韓國SKT資安事件給警訊！KPMG 教民眾報稅季五招防駭

專家示警，臺灣的金融機構仍然大量依賴手機門號作爲身分驗證機制，要特別留意資訊安全性。記者侯永全／攝影

近期，南韓最大電信業者SK Telecom（SKT）發生一起嚴重資安事件，駭客利用惡意程式成功入侵系統，竊取了大量用戶的USIM相關資料，造成個資外泄。臺灣目前也正值報稅季，手機金融服務的使用將大幅增加，專家提醒民衆，爲了避免成爲SIM卡攻擊的受害者，應注意五大防範措施。

KPMG顧問服務部營運長謝昀澤指出，五大措施包括不要讓手機門號成爲唯一的驗證機制；不要提供過多的個人身份驗證資料；設定足夠複雜的密碼，強化首道驗證機制；設定重要交易的即時通知第二管道，如LINE、Email；留意未收到的交易簡訊通知，避免陷入陷阱。

南韓最大電信業者SKT的資安事件，根本原因可能與SKT在去年縮減網路安全預算有關。謝昀澤提醒，隨着全球經濟不景氣，許多政府與企業開始削減資安預算，這使得駭客有機可乘，攻擊目標轉向大型機構。

謝昀澤以美國網路安全暨基礎架構管理署（CISA）爲例，該機構因預算削減，已停用幾款關鍵的資安分析工具，進一步弱化了國家層級的網路防禦能力。

謝昀澤表示，過去SIM卡攻擊通常被視爲高成本的駭客手段，主要針對高價值目標，然而，這次SKT事件顛覆了這一觀念。根據報導，駭客成功竊取了超過25種資料型態，並利用這些資料僞造SIM卡，冒用他人身份。若SIM卡被僞造，駭客可不僅接管受害者的身份驗證，還能進一步篡改其在金融機構中的資料，甚至操控交易，造成金融交易的混亂。

此外，SIM卡攻擊對金融犯罪的風險已引起各國金融監管機構的高度重視。謝昀澤指出，新加坡金融管理局（MAS）與香港金融管理局（HKMA）已要求金融機構停止使用SMS驗證碼，轉而推行更爲安全的APP推播驗證碼和一次性密碼（OTP）機制。

KPMG數位安全實驗室主管林大馗指出，臺灣的金融機構仍然大量依賴手機門號作爲身分驗證機制，這一點需引起高度警覺，隨着資安威脅的日益升級，企業與民衆都應加強防護措施，確保個人與企業資料的安全。