大多數人分享電話號碼時不會多想,但仔細一想,電話號碼常是詐騙者入手的良好起點。你可能用它收銀行簡訊、接收雙重驗證碼,甚至用來登入社群平台。
如果你在想有人能用你的電話號碼做什麼,答案其實有層次:它確實為攻擊者打開許多可能性,但只要你採取防護措施,通常可以把風險降到很低。
攻擊者僅憑電話號碼無法直接入侵你的裝置。不過,若他們把號碼與資料外洩名單或公開紀錄等其他資訊結合,風險就會上升。他們可能用來發動釣魚攻擊、嘗試接管帳戶,最壞情況甚至會導致身分盜用。
重點摘要:
- 單一電話號碼無法直接駭入你的裝置。
- 詐騙者會用電話號碼進行釣魚、冒充與帳戶重設嘗試。
- 最嚴重的風險是 SIM 轉移,會導致登入驗證碼被攔截。
- 當電話號碼與其他外洩個資結合時,風險會顯著增加。
- 異常的服務中斷或登入通知可能代表問題徵兆。
- 強化驗證與營運商的保護措施能顯著降低風險。
詐騙者能用你的電話號碼做哪些事?
取得電話號碼的詐騙者可以發送釣魚簡訊、偽造來電顯示(來電顯示偽冒)、或嘗試重設你帳戶的密碼。在很多情況下,電話號碼只是他們更大詐欺策略中的一個環節。值得注意的是,這些攻擊通常不用實際接觸你的裝置;光是你的號碼就足以展開行動。
詐騙者常見的手法很多,其中最普遍的是 smishing(簡訊釣魚)。這類以簡訊為載體的釣魚訊息會冒充你常往來的公司,例如銀行、物流或政府單位,訊息通常夾帶一個連結到假網站的表單,要求填入個資,或指示你撥打假客服專線。這些簡訊看起來像官方發出的,因此很多人在未多想就回應了。
在某些情況下,詐騙者會利用你的號碼觸發密碼重設。網路服務普遍會在使用者提出重設要求時發送一次性簡訊驗證碼。如果攻擊者已經知道你的電子郵件,他們就能發起重設,然後嘗試攔截或以社交工程手段向你套取該驗證碼。
詐騙者只用你的號碼就能存取帳戶嗎?
單憑電話號碼通常不足以直接存取你的帳戶。攻擊要成功,通常還需要其他一項或多項資訊,例如電子郵件地址或外洩的密碼。
主要風險在於密碼重設流程。如果某項服務只以簡訊驗證作為唯一的取回方式,而攻擊者能接收你的簡訊,他們就能存取你的帳戶。這通常會發生在攻擊者透過SIM 轉移或在你裝置上安裝惡意程式來攔截訊息時。
多數公司正在減少以簡訊作為敏感操作的第二要素使用,因為相關問題發生頻繁。已有多起公開的高調帳戶接管案件,受害者包括加密貨幣持有人、記者等。
詐騙者會冒充你或鎖定你的通訊錄嗎?
會的,來電顯示偽冒(caller ID spoofing)讓攻擊者能夠打電話或發簡訊,看起來像是從你的號碼來的。隨著 AI 技術進步,冒充變得更普遍且更容易實施。這類技術取得容易、成本低廉、使用門檻也不高。
一旦詐騙者冒用了你的號碼,他們就能撥打你的聯絡人並要求緊急匯款、發送假付款連結或索取驗證碼。這類攻擊之所以常成功,是因為受話者看到熟悉的名字或號碼時,會自然信任並照做。
如果發現有人在冒用你的號碼,應立即通知你的聯絡人。使用你能控制的管道(例如用你自己的裝置發群組訊息或寄電子郵件),並向你的營運商通報此事。
你的號碼會被用來做身分盜用嗎?
單一電話號碼本身不足以構成身分盜用。問題出在電話號碼與其他個人可識別資訊(PII)一起外洩,例如全名、出生日期或身分證號碼。當攻擊者掌握兩項或以上資料點,他們就能嘗試以你的名義申辦信用卡、偽造報稅或存取財務帳戶。
一般使用者面臨的困難在於不知道自己的資訊已被公開到何種程度。常見的大規模資料外洩會同時洩出數百萬筆電話號碼以及客戶姓名、地址與帳戶細節。
這些紀錄可能出現在深網/暗網,攻擊者可以購買這類資料庫。基於此,許多公司把電話號碼視為敏感資料;一旦與其他個資結合,該號碼的敏感性會大幅上升。而在大多數情況下,這類暴露並不是你做錯了什麼才發生的。
詐騙者最初如何取得你的電話號碼?
詐騙者通常透過資料外洩、人肉搜尋網站、釣魚表單,以及能自動撥號以偵測啟用線路的系統取得電話號碼。請注意,從號碼被洩露到你發現可疑活動之間,往往會有很長的一段時間,有時甚至是好幾年。
如果你在想詐騙者怎麼會得到你的號碼,答案幾乎總是回到上述來源之一。
另一個常見來源是公開紀錄。法院文件、選民登記與房屋產權紀錄在許多法域中都會包含電話號碼,且可在網路上自由查閱。填寫保固登記卡或加入商店會員,也可能把你的號碼放入行銷資料庫,日後被外洩或轉售。
資料外洩與資料經紀人在其中扮演什麼角色?
資料外洩是電話號碼洩漏的最大來源,而資料經紀人則透過整合這些外洩資料,讓資訊更容易被濫用。
公司發生外洩後,客戶資料通常會在數日內出現在暗網論壇或市集。接著攻擊者會把這些資料與其他資料庫交叉比對,以拼湊出更完整的個人檔案。
像 Whitepages、Spokeo 和 BeenVerified 這類資料經紀人把公開與商業資料聚合成可搜尋的資料庫,進一步加劇資料外洩的風險。只要付少許費用,任何人都能查到你的電話號碼並找到與之連結的姓名、地址與其他個資。雖然可以要求把資訊從這些網站移除,但你通常得逐一寫信給各家經紀人提出退出要求。
如何判斷你的電話號碼是否被盜用?
當你突然失去行動服務或收到自己沒申請的密碼重設簡訊時,表示你的電話號碼可能已被盜用。其他徵兆還包括你沒有進行的帳戶變更通知,或是聯絡人回報他們收到來自你號碼的可疑訊息。
注意是否在短時間內出現多項徵兆。單一通電話或垃圾簡訊通常不必過度擔心。令人警覺的情況是:你的裝置與 SIM 卡物理上沒有損壞,卻完全失去訊號,且同時伴隨你沒有觸發的登入通知或驗證請求。這樣的模式通常指向 SIM 轉移事件。
若發現任何可疑跡象,先用另一支電話快速檢查你的營運商帳戶是否有未授權的變更。可用親友的手機撥打或親赴門市確認。接著登入你的電子郵件、銀行與社群帳號,檢查是否有你未進行的更動。
什麼是 SIM 轉移?為何它是最大威脅?
SIM 轉移是一種攻擊,詐騙者說服你的行動營運商把你的電話號碼移到由他們控制的 SIM 卡上。如此一來,詐騙者就能攔截傳往你號碼的所有來電與簡訊。這是電話號碼相關威脅中最嚴重的一種,因為它能完全繞過以簡訊為基礎的雙重驗證保護。
若 SIM 轉移成功,攻擊者會收到寄往你手機的所有簡訊驗證碼。試想這可能影響的情境:電子郵件與銀行的一次性密碼、加密貨幣交易所的驗證,以及社群媒體存取等。
當你的電子郵件帳戶也被攻破時,損害會迅速擴大,因為詐騙者能對數十個其他服務發起密碼重設。為協助使用者應對,FCC 的 SIM 轉移詐騙指南說明了營運商層級的防護與通報步驟,以及攻擊運作方式與應注意的警示。
SIM 轉移是怎麼發生的?
要成功執行 SIM 轉移,攻擊者通常會先蒐集目標的個人資訊,然後冒充該用戶聯絡營運商要求轉移號碼。
攻擊者會收集姓名、地址、帳號編號、過去外洩事件留下的社會安全號碼(或身分證)末四碼等資訊,可能來自資料外洩或社群媒體檔案。接著他們透過營運商的線上門戶或客服專線提出轉移申請。因為攻擊者掌握了足以通過驗證的資訊,所以通常能成功完成轉移並獲准。
某些情況下,攻擊會透過賄絡或以社交工程方式直接影響營運商員工。另一種變體稱為轉出詐欺(port-out),流程類似,但會把號碼轉到另一家營運商。
詐騙者喜歡利用 SIM 轉移,因為任何可重新導向簡訊的攻擊都能即刻繞過所有依賴簡訊驗證碼的帳戶安全機制。
有人知道你的電話號碼,你該擔心嗎?
有人知道你的電話號碼並不代表你應該立刻驚慌。你很可能只是收到垃圾來電或偶爾的釣魚簡訊,但單憑這些還不足以讓你的帳戶或身分直接處於危險之中。
若你使用該號碼作為簡訊的帳戶取回方式(例如電子郵件或銀行),風險就會提高;若你的電話號碼又伴隨其他個資在外洩事件中曝光,風險更甚。當詐騙者掌握你的電子郵件與外洩密碼時,他們可做的事遠比從社群媒體找到你的號碼的人多得多。
什麼是一般垃圾訊息與嚴重威脅的差別?
一般垃圾訊息屬於廣撒網式攻擊,包含自動撥打的機器電話、推銷電話與大量發送的詐騙簡訊,目標是成千上萬個號碼。這類騷擾雖惱人但較少直接危險性,通常只需封鎖與檢舉即可。
相較之下,嚴重威脅通常是具針對性的訊息,會出現你的真實姓名、銀行名稱或近期交易等細節,顯示發信者掌握的不只你的號碼。重複的密碼重設驗證碼則代表有人正在嘗試存取你的帳戶;在 SIM 轉移的情況下,你的手機可能會突然顯示「無服務」。
如果詐騙者有你的電話號碼,你應該怎麼做?
若你懷疑詐騙者掌握了你的電話號碼,應立即鎖定營運商帳戶、變更最重要帳戶的密碼,並升級驗證方式。同時也要向相關單位通報此事。
之所以要快,是因為從 SIM 轉移到完整帳戶接管的時間可能短至幾分鐘。面對詐騙者掌握你的號碼,快速反應是關鍵。
如果你不確定該怎麼做,先鎖定你的營運商帳戶。使用另一支電話(市話或家人手機)或親赴門市,並請求他們立即對 SIM 變更與轉出(port-out)請求凍結帳戶。
帳戶鎖定後,先檢查你的電子郵件(因為電子郵件通常控制其他帳戶的重設),接著檢查銀行與社群媒體。如果你擔心自己已成為身分盜用受害者,向三大信用報告機構(Equifax、Experian、TransUnion)申請信用凍結,並在 IdentityTheft.gov 提出報案。
提報時務必盡可能詳細記錄所有相關事項。包含截圖、時間戳記與營運商通話的參考編號,未來若需對詐欺性收費提出爭議時,這些紀錄會非常重要。
如何保護你的營運商帳戶?
要保護營運商帳戶,應設定 SIM 卡額外認證(PIN),建立強而獨一無二的帳戶密碼,並啟用號碼轉移保護。
SIM 卡的 PIN 是在新裝置使用此 SIM 卡前必須輸入的代碼。你可以在手機設定中或撥打客服設定此項功能。此外,你營運商的帳號(用於帳單登入)也應設置一組與該 PIN 不同的強密碼。
最後,大多數營運商提供號碼鎖定或轉出凍結選項,以防止未經授權的轉移。你可在網路帳戶中啟用這些設定。對於行動裝置安全的完整概覽,NIST 的行動裝置安全建議提供了涵蓋大多數情境的有用框架。
如何保護你的線上帳戶?
用應用程式或硬體憑證取代以簡訊為基礎的雙重驗證。使用像 Google Authenticator、Microsoft Authenticator 或 Authy 之類的驗證器應用程式,在裝置上產生時間式一次性密碼,這會讓你的帳戶免於 SIM 轉移的攔截風險。
若要更強的保護,可使用像 YubiKey 等硬體安全金鑰。這類金鑰能使遠端帳戶接管變得不可能,因為授權登入需要實體金鑰的持有。
重複使用密碼會增加帳戶風險,因為一旦其中一個網站被駭,攻擊者就能用相同密碼嘗試登入你在其他網站的帳戶。為降低此風險,請使用密碼管理工具為每個帳戶產生並儲存唯一密碼。
為更強的保護,改用多重身分驗證,採用應用程式或硬體方式而非簡訊。這會把驗證碼綁在你的裝置上,而非電話號碼,使攻擊者更難攔截。
如何長期保護你的電話號碼?
要長期保護電話號碼,目標是減少它的曝光面並降低它在帳戶安全中的重要性。不幸的是,這不是一次性的修正,可能需要你每年重複檢視幾次。
先從把你的號碼從線上公開清單移除做起,像是社群帳號與商業目錄。你也可能需要主動從資料經紀人網站提出退出(opt-out)申請,或使用像 DeleteMe 這類服務代為移除。
接著列出那些把電話號碼當作取回方式的帳戶,並把它們改成應用程式型驗證。
為額外一層保護,你可以選擇次要號碼(預付型 SIM 或 VoIP 服務)來註冊外送或零售帳戶。這類號碼在被盜用時比較容易替換。
定期檢視你的隱私設定,因為平台的預設值可能會在更新後改變。曾經設定為私人欄位的資訊也可能悄悄變為公開。了解別人能從你的電話號碼查到哪些資訊,能幫助你決定哪些欄位要鎖住、哪些要刪除。這類檢查每季花 10 分鐘即可,大幅減少日後的清理工作。你也可以考慮使用像 Kaspersky Premium 這類完整保護方案,監控包含電話號碼在內的個資外洩。
延伸閱讀:
推薦產品:
FAQs
有人可以用我的電話號碼追蹤我的位置嗎?
不行;僅憑電話號碼要追蹤位置,需要營運商層級的系統存取或在裝置上安裝間諜軟體。位置追蹤通常僅限於執法單位持法庭授權。市面上有號稱可用電話號碼追蹤的詐騙網站,幾乎都是釣魚或詐欺陷阱。
有人可以只用我的電話號碼存取我的銀行帳戶嗎?
單憑電話號碼通常不足以存取銀行帳戶。但若電話號碼與其他個資結合,就可能被用來執行 SIM 轉移。那樣攻擊者便能攔截透過簡訊發送的驗證碼,並有機會取得對你帳戶的存取權。
身分被盜後我應該換電話號碼嗎?
一般而言只有在你確定遭遇 SIM 轉移或持續騷擾時,才有必要更換電話號碼。大多數脆弱性可透過鎖定營運商帳戶、升級驗證方式與凍結信用紀錄來解決。FTC 的身分盜用復原步驟可協助你做出判斷。
