本地电信业者星和旗下子品牌giga!因手机号码被劫持遭调查

eSIM 方便，但可能让SIM 卡交换攻击变得更容易
你有听过「SIM 卡交换攻击」（SIM swap attack）吗？这是一种窃取钱财方式，恶意人士会冒用受害者的身份，向电信业者提出要补发SIM 卡，并将这张补发的SIM 卡插入一次性的手机当中，几分钟之内，恶意人士就可以在这支手机中安装受害者的应用程式，并窜改金融应用程式的密码，借此窃取受害者的钱财。

在恶意人士将补发的SIM 卡插入一次性手机后，受害者的手机号码就不能再运作，且会收到一则系统通知表示，你的电信商已经批准更换SIM 卡。假如你也遇到这种情况，且实际上没有向电信业者申请新的SIM 卡，就应该尽速致电给电信业者告知情况，因为这种情况下时间的长短至关重要。

不过据外媒报导，随着eSIM 日渐普及使得SIM 卡交换攻击变得更加容易。为什么？

首先先来说说eSIM 的运作机制，这是一种嵌入式用户身份模组，这个模组嵌入在手机内无法拿出来。当使用者向电信业者要求启用eSIM 后，业者会就会提供一组QR code，使用者按照系统指示操作后即可启用eSIM。

据俄罗斯网路安全公司FACCT 指出，现在美国与全世界各个国家的SIM 卡交换攻击恶意人士，正在转向eSIM 来窃取受害者的电话号码，并绕过一些人指望可保护其金融应用程式免于入侵的保护措施。

FACCT 在其新闻稿中指出，自2023 年秋季以来，FACCT 诈欺保护部门的分析师就发现，有一个网路银行个人帐户出现超过百次试图盗入的纪录。为了窃取手机号码的访问权限，犯罪分子使用更换或恢复eSIM 卡的功能，将受害者的电话号码转移到恶意人士的eSIM 设备中。

过去在实体SIM 卡时代，恶意人士的SIM 卡交换攻击手段，会是贿赂电信商内部人士，将一张实体SIM 卡提供给犯罪分子，且不需要验证用户资讯。但现在透过eSIM 将可更容易做到SIM 卡交换攻击。

恶意人士使用被盗、暴力获取或泄漏的凭证破坏用户的行动帐户，然后移植受害者的凭证，并开始将受害者的号码移殖到恶意人士的另一装置上。这些过程都是透过受害者的行动帐号来向电信业者要求提供QR code 以启动eSIM 来完成的。

一但恶意人士让你的eSIM 运行在他的手机上，那么恶意人士就会开始尝试使用你的讯息应用程式来骗取更多钱财，方法就是冒充你本人，告诉你的家人朋友你因为一些原因需要一些钱来度过难关。

为了防止这种状况，专家也建议使用者要为自己的行动网路服务帐户设定一组复杂且唯一的密码，如果可以请再加上启用双重认证（2FA）。当启用2FA 后，除了要输入密码来登入应用程式外，还必须提供一个代码，这个代码会在你尝试登入后以简讯形式发送到你的手机中，唯有输入正确的代码与密码才能正常登入应用程式中。

经白帽测试上面这段话用繁体字不能发出去。。。

所以重要的电话号码最好还是实体sim卡其他旅游用的可以一次性。

运营商没有遵守而已。跟 esim 本身没关系。
不要闻噎废食.