SIM卡交换攻击通过冒充机主转移号码以截获短信验证码,应禁用短信2FA改用TOTP验证器、为电信账户设强PIN码与私密安全问题、启用SIM卡物理PIN锁、迁移至去中心化身份与非手机号验证方案。
Binance币安:
欧易OKX:
一、理解SIM卡交换攻击的本质
SIM卡交换攻击是攻击者通过冒充机主身份,诱使运营商将目标手机号码绑定至其控制的SIM卡上。该过程使攻击者完全接管短信收发能力,从而绕过依赖短信的二次验证机制。一旦号码被转移,所有发往该号码的验证码都将被攻击者实时截获。
二、禁用短信类2FA并切换至应用验证器
短信通道在传输层缺乏加密保障,极易成为SIM卡交换攻击的突破口。使用基于时间的一次性密码(TOTP)的应用验证器可将密钥与设备绑定,而非手机号,显著提升账户安全性。
1、卸载或停用所有以短信为唯一验证方式的2FA设置。
2、在支持TOTP的平台(如Google Authenticator、Authy、Microsoft Authenticator)中扫描账户提供的二维码。
3、完成配对后,在账户安全设置中关闭“短信验证码”选项,并确认新验证方式已生效。
三、为电信账户设置强PIN码与安全问题
运营商后台是SIM卡交换的关键入口。若未设置账户级防护,攻击者仅凭公开信息即可完成身份冒用。添加多层验证可阻断其操作链路。
1、登录运营商官方App或网站,进入“个人中心→安全设置”。
2、设置6位以上数字组合的专属服务PIN码,避免使用生日、重复数字等易猜测组合。
3、配置至少两个不可公开查询的安全问题,答案不得出现在社交媒体或公开资料中。
四、启用SIM卡物理锁防止本地盗用
即使手机遗失或被窃,开启SIM卡PIN码也能阻止他人直接插入其他设备使用该卡。该措施不依赖网络或运营商响应,属于终端侧第一道防线。
1、进入手机“设置→安全→SIM卡锁定”或类似路径。
2、启用SIM卡PIN码功能。
3、输入一个仅自己知晓且不易被猜出的4至8位数字组合作为初始PIN码。
五、采用去中心化身份与非手机号验证方案
脱离手机号依赖可从根本上消除SIM卡交换攻击面。去中心化交易所(DEX)及支持DID协议的钱苞允许用户以私钥或生物识别完成身份核验,无需绑定通信号码。
1、迁移高频交易行为至支持智能合约签名的DEX平台,例如METASEA DEX。
2、在支持Web3身份标准的钱苞中注册去中心化标识符(DID),并将其关联至交易所KYC流程。
3、启用硬件钱苞配合离线签名功能,确保私钥永不触网、验证码不依赖短信通道。
