。

SIM 替换攻击迅速增加的一个证据是联邦调查局去年收到的相关投诉的数量。在 2018 年 1 月至 2020 年 12 月期间，总共有 320 起此类投诉，总计导致 1200 万美元的损失。然而，仅在 2021 年，在 1611 起 SIM 卡替换攻击投诉被记录以后，这一数字急剧上升到 6800 万美元。

虽然基于短信的 2FA 为账户增加了额外的安全层，但这种方法长期以来一直被认为是有风险的，因为移动运营商发来的短信仍然可以通过恶意软件窃取或冒充，攻击者会欺骗运营商将电话号码换到他们选择的 SIM 卡上。

SIM 卡替换的受害者也可能因为在社交媒体和公共论坛上宣传他们的金融资产而自食其果，这也包括分享加密货币投资上的细节，正如联邦调查局的咨询中指出的那样。

当然，用户可以通过强度更大的密码（和密码管理器），以及采用更强大的 2FA 方法，而不是基于短信来解决依赖短信的问题问题。基于应用程序的认证器生成代码，或像 Google 这样的无代码实施，已被证明可以提高账户保护能力。

此外，联邦调查局还建议移动运营商对员工进行有关 SIM 卡替换的教育和培训，并采取更严格的措施来验证与将号码换到新设备上有关的真实用户请求。