手机报税简便 但专家提醒须注意资安风险 2025-05-05 16:09 联合报／ 记者赖昭颖 ／台北即时报导 https://reurl.cc/M326Lv KPMG顾问服务部营运长谢昀泽表示，现正值报税季，手机金融服务预期将被大量使用，民 众要谨记五个重点，才能避免自己成为手机SIM卡攻击的受害者。本报资料照片 5月综所税结算申报开跑，财政部今年力推手机报税，但近期南韩最大电信业者 SK Telecom（SKT）爆发严重资安事件，骇客透过恶意程式入侵，窃取了用户的USIM相关资料 ，造成个资外泄。KPMG顾问服务部营运长谢昀泽表示，现正值报税季，手机金融服务预期 将被大量使用，民众要谨记五个重点，才能避免自己成为手机SIM卡攻击的受害者。 谢昀泽表示，依据目前的资讯分析，SKT这起事件的原因可能与其资安预算缩减有关。SKT 去年减少网路安全支出，使得骇客利用多种恶意软体进行攻击，并成功入侵SKT的系统。 由於全球不景气与多国政府大幅削减预算，使得政府与大型企业，开始重新被国际骇客集 团盯上。以美国网路安全主管机关网路安全暨基础架构管理署（CISA）为例，近期该机构 即因预算删减，已停用几款重要的资安分析工具。这些工具对於恶意程式侦测和网路资安 监控至关重要，如此定会削弱国家整体的网路防御能力。 谢昀泽分析，过去民众普遍认为SIM卡攻击因成本较高，不易大规模执行，通常是锁定高 价值受害者的骇客手法。但SKT事件颠覆这个想法，据国外媒体报导有超过25种资料型态 及大量行动服务资讯遭外泄，骇客透过这些资讯，即可伪造SIM卡、冒用他人身分。 谢昀泽指出，若SIM卡遭伪冒复制，骇客不仅可掌控（接管）受害者的身分验证机制，创 造出「暗黑数位孪生（Dark Digital Twin）」的伪SIM卡，还可能进一步修改其在银行、 证券等高敏感机构中的基本资料与联络资讯，甚至窜改交易内容，造成金融交易失序。 KPMG数位安全实验室主管林大馗指出，目前台湾金融机构仍有大量行动服务仰赖手机门号 进行身分验证，这类机制的潜在风险亟需重视，并发展对应的安全强化方案。 谢昀泽提醒，目前是报税季，手机金融服务预期将被大量使用，民众要谨记五个重点，才 能避免自己成为手机SIM卡攻击的受害者。 一、不要让手机门号成为单一验证机制。 二、不要提供过多的个人身分验证资讯。 三、要设定足够复杂的密码：因为SIM卡交换攻击(SIM Swapping)，主要拦截透过简讯传 送的二次验证码（OTP），无法破解第一道以密码为主的验证机制。因此，强化第一关的 密码强度，可有效提升整体防护力。 四、要设定重要交易即时通知的第二管道：例如Line, Email。 五、要留意应收到而未收到的交易简讯通知。 https://udn.com/news/story/7243/8718503?from=udn-catelistnews_ch2 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.160.32.45 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/tax/M.1746443020.A.A00.html