SIM 卡交换攻击会操纵跨移动运营商和用户识别模块 (SIM) 传输手机号码的过程，从而使系统将原本打算发送给受害者的短信错误地发送给攻击者。 如果您在 Stripe 以短信方式执行两步验证，攻击者可以通过这种方式获取您的验证码，从而获得对您账户的访问权限。

SIM 卡的运作机制

移动运营商会向每位手机客户发放一张 SIM 卡，以供客户将其插入手机来识别客户身份。一个手机号码最终指向一张 SIM 卡。最近，推出了 eSIM 卡来代替物理卡，两者在其他方面的功能相同。

移动运营商可以更改手机号码指向的 SIM 卡。这是必要的，这样在手机丢失或 SIM 卡损坏或无法使用时，您可以保留相同的手机号码。这也意味着移动运营商的员工有权做出此更改。

此外，在许多国家/地区，法律要求允许客户自由更换不同的移动运营商。这有利于鼓励良性竞争，但也意味着移动运营商只通过极低限度的验证就会允许将手机号码转至其他运营商，进而自然会发放新的 SIM 卡。

SIM 卡交换攻击的运作机制

有几种不同的攻击方式可以最终产生相同的结果：

1. 攻击者冒充您与您的移动运营商联系，告诉他们您的手机丢失了。攻击者让移动运营商对攻击者所冒充的身份深信不疑，并获得一张替换 SIM 卡；
2. 攻击者冒充您与另一家移动运营商联系，告诉他们您希望将服务切换到新运营商。新运营商要求旧运营商确认转网，而攻击者让他们对此深信不疑，最终导致新运营商发放一张 SIM 卡；或者
3. 攻击者贿赂您的移动运营商的一名员工，要求他更改您的手机号码，以指向攻击者的 SIM 卡。

无论是哪种情况，攻击者都会获得一张 SIM 卡，可以接收您的新手机号码收到的短信和电话，而您原有的手机号码则会停用。

如何保护自己免受 SIM 卡交换攻击？

一般来说，由于涉及第三方，目前还没有办法预防 SIM 卡交换攻击。保护自己免受这种攻击的有害影响的唯一方法是停止以短信 (SMS) 方式执行两步验证。

只要启用以短信方式进行两步验证，您的账户就会面临风险。您应该启用以替代方式进行两步验证，例如验证器应用或硬件安全密钥，然后禁用短信方式。