綜所稅204萬件線上申報成功　KPMG教手機報稅5招自保

▲綜合所得稅申報畫面，民衆前往國稅局詢問手機報稅示意照。（圖／記者林敬旻攝）

記者陳瑩欣／臺北報導

綜合所得稅申報起跑進入第11天，財政部統計，至今（11）日凌晨3點爲止，線上申報件數來到204萬8309件，比去年同期衰退12.79%；由於南韓最大電信公司SK Telecom（SKT）近期發生嚴重資安事件，資安圈觀察，南韓「省資安費省出問題」的現象不是偶然，包括臺灣在內，全球多國都爲了節省開支減少資安防護，民衆便利上網報稅的同時曝露在高風險場域的機率自然提高。

KPMG顧問服務部營運長謝昀澤提醒民衆，現正值報稅季，手機金融服務預期將被大量使用，民衆要謹記5個重點，才能避免自己成爲手機SIM卡攻擊的受害者：

1、不要讓手機門號成爲單一驗證機制。

2、不要提供過多的個人身分驗證資訊。

3、要設定足夠複雜的密碼：因爲SIM卡交換攻擊(SIM Swapping)，主要攔截透過簡訊傳送的二次驗證碼（OTP），無法破解第一道以密碼爲主的驗證機制。因此，強化第一關的密碼強度，可有效提升整體防護力。

4、要設定重要交易即時通知的第二管道：例如Line、E-mail。

5、要留意應收到而未收到的交易簡訊通知。

謝昀澤依據目前的資訊分析，南韓SKT資安事件的根因可能與SKT的資安預算縮減有關。SKT去年減少了網路安全支出，這使得駭客利用了多種惡意軟體進行攻擊，併成功入侵了SKT的系統。

謝昀澤示警，由於全球不景氣與多國政府大幅削減預算，使得政府與大型企業，開始重新被國際駭客集團盯上。謝昀澤以美國網路安全主管機關網路安全暨基礎架構管理署（CISA）爲例，近期該機構即因預算刪減，已停用幾款重要的資安分析工具。這些工具對於惡意程式偵測和網路資安監控至關重要，如此定會削弱國家整體的網路防禦能力。

謝昀澤分析，過去民衆普遍認爲SIM卡攻擊因成本較高，不易大規模執行，通常是鎖定高價值受害者的駭客手法。但此次SKT事件顛覆了我們的想法。據國外媒體報導有超過25種資料型態及大量行動服務資訊遭外泄，駭客透過這些資訊，即可僞造SIM卡、冒用他人身分。謝昀澤指出，若SIM卡遭僞冒複製，駭客不僅可掌控(接管)受害者的身分驗證機制，創造出「暗黑數位孿生(Dark Digital Twin)」的僞SIM卡，還可能進一步修改其在銀行、證券等高敏感機構中的基本資料與聯絡資訊，甚至竄改交易內容，造成金融交易失序。

其實SIM卡遭到攻擊並用於金融犯罪的風險，已經受到各國金融監理機關的高度重視，新加坡金融管理局（MAS）與香港金融管理局（HKMA）於2024下半年起，已相繼要求金融機構停止使用SMS傳送交易驗證碼，改爲推行透過APP內推播的驗證碼與一次性密碼（OTP）機制。

KPMG數位安全實驗室主管林大馗指出，目前臺灣金融機構，仍有大量行動服務仰賴手機門號進行身分驗證，這類機制的潛在風險極需重視，並發展對應的安全強化方案。