2025-05-05 | 中央社
韓國最大SK電信遭駭個資外洩 KPMG提醒五大重點,避免手機被駭客接管
韓國最大SK電信遭駭個資外洩 KPMG提醒五大重點,避免手機被駭客接管
(中央社訊息服務20250505 13:51:20)近期,南韓最大電信業者 SK Telecom(SKT)爆發一起嚴重資安事件,駭客透過惡意程式入侵,竊取了用戶的USIM相關資料,造成個資外洩。KPMG安侯建業顧問服務部營運長謝昀澤表示,依據目前的資訊分析,這次事件的根因可能與SKT的資安預算縮減有關。SKT去年減少了網路安全支出,這使得駭客利用了多種惡意軟體進行攻擊,並成功入侵了SKT的系統。謝昀澤示警,由於全球不景氣與多國政府大幅削減預算,使得政府與大型企業,開始重新被國際駭客集團盯上。謝昀澤以美國網路安全主管機關網路安全暨基礎架構管理署(CISA)為例,近期該機構即因預算刪減,已停用幾款重要的資安分析工具。這些工具對於惡意程式偵測和網路資安監控至關重要,如此定會削弱國家整體的網路防禦能力。
謝昀澤分析,過去民眾普遍認為SIM卡攻擊因成本較高,不易大規模執行,通常是鎖定高價值受害者的駭客手法。但此次SKT事件顛覆了我們的想法。據國外媒體報導有超過25種資料型態及大量行動服務資訊遭外洩,駭客透過這些資訊,即可偽造SIM卡、冒用他人身分。謝昀澤指出,若SIM卡遭偽冒複製,駭客不僅可掌控(接管)受害者的身分驗證機制,創造出「暗黑數位孿生(Dark Digital Twin)」的偽SIM卡,還可能進一步修改其在銀行、證券等高敏感機構中的基本資料與聯絡資訊,甚至竄改交易內容,造成金融交易失序。
其實SIM卡遭到攻擊並用於金融犯罪的風險,已經受到各國金融監理機關的高度重視,新加坡金融管理局(MAS)與香港金融管理局(HKMA)於2024下半年起,已相繼要求金融機構停止使用SMS傳送交易驗證碼,改為推行透過APP內推播的驗證碼與一次性密碼(OTP)機制。KPMG數位安全實驗室主管林大馗指出,目前台灣金融機構,仍有大量行動服務仰賴手機門號進行身分驗證,這類機制的潛在風險亟需重視,並發展對應的安全強化方案。
謝昀澤也提醒民眾,現正值報稅季,手機金融服務預期將被大量使用,民眾要謹記五個重點,才能避免自己成為手機SIM卡攻擊的受害者:•不要讓手機門號成為單一驗證機制。• 不要提供過多的個人身分驗證資訊。• 要設定足夠複雜的密碼:因為SIM卡交換攻擊(SIM Swapping),主要攔截透過簡訊傳送的二次驗證碼(OTP),無法破解第一道以密碼為主的驗證機制。因此,強化第一關的密碼強度,可有效提升整體防護力。• 要設定重要交易即時通知的第二管道:例如Line, Email。• 要留意應收到而未收到的交易簡訊通知。
(中央社訊息服務20250505 13:51:20)近期,南韓最大電信業者 SK Telecom(SKT)爆發一起嚴重資安事件,駭客透過惡意程式入侵,竊取了用戶的USIM相關資料,造成個資外洩。KPMG安侯建業顧問服務部營運長謝昀澤表示,依據目前的資訊分析,這次事件的根因可能與SKT的資安預算縮減有關。SKT去年減少了網路安全支出,這使得駭客利用了多種惡意軟體進行攻擊,並成功入侵了SKT的系統。謝昀澤示警,由於全球不景氣與多國政府大幅削減預算,使得政府與大型企業,開始重新被國際駭客集團盯上。謝昀澤以美國網路安全主管機關網路安全暨基礎架構管理署(CISA)為例,近期該機構即因預算刪減,已停用幾款重要的資安分析工具。這些工具對於惡意程式偵測和網路資安監控至關重要,如此定會削弱國家整體的網路防禦能力。
謝昀澤分析,過去民眾普遍認為SIM卡攻擊因成本較高,不易大規模執行,通常是鎖定高價值受害者的駭客手法。但此次SKT事件顛覆了我們的想法。據國外媒體報導有超過25種資料型態及大量行動服務資訊遭外洩,駭客透過這些資訊,即可偽造SIM卡、冒用他人身分。謝昀澤指出,若SIM卡遭偽冒複製,駭客不僅可掌控(接管)受害者的身分驗證機制,創造出「暗黑數位孿生(Dark Digital Twin)」的偽SIM卡,還可能進一步修改其在銀行、證券等高敏感機構中的基本資料與聯絡資訊,甚至竄改交易內容,造成金融交易失序。
其實SIM卡遭到攻擊並用於金融犯罪的風險,已經受到各國金融監理機關的高度重視,新加坡金融管理局(MAS)與香港金融管理局(HKMA)於2024下半年起,已相繼要求金融機構停止使用SMS傳送交易驗證碼,改為推行透過APP內推播的驗證碼與一次性密碼(OTP)機制。KPMG數位安全實驗室主管林大馗指出,目前台灣金融機構,仍有大量行動服務仰賴手機門號進行身分驗證,這類機制的潛在風險亟需重視,並發展對應的安全強化方案。
謝昀澤也提醒民眾,現正值報稅季,手機金融服務預期將被大量使用,民眾要謹記五個重點,才能避免自己成為手機SIM卡攻擊的受害者:•不要讓手機門號成為單一驗證機制。• 不要提供過多的個人身分驗證資訊。• 要設定足夠複雜的密碼:因為SIM卡交換攻擊(SIM Swapping),主要攔截透過簡訊傳送的二次驗證碼(OTP),無法破解第一道以密碼為主的驗證機制。因此,強化第一關的密碼強度,可有效提升整體防護力。• 要設定重要交易即時通知的第二管道:例如Line, Email。• 要留意應收到而未收到的交易簡訊通知。
最新生活新聞
-
-
桃市動物保護教育園區認養 動物健康照護福利升級
(32 分鐘前) -
桃園學子穿越馬路遭撞四肢擦挫傷 警將釐清肇責
(40 分鐘前) -
淡海輕軌車站滅火器遭指過期 新北捷運:已更換
(43 分鐘前) -
證書也可以很藝術! 高市青年局聯手插畫家聯名打造榮耀新美學
(44 分鐘前)