SIM Swap 攻擊到底是什麼?
SIM Swap(又稱 SIM 卡劫持、號碼移植詐騙、port-out fraud)是一種不需要技術能力就能發動的攻擊手法。攻擊者不會入侵你的電腦、不會破解你的密碼,他只需要說服你的電信商客服相信自己就是你本人,然後把你的電話號碼「換卡」到他控制的 SIM 上。成功的那一瞬間,你手機的訊號就消失了,而攻擊者的手機開始接收所有屬於你的簡訊、驗證碼與通話。
這種攻擊之所以可怕,是因為它完美繞過了多數加密用戶信任的防護層:SMS 雙因素認證(SMS 2FA)。大部分交易所、Email 服務、Google 帳號仍允許用 SMS 驗證碼重設密碼。攻擊者只要有你的電話號碼,加上一些公開資料(姓名、Email),就能一層層推倒你的數位身份。
核心事實SIM Swap 攻擊面不在你這邊。你可以用最強密碼、最新手機、最安全的網路,只要電信商客服被說服一次,你的帳戶就已經暴露。這是一個你幾乎無法用技術手段直接阻止的攻擊。
一場 SIM Swap 的完整攻擊流程
理解攻擊者怎麼做,才能找到有效的防禦點。典型 SIM Swap 分成四個階段:
1
情報搜集(OSINT)攻擊者從 LinkedIn、Twitter、外洩資料庫、公開區塊鏈地址中拼湊目標的個資:姓名、生日、電話號碼、身分證末四碼、就讀學校、常用 Email、甚至地址。持有大額加密貨幣的錢包地址一旦在推特炫耀過,就會被放入「目標名單」。
2
說服電信商客服攻擊者致電或臨櫃聲稱「手機遺失需要換卡」。他們會提供搜集到的個資回答客服的身分驗證問題。在某些案例中,攻擊者甚至收買電信商內部員工直接完成轉移——美國 T-Mobile 在 2017-2022 年間曾多次發生內部員工配合 SIM Swap 的醜聞。
3
接管所有數位身份換卡成功後,攻擊者立刻用「忘記密碼」功能重設 Gmail、Apple ID、交易所帳號。Email 變更驗證碼、密碼重設連結、2FA 驗證碼都會發到他手上的新 SIM 卡。整個過程通常在 30 分鐘內完成。
4
資產轉移與隱匿攻擊者登入交易所,將全部加密資產提領到自己控制的外部錢包。為了規避追查,資金會立刻經過混幣器、跨鏈橋、以及多次 DEX Swap。從換卡到資金消失,有案例顯示只需要 45 分鐘。
為什麼加密用戶是高價值目標?
一般銀行帳戶被盜後,銀行有反詐騙團隊、有 24 小時凍結機制、有法律追討途徑。但加密貨幣有三個致命特性讓它成為 SIM Swap 首選目標:
**不可逆:**一筆轉出交易一旦上鏈就無法撤回,即使受害者在 10 秒內發現。**偽匿名:**資金可以瞬間跨鏈、混合、再跨鏈,讓執法單位追查成本極高。**高單價:**單一個加密錢包常放置數百萬甚至千萬台幣的資產,是銀行小額戶頭的數十倍到數百倍。
美國 FBI 網路犯罪投訴中心(IC3)報告指出,2021-2023 年光是 SIM Swap 相關的加密資產損失就超過 10 億美元,且真實數字可能更高,因為許多受害者礙於顏面並未通報。
真實案例:從 Michael Terpin 到台灣用戶
SIM Swap 攻擊不是理論威脅,是每天真實發生的事。
案例一:Michael Terpin(美國)
2018 年 1 月,加密投資人 Michael Terpin 被 SIM Swap 攻擊損失約 2,400 萬美元的加密資產。調查顯示攻擊者透過 AT&T 內部員工完成號碼轉移。Terpin 後來對 AT&T 提起訴訟,2023 年陪審團裁定 AT&T 需賠償 2,570 萬美元。這是第一個電信商被判決為 SIM Swap 疏忽而承擔加密資產損失的指標性案例。
案例二:T-Mobile 大規模 SIM Swap 潮(2020-2022)
多位原告集體訴訟指控 T-Mobile 未採取合理步驟保護用戶免受 SIM Swap,導致他們累計損失數百萬美元加密資產。訴訟文件揭露內部員工僅需簡單社工即可繞過身分驗證流程。
案例三:台灣與亞洲本地案例
台灣雖然沒有美國那麼多公開判例,但 2022 年起本地詐騙集團開始學習此手法。典型模式是結合釣魚簡訊(誘導用戶交出個資)+ 偽造身分證(向電信商申辦補卡)。受害者通常是在 Telegram 群組或推特展示過鉅額加密資產的散戶。由於法律尚不成熟,追償通常僅限電信商行政疏失,加密資產本身難以追回。
7 個你正在被盯上的警訊
SIM Swap 發動前,攻擊者通常會留下可觀察的痕跡。如果你遇到以下任一警訊,立即提高警覺:
| 警訊 | 可能的意義 | 建議行動 |
|---|---|---|
| 手機突然沒有訊號 | SIM 卡可能已被遠端停用 | 立即用 Wi-Fi 聯絡電信商 |
| 收到陌生的密碼重設通知 | 攻擊者正在試探 | 全帳號改密碼、檢查登入紀錄 |
| 電信帳單多出補卡費 | 號碼已被惡意補發 | 立即申訴、要求凍結 |
| 社交媒體被加好友詢問個資 | 情報搜集中 | 拒絕回答、檢舉帳號 |
| Email 收到電信商簡訊通知 | 可能是釣魚 | 不點連結、從官方 App 查證 |
| 交易所收到登入通知 | 攻擊可能已在進行 | 立即登出所有裝置、改密碼 |
| 在公開場合被拍到或跟蹤 | 目標鎖定階段 | 減少加密財富展示、考慮報案 |
7 個實戰防禦策略
1
關閉 SMS 2FA,改用 TOTP 或 FIDO2到所有交易所、Email、雲端服務的安全設定,移除 SMS 驗證,改用 Google Authenticator / Aegis / 1Password TOTP,或更高安全的 YubiKey / FIDO2 安全金鑰。TOTP 驗證碼綁定裝置而非電話號碼,SIM Swap 無法取得。
2
與電信商設立「門市密碼」或「補卡禁令」台灣主要電信(中華電信、台灣大哥大、遠傳)都允許用戶自設「門市密碼」,未輸入該密碼客服不得進行任何帳戶變更。部分電信還能申請「補卡需本人親自到場 + 雙證件」。打客服電話花 5 分鐘設定,就能擋掉 90% 的社工攻擊。
3
使用獨立「加密專用電子郵箱」為你的交易所、錢包、DeFi 帳號建立一個從不公開、從不綁定手機號碼的專用信箱。這個信箱只用 FIDO2 金鑰作為 2FA。用 ProtonMail、Tutanota 或 Gmail 都可,關鍵是完全脫離你的主要社交身份。
4
不在社群媒體展示加密財富SIM Swap 攻擊者 90% 的目標都是從推特「我剛買了 100 顆 ETH」、「昨天獲利 10 萬鎂」這類貼文中挑選的。把發文習慣改為「展示經驗、不展示數字」,就能把自己從目標名單上移除。
5
把長期資產從交易所移到冷錢包最徹底的防禦:**別把雞蛋放在交易所籃子裡。**交易所是 SIM Swap 攻擊的最大受害對象,因為它們依賴 Email + SMS 重設密碼。將長期持有的資產提領到 ArcSign 等 USB 冷錢包,攻擊者即使拿到你的交易所帳號也拿不到鏈上資產。
6
定期稽核所有帳號的恢復方式每 3 個月登入一次 Gmail、Apple ID、交易所的安全設定,確認「備援電話」、「信任裝置」、「應用程式密碼」清單沒有異常。攻擊者有時會在成功後留下隱性後門等未來再收割。
7
為高價帳號啟用「延遲提領」主流交易所如 Binance、OKX 都提供「白名單地址 + 24-72 小時提領延遲」。即使帳號被盜,資金也要在延遲結束後才能離開,留給你時間發現與凍結。搭配推播通知可把反應時間降到分鐘級。
SMS vs TOTP vs FIDO2 2FA 比較
不是所有「雙因素認證」都提供相同層級的保護。以下是三種主流 2FA 面對 SIM Swap 的表現:
| 2FA 類型 | 範例 | 抵禦 SIM Swap | 抵禦釣魚 | 便利性 |
|---|---|---|---|---|
| SMS 簡訊驗證碼 | 交易所預設 2FA | ✗ 完全失效 | ✗ 可被釣魚 | ✓ 最方便 |
| TOTP 驗證器 App | Google Authenticator、Aegis | ✓ 免疫 | △ 可被釣魚(即時) | ✓ 方便 |
| 推播授權 | Duo Mobile、Authy Push | ✓ 免疫 | △ 可被疲勞轟炸 | ✓ 最直覺 |
| FIDO2 硬體金鑰 | YubiKey、SoloKey | ✓ 免疫 | ✓ 免疫(網域綁定) | △ 需帶金鑰 |
| Passkey(系統原生) | iCloud Keychain、Android Passkey | ✓ 免疫 | ✓ 免疫 | ✓ 方便 |
建議高價帳號(交易所、主要 Email)至少用 TOTP,理想情況是 FIDO2 硬體金鑰 + 備援 TOTP。把 SMS 2FA 全面移除,即使交易所仍允許也要關掉。
為什麼 ArcSign 冷錢包「天生免疫」SIM Swap
SIM Swap 的根本問題是:你的數位身份過度依賴電信商這個中心化節點。加密貨幣設計的初衷本來就是「不信任任何單一權威」,冷錢包把這個理念貫徹到底。ArcSign 的架構中,電話號碼完全不存在於認證流程裡:
| 認證環節 | 交易所帳戶 | ArcSign 冷錢包 |
|---|---|---|
| 登入 | Email + 密碼(SMS 可重設) | USB 實體 + 本地密碼 |
| 2FA | SMS / TOTP | 不需要 — USB 即是實體因素 |
| 帳號恢復 | Email + SMS 驗證 | 12 字助記詞 + .arcsign 加密備份檔 |
| 資金提領 | 依賴中心化系統 | 本機簽名、私鑰不離開 USB |
ArcSign 的私鑰用 **XOR 三分片**拆解,再由 AES-256-GCM + Argon2id 雙層加密,儲存在 USB 裝置內。簽名交易時,私鑰只在 mlock 保護的記憶體中短暫還原 1-5 毫秒,之後立刻清零。攻擊者即使劫持了你全部的電話號碼與 Email,他也無法簽出你錢包裡的任何一筆交易——因為那把私鑰物理上不在網路可觸及的地方。
你可以閱讀我們的 XOR 三分片加密圖解深入了解技術細節;或看看 零信任架構在加密錢包的應用,了解 ArcSign 如何把「永不信任」原則貫徹到每一層。
架構差異交易所保護的是「帳號存取權」;冷錢包保護的是「私鑰所有權」。SIM Swap 可以奪走前者,但奪不走後者。這是為什麼「Not your keys, not your coins」在 SIM Swap 時代更加真實。
萬一真的中招:黃金 30 分鐘應急流程
時間是 SIM Swap 應急的關鍵。發現手機突然無訊號、或收到陌生密碼重設通知的那一刻,你有大約 30 分鐘時間在損失發生前反擊:
1
第 0-5 分鐘:凍結電信帳號用 Wi-Fi 打電話或 LINE 聯絡電信商客服(中華電信 123、台灣大哥大 188、遠傳 888),要求「立即凍結所有 SIM 卡變更操作」並啟動內部調查。這是唯一能阻止號碼繼續被操作的途徑。
2
第 5-15 分鐘:鎖定所有高價帳號從信任的電腦或平板登入:Gmail、Apple ID、所有交易所。變更密碼、登出所有裝置、關閉 API Key、若有「緊急凍結」功能立即啟動(Binance、OKX、Coinbase 都提供)。此時時間就是資產。
3
第 15-25 分鐘:通報與蒐證打 165 反詐騙專線報案、向電信商申請書面記錄、截圖所有異常通知。這些資料是後續民事求償的關鍵證據。若攻擊者已提領資產,請立即聯絡交易所風控並提供初步案件資料,多數大型交易所願意協助凍結可疑對手端帳號。
4
第 25-30 分鐘:預備中長期保護將所有剩餘資產從交易所提領到冷錢包。所有帳號重新啟用高強度 2FA(TOTP + FIDO2)。考慮更換手機號碼、換電信商、建立「加密專用信箱」。這次事件就是你架構升級的機會。
常見問題 FAQ
Q:SIM Swap 攻擊是什麼?和駭客入侵有什麼不同?
SIM Swap 是攻擊者透過社交工程說服你的電信商將你的電話號碼轉移到他們控制的 SIM 卡上。成功後,所有簡訊驗證碼、通話與帳號恢復連結都會被攻擊者接收。和一般駭客攻擊不同,SIM Swap 不需要入侵你的電腦或手機,攻擊面完全在電信商客服端——你的設備再安全也擋不住。
Q:為什麼 SMS 雙因素認證不安全?
SMS 是 1980 年代的技術,設計時沒有考量現代資安威脅。電信商可以人工轉移號碼、SS7 通訊協定有已知漏洞、SMS 傳輸本身未加密。最關鍵的是——一旦攻擊者取得你的號碼,就能透過 SMS 重設交易所密碼與 2FA。美國 NIST 從 2016 年就建議不再使用 SMS 作為 2FA。
Q:SIM Swap 受害後能不能追回被盜的加密資產?
實務上極為困難。加密資產一旦轉出就是區塊鏈上的最終交易,交易所追回依賴對方合作並及時凍結,而攻擊者通常會立刻將資金移到混幣服務或跨鏈橋。少數案例能透過司法途徑求償(Terpin vs AT&T 獲判 2,570 萬美元),但多半針對電信商疏失而非拿回加密貨幣本身。預防永遠比追回便宜。
Q:用 ArcSign 冷錢包能完全免疫 SIM Swap 攻擊嗎?
能,針對錢包資產本身。ArcSign 的私鑰從不離開 USB 裝置,也完全不依賴電話號碼進行任何驗證。但若你仍把資產留在交易所,且交易所以 SMS 作為 2FA,那段部位仍暴露在 SIM Swap 風險中。最佳實踐是把長期持有的資產從交易所提到 ArcSign 冷錢包,電信帳號與交易所改用 FIDO2 安全金鑰或 TOTP App 做 2FA。