SMS已經過時
以手機SMS發送的釣魚訊息無日無之,假冒ID發放短訊輕而易舉,市民偶一不慎便中招。特區上月就發生數十宗假冒速遞公司短訊騙案,有苦主損失十多萬元。較早前特區還出現假基站,直接發送有#號(即發送這身份已被確認)的短訊。其實SMS短訊的安全弱點早已暴露,替代刻不容緩。不幸地,各方未有積極應對,以致今天仍有不少服務依賴這個不穩妥的技術。近日有人向筆者投訴在網上理財時,某金融機構以短訊形式發送大量個人資料,當中包括金融機構名稱、帳號、服務性質、甚至相關交易價值,而且客戶不能選擇停止短訊服務。SMS傳送沒有加密,電訊供應商對你的SMS一目了然,而且經過多重第三方,資訊輕易落入他人之手,甚至可被改動。試想想,若閣下剛完成交易,短時間內有人聯絡,聲稱是該金融機構的代表,提及你的交易,你可能潛意識上相信這個聯絡方。另外,不少帳戶仍倚靠電話號碼及收取SMS作為認證,任何人取得SIM卡或將其拷貝,就可進行所謂SIM Swap 攻擊,以截取帳戶相關的短訊。這招被不法份子及極權國家所控制的電訊商長期利用。因應SMS的種種安全漏洞,谷歌上月底公布有序放棄SMS作為認證,並以QR code取代。當然QR未能解決所有安全問題,但起碼較難被截取,不倚賴電訊商,令SIM Swap難以進行。
RCS協議仍存在漏洞
讀者或許會有疑問,SMS既然早已過時,為何未見替代方案?其實業界已制定新協議RCS取代SMS。RCS是以加密及利用IP作基礎,靠互聯網傳送數據,不再受160字母短訊限制,且接受各種形式檔傳輸,功能與現時流行的即時通訊軟件相若。安卓手機平台早已支援,蘋果手機iOS18版亦已支援,軟件問題亦早已解決,只要手機網絡商支持,並接上交換伺服器,理論上RCS就可啟用,但先決條件是雙方的通訊商皆支援RCS,而雙方皆取得互聯網數據包括經過Wi-Fi或手機數據服務。國際上大部份的通訊商支援RCS協議,但特區的電訊供應商絕大部份並無明確表示支持。請留意,中共的電訊商不使用RCS協議。只要不是明確標示,只能假設不支援,這樣RCS便降級SMS,失去點對點加密功能。雖然RCS不能杜絕假短訊及釣魚,但較SMS仍有多方面壓倒性優勢,包括強化的發送者身份核實,令假冒來電發送更難進行,點對點加密亦能確保短訊不被中間人改動。電訊商亦可因RCS提供的元數據用作發送者核實。若你使用安卓平台的Google Message,你可在設定中查看電訊商有否支援,且在每一個對話視窗中,若在通話方名稱的下方有一個鎖的標示,且每段通訊框下方亦同時有一個鎖的標示,即代表通訊受點對點加密保護。
馬上取代減低風險
明顯地RCS背後有各種博弈,以致龜速推行,所以用家不能倚靠業界及政府解決SMS的資訊安全問題。應對相關風險,自保是最佳方法,筆者建議如下。其一,請檢查你的關鍵帳戶,例如金融機構服務、電郵、雲端儲存、社交帳戶、加密貨幣帳戶、健康相關的帳戶等,有否利用SMS作為訊息發送及任何認證,並按風險轉換替代方案,例如使用加密電郵。你可檢查手機SMS紀錄作為參考。請留意WhatsApp及signal是倚賴手機號碼收取短訊轉移帳戶的關鍵服務,請在軟件內確認還原帳戶的二次認證PIN碼已開啟,可防止SIM Swap攻擊。其二,請保護你的SIM卡,若你的手機支援eSIM,請選擇使用。若只能使用舊式SIM卡,請開啓手機的Sim Lock並設定密碼,防止第三方輕易使用同一SIM於另一部手機收取短訊。其三,在外地避免使用漫遊而改用當地數據或電話卡。若外遊至風險較高的國家,請將慣用的電話卡及手機於原地網絡繼續保持開啟。其四,你不能阻止第三方向你發送SMS,你首要假設這些是公開資料。請不要介意筆者在本欄不斷重複,在電子世界收到的訊息,即使採用點對點加密,甚至擁有所謂認證標示,請記着你不會知道發送者的真實身份,任何要求你採取重要行動或作出決定,務必使用其它途徑核實對方身份。開啟任何連結前先查清其真偽。
毋庸置疑,SMS已不合時宜,你每收發一條,代表當中的資料四處遊走,任由中間人窺看,亦不能確定當中資料不被改動。為了個人私隱及資訊安全,請積極行動取代SMS,不要等待第三方去解決問題。◇
----------------------
🎯 專題:中共海外升級攻擊法輪功
https://hk.epochtimes.com/category/專題/中共海外升級攻擊法輪功
----------------------
【不忘初衷 延續真相】
📰周末版復印 支持購買👇🏻
http://epochtimeshk.org/stores
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand
