（綜合外電報導）根據紐約時報和網安部落格KrebsOnSecurity的報導，發動這次攻擊的駭客，很有可能是近年惡名昭彰的「SIM掉包術」詐騙份子。這種騙術的原理，雖然和所有騙局一樣都是針對人性弱點，進行所謂「社交工程」，但其攻擊手法，卻又和各大網站普遍採行「兩階段驗證」中的漏洞有關。

許多人或許已注意到，在使用Yahoo、Google和各大社群媒體時，若是剛換手機門號，或是第一次從家用電腦以外的裝置來登入帳號時，都會被要求額外輸入透過簡訊傳送的一次性密碼，藉此確認你是帳戶的真正所有者。這種必須經由兩個步驟登入，一般稱為「雙重驗證」或「兩階段驗證」的認證機制，是網路盛行後，由於駭客攻擊案例不斷增加，專家極力推薦，網路業者也順勢採行的帳號安全強化措施。

但儘管有專家的背書，2階段驗證依然並非萬無一失、滴水不漏，尤其是在2019年爆發推特執行長Jack Dorsey的帳號也遭人入侵，被駭客用來散發不雅貼文長達15分鐘的尷尬事件後，此一安全機制的弱點，以及犯案者所採用的「SIM掉包術」，也成業界最頭痛的問題。

「SIM掉包術」是利用行動通訊業者的客服作業中，若是接到用戶打來電話表示遺失門號，可以將舊門號直接移轉到新的SIM卡上的一種服務，來進行掉包和詐騙。駭客只需先行蒐集受害者的個人資料，如證件編號、住址電話等資訊，然後打電話到電信業者的客服中心，聲稱手機遺失，必須將門號轉移到新的SIM卡上，藉由個資的提供，再加上軟硬兼施的社交工程，說服客服人員「協助」，進而掌控受害者的門號，接管該門號所有訊息和來電。

接著，當駭客登入受害者的推特帳號，開始進行更改密碼和電子郵件位址等入侵動作時，即使推特送出兩階段驗證密碼到用戶門號，此時收到簡訊的卻已經變成了駭客的SIM卡，而非受害者本人手機。就在駭客逐一接管受害者各大網路帳號同時，受害者的手機卻因為SIM卡轉移而斷訊，渾不知自己的網路身分正遭到冒用。

正因為此一詐騙方式完全繞過網站內部安全機制，因此就連推特自家高層主管也無法倖免於難。而歷年來類似的SIM掉包術受害者，還包括了流行歌手Justin Bieber（其裸照因女友Selena帳號被駭而流出），虛擬貨幣大亨Michael Terpin（被盜走2380億美金），以及為數不少的個人銀行存款被冒名提領案件。

有鑑於SIM掉包犯罪屢見不鮮，網路安全專家也提出幾點建議，設法降低民眾受害的機率，其中第一步，就是重新啟用SIM卡的PIN碼。近年來由於許多民眾常忘記PIN碼，因此新辦門號幾乎都是預設不用密碼，對此專家認為最好還是啟用並加以設定，至少可讓門號多一層保護。

此外，Android和Apple的APP商店都可以找到專用的兩階段驗證軟體，藉由排除對手機簡訊的依賴，來避免門號被掉包的問題；如果對軟體的密碼機制不放心，也可以購買市面上的實體USB驗證裝置，加強個人帳號或網路金融帳戶的安全性。