什么是 SIM 卡交换（SIM Swap）攻击

[muskanislam44]

SIM卡交换（SIM Swap），也称为SIM卡劫持（SIM Hijacking）或携出诈骗（Port-out Fraud），是一种日益普遍的欺诈手段，攻击者通过这种方式非法控制受害者的电话号码。其核心原理是利用社会工程学或内部串通，欺骗移动网络运营商，将受害者的电话号码转移到攻击者控制的一张新SIM卡上。一旦成功，攻击者就能拦截所有发往该号码的短信和电话，从而绕过许多在线服务的双因素认证（2FA）并接管受害者的账户。

SIM卡交换攻击的步骤
SIM卡交换攻击通常涉及以下几个关键步骤：

信息收集（Reconnaissance and Information Gathering）：

攻击者首先会尽可能多地收集受害者的个人信息。这些信息可能来自各种渠道：
公开信息： 社交媒体、公开的商业注册信息等。
数据泄露： 从已被泄露的数据库中获取受害者的姓名、地址、出生日期、电子邮件地址、甚至部分银行信息。
钓鱼攻击： 通过伪造的邮件或短信（Smishing），诱骗受害者点击恶意链接，输入个人敏感信息或账户凭据。
恶意软件： 在受害者设备上安装恶意软件，窃取信息。
攻击者可能会特别关注那些运营商在验证用户身份时可能问到的问题，例如最近的账单金额、最近的通话记录等。
冒充受害者并联系运营商（Impersonation and Contacting the Carrier）：

攻击者利用收集到的个人信息，冒充受害者联系其 电话营销数据 移动网络运营商。这通常通过电话客服、在线聊天或（在某些情况下）亲自前往营业厅进行。
攻击者会编造一个可信的理由，声称自己的手机丢失、损坏、或者SIM卡出了问题，因此需要将原有的电话号码转移（或“交换”）到一张新的SIM卡上。
社会工程学攻击（Social Engineering）：

这是SIM卡交换成功的核心环节。攻击者会利用其所掌握的受害者个人信息，来回答运营商客服提出的安全验证问题。
如果运营商的验证流程不够严格，或者客服人员疏忽大意，攻击者就能成功骗过运营商，使其相信他们就是号码的合法持有者。
在某些更复杂的案例中，可能存在运营商内部人员被贿赂或勾结的情况，直接协助攻击者完成交换。
号码转移和劫持（Number Transfer and Hijacking）：

一旦运营商被说服，他们就会将受害者的电话号码与攻击者提供的（或已经获取的）新SIM卡关联。
此时，受害者手机中原有的SIM卡会立即失去服务（通常表现为手机没有信号、无法拨打/接听电话或发送/接收短信）。
攻击者现在就完全控制了受害者的电话号码。
接管在线账户和实施欺诈（Account Takeover and Fraud）：

这是攻击者的最终目的。由于许多在线服务（如银行账户、移动支付应用如bKash和Nagad、电子邮件、社交媒体、加密货币交易所等）都将电话号码作为主要的双因素认证（2FA）手段（通过短信OTP）或密码重置的途径，攻击者可以利用他们现在控制的号码：
访问这些在线账户，通过“忘记密码”功能重置密码，并接收OTP。
登录受害者的银行账户，进行未经授权的转账或交易。
访问加密货币钱包，窃取数字资产。
冒充受害者在社交媒体上发布信息或进行诈骗。
SIM卡交换的后果
SIM卡交换的后果是灾难性的，可能导致：

巨额经济损失： 资金被盗是主要的风险。
身份盗窃： 攻击者可能利用掌握的信息进行进一步的身份盗窃。
隐私泄露： 个人通信和信息被拦截。
精神困扰和压力： 遭受攻击的用户会经历巨大的精神打击。
孟加拉国的情况
在孟加拉国，SIM卡交换诈骗也是一个日益严重的问题，尤其是在移动金融服务普及的背景下。诈骗者可能会通过伪造文件、社会工程学甚至与不法运营商代理串通来实施此类攻击。孟加拉国电信监管委员会（BTRC）和各运营商已采取措施加强SIM卡注册和更换的身份验证流程，例如强制要求生物识别验证（指纹）才能注册新的SIM卡或更换旧的SIM卡，以应对此类威胁。然而，用户仍需保持高度警惕。