2025 年 9 月,韩国第二大电信运营商 KT 公司披露了一起复杂的网络攻击事件,278 名客户的移动支付系统遭到入侵,造成 1.7亿英镑(约合 12.24 万美元)的未授权交易。虽然经济损失似乎相对较小,但攻击的技术复杂性和新颖方法暴露了数十亿人每天依赖的基于电信的身份验证系统的灾难性漏洞。这起事件发生在SK Telecom2700 万用户受影响的漏洞事件后仅几个月,表明基于手机的身份验证已成为系统性的安全隐患,需要立即用分散的替代方案加以取代。
KT 的毫微微蜂窝攻击是一种新的威胁载体
KT 事件标志着韩国首例有据可查的非法毫微微蜂窝攻击,引入了一个绕过传统安全措施的可怕的可访问攻击载体。2025 年 8 月 6 日至 9 月 8 日期间,攻击者部署了经过改装的毫微微蜂窝(通常用于提高室内覆盖率的小型蜂窝基站),拦截并破坏了用户身份验证过程。
事实证明,这种技术机制非常有效。攻击者通过二级市场以大约 300 万英镑(2200 美元)的价格购得标准毫微微蜂窝设备,然后修改固件以绕过运营商验证协议。一旦连接到 KT 网络,这些流氓基站就会自动捕获其 10 米半径范围内的移动设备。当受害者的手机连接到看似最强的可用信号时,被入侵的毫微微蜂窝就会在内部解密后截获5561 个客户的 IMSI(国际移动用户身份)号码和明文短信验证码。
KAIST 教授 Kim Yong-dae解释了这一漏洞:”虽然从手机到毫微微蜂窝之间的移动通信是加密的,但毫微微蜂窝内部会对信息进行解密。如果黑客控制了这个毫微微蜂窝,他们就可以实时拦截信息并窃取个人信息。攻击者主要集中在首尔市和京畿道,主要是在凌晨时分,因为此时受害者不太可能注意到未经授权的交易。他们利用 KT 的小额支付系统,完全依靠短信验证进行身份验证,通过购买手机礼券和交通卡充值有计划地盗取账户资金。
这次攻击尤其令人担忧的是它的易用性。与需要高级持续性威胁或零日漏洞的复杂民族国家行动不同,毫微微蜂窝攻击利用的是现成的硬件和基本的技术知识。韩国高丽大学教授林钟仁(Lim Jong-in)指出,如果毫微微蜂窝这么容易就被攻破,这表明“潜在的内部控制失灵”,并引发了内部人员参与或电信设备安全协议不足的问题。
韩国电信公司面临大量身份验证漏洞
KT 事件只是韩国持续电信安全危机的最新一章。漏洞模式揭示了十多年来一直存在的系统漏洞,每次事件都暴露出越来越严重的身份验证弱点。
2025 年 4 月发生的 SK Telecom 入侵事件可能是韩国历史上最严重的电信安全故障。攻击者在近三年的时间里(2022 年 6 月至 2025 年 4 月)一直保持未被发现的访问权限,入侵了全部 2700 万用户的客户群。在 28 台受感染的服务器上使用 BPFDoor 恶意软件变种,威胁者(疑似中国 APT 组织,包括红楼梦、织女蚁和盐台风)提取了 IMSI 号码、USIM 身份验证密钥和 25 类用户信息。此次入侵事件的复杂性和持续性导致了 7000 亿欧元的修复投资,并引发了全国范围内的安全审查。
历史事件揭示了一种令人担忧的模式。KT 在 2012 年(870 万客户)、2014 年(1200 万客户,占其用户群的 75%)和 2016 年遭遇重大漏洞。LG U+ 在 2023 年遭遇重大漏洞,影响到 30 万客户,调查人员发现数据库管理员密码设置为 “admin”,且访问控制不足,因此被罚款 68 亿英镑。2014 年的多运营商漏洞事件同时入侵了三大运营商–SKT、KT 和 LG U+,共影响了 1230 万条记录,显示了整个行业的协同攻击。
这些事件具有共同的特点:长时间未被发现的访问、对身份验证系统漏洞的利用、包括身份验证凭据在内的大量数据暴露,以及电信运营商的检测和报告延迟。这些事件在所有主要运营商中反复发生,表明问题已经超出了个别公司的失误,而是涉及整个行业的身份验证架构结构漏洞。
移动身份验证系统存在固有漏洞
基于手机的身份验证的技术架构产生了多个攻击面,老练的对手经常利用这些攻击面进行攻击。这些漏洞的核心是 SS7(信令系统 7)协议SS7 是 20 世纪 70 年代的全球电信信令标准,在设计上缺乏身份验证和加密功能。美国国土安全部的评估是严酷的:”国土安全部认为,所有美国运营商都容易受到 [SS7 和 Diameter] 漏洞的攻击,从而给国家安全、经济和联邦政府可靠执行国家基本职能的能力带来风险”。
通过 SS7 漏洞可以实施破坏性攻击,包括实时位置跟踪、一次性密码短信拦截、呼叫拦截和窃听、拒绝服务攻击以及通过操纵账单进行用户欺诈。在暗网市场上以 150 美元至 2,500 美元的价格就能访问 SS7 网络,这为攻击者提供了以前只有情报机构才具备的能力。在 2017 年德国银行业攻击事件中,犯罪分子利用 SS7 漏洞盗取账户资金,这表明这些风险并非理论上的风险,而是被积极利用的弱点。
SIM 卡互换是移动身份验证中的另一个关键漏洞。普林斯顿大学的研究发现,”在美国,五分之四的 SIM 卡调换尝试都能成功”,包括 PayPal、Venmo 和亚马逊在内的 17 个主要网站仍然容易受到 SIM 卡调换的攻击。这种攻击的简单性–通过社会工程运营商客服将受害者的号码转移到攻击者控制的 SIM 卡–掩盖了其有效性。2022 年,40 名 KT 客户因 SIM 卡调换攻击损失了 2.7 亿英镑的加密货币,凸显了其直接的经济影响。
基带处理器漏洞又增加了一层漏洞。这些处理蜂窝通信的独立处理器的加固程度明显低于应用处理器,这就为通过畸形网络数据包远程执行代码创造了机会。在 Mobile Pwn2Own 上,安全研究人员展示了价值 10 万美元的基带漏洞,证明了老练的攻击者可以通过低级网络访问完全绕过应用级安全。
韩国特有的实施方式加剧了这些漏洞。在线服务必须使用 본인인증(身份验证)系统,该系统直接与电信运营商集成,并在很大程度上依赖于短信验证。该小额支付系统允许成人每月进行多达 100 万英镑的交易,主要通过短信代码和简单的 PIN 码进行验证。这种过度依赖电信基础设施进行关键验证的做法会在电信运营商受到威胁时产生连锁故障点。
集中式身份验证会造成灾难性的单点故障
基于电信的身份验证的根本缺陷不仅仅是技术上的漏洞,还有集中式系统固有的架构问题。学术研究一致认为,集中式身份验证会产生危险的单点故障。ACM 数字图书馆的研究指出”常用的集中信任和集中身份管理使信息系统和组织容易出现单点故障”。
盐台风 “行动体现了集中式电信基础设施如何成为民族国家行为者的战略目标。这场被参议员马克-华纳称为 “我国历史上最严重的电信黑客攻击 “的行动,让 “Colonial Pipeline 和 SolarWinds 看起来像儿戏”,至少入侵了包括 Verizon、AT&T 和 T-Mobile 在内的九家美国电信公司。在被发现之前,攻击者已经活跃了 1-2 年,他们访问了专为政府监控设计的合法拦截系统,为外国对手创造了具有讽刺意味的完美攻击载体。
NIST 的官方指南明确承认了这些风险。NIST SP 800-53 控制 CP-8(2)指出,组织应 “获取备用电信服务,以降低与主电信服务共享单点故障的可能性”。该指南认识到,电信提供商通常共享物理基础设施,使看似独立的系统所暴露的漏洞成倍增加。
行业分析揭示了集中式系统故障的一贯模式。当身份验证依赖于集中式基础设施时,服务器受损会同时影响所有连接的系统。网络中断会导致整个用户群的身份验证失败。数据库漏洞会同时暴露数百万用户的凭证,SKT 事件的 2700 万受害者就证明了这一点。大规模处理身份验证请求时会出现性能瓶颈,造成安全和可用性风险。
与分散式系统形成鲜明对比。电气和电子工程师学会关于分布式身份验证的研究指出”由于身份验证是分散进行的,一台服务器的故障不会影响所有用户。系统可以独立扩展,处理更多用户或请求,而不会使中央服务器不堪重负。破坏一台服务器并不一定会危及整个网络”。这种架构优势并不是理论上的,而是完全消除电信依赖性的新兴身份验证标准的基础。
专家共识要求放弃基于短信的身份验证
全球安全专家已达成压倒性共识:必须放弃基于电信的身份验证。在 “盐台风 “袭击事件后,CISA 发布了前所未有的指导意见,明确建议 “远离短信和语音信息渠道”,并建议使用加密信息应用程序取代传统电信。这代表了政府立场的根本转变,承认基于短信的身份验证无法充分保证安全。
布鲁斯-施奈尔记录了 NIST 试图废除 SMS 身份验证的行为,并指出虽然行业压力迫使其立场软化,但 “基本的安全问题仍然有效”。研究证实了这些担忧–Forrester发现,“短信 2FA 仅能阻止 76% 的攻击”,近四分之一的身份验证尝试容易受到攻击。
普林斯顿大学的一项研究对 140 个网站的身份验证政策进行了逆向工程,为普遍存在的漏洞提供了实证证据。他们发现,包括贝宝(PayPal)和亚马逊(Amazon)在内的主要平台在 “默认配置 “下仍然容易受到 SIM 卡交换攻击,这表明即使是先进的技术公司也很难降低基于电信的身份验证风险。
金融业专家发出了特别紧急的警告。Darktrace Federal 首席执行官 Marcus Fowler 解释说:”鉴于行业不断面临引入新供应商的压力,电信行业特别容易受到网络攻击……这些新增的第三方供应商带来了越来越大的安全风险”。Traceable 公司的 Ayan Halder 指出:”基于电信的攻击,如短信话费欺诈和 2FA 劫持,已经演变成首席信息安全官关注的主流问题。
各大科技公司都在为自己的实施方案投票。微软已经完全放弃了基于短信的 2FA,转而推广 “无密码技术,如用于台式机的 Windows Hello 或用于移动设备的 Microsoft Authenticator 应用程序”。谷歌也同样放弃了短信,转而使用硬件安全密钥和基于应用程序的身份验证。行业领导者的这些转变表明,对于具有安全意识的企业来说,短信验证已经到了 “寿终正寝 “的时候。
分散式身份验证消除了电信依赖性
前进的道路需要根本性的架构变革–从集中式、依赖电信的系统转向分散式、加密安全的替代方案。ANDOPEN 的SNAPPASS就是一种引人注目的方法,它的无网络生物识别身份验证系统荣获了2025 年 CES 创新奖。
SNAPPASS 采用了一项革命性的原则:完全独立于网络。该系统由 SNAPPIN 卡和 SNAPCHECK 身份验证硬件组成,SNAPPIN 卡包含人工智能优化的加密生物识别数据,无法远程修改,SNAPCHECK 身份验证硬件具有人工智能深度伪造和有效性检测功能。认证完全在用户的卡和读卡器之间离线进行,在没有任何网络连接的情况下,每分钟最多可处理 60 次认证。生物识别数据永远不会进入中央数据库,并在每次验证尝试后立即丢弃。
这种架构解决了电信系统中的所有主要漏洞。没有网络传输,就不可能有短信拦截或 SS7 攻击。物理占有要求可防止远程入侵。本地处理消除了单点故障。分布式架构确保一个地点受到攻击不会影响到其他地点。生物识别组件增加了强大的身份验证功能,不会像 SIM 卡那样被社会设计或交换。
更广泛的去中心化身份验证解决方案生态系统表明,市场已为这一转变做好准备。去中心化身份验证市场正在经历爆炸式增长,从 2022 年的 6.478 亿美元增长到 2030 年的 417.3 亿美元,年复合增长率高达 90.3%。基于区块链的系统,如微软的 Entra Verified ID,使用 W3C 标准的去中心化标识符(DID),让用户控制自己的凭证。遵循 FIDO2/WebAuthn 标准的硬件安全密钥可提供防网络钓鱼认证,而无需依赖电信。
学术研究验证了这些方法。自然-科学报告》发表的研究表明,基于区块链的身份验证 “利用政府颁发的电子身份证生成数字签名,并采用智能合约实现身份验证过程自动化”,在保持安全性和可用性的同时消除了电信基础设施要求。
电信认证时代必须立即结束
KT 小额支付黑客事件虽然在经济上并不起眼,但却代表着身份验证安全领域的一个分水岭。这次攻击使用了现成的毫微微蜂窝硬件来破坏身份验证系统,这表明基于电信的安全已经变得微不足道。结合影响 2,700 万用户的 SK Telecom 入侵事件和整个行业持续存在的漏洞,证据变得不可否认:电信网络在身份验证方面不可信。
专家的共识是一致的。CISA 等政府机构明确建议放弃短信验证。学术研究证明,集中式系统存在根本性的架构缺陷。安全研究人员经常演示成功的攻击。大型科技公司已经放弃了依赖电信的身份验证。问题不再是是否放弃 SMS 和基于电信的身份验证,而是企业如何快速完成过渡。
像ANDOPEN的SNAPPASS这样的解决方案指明了未来身份验证独立于脆弱的电信基础设施运行的方向。这些系统结合了物理拥有、生物识别验证和无网络操作,消除了所有类型的攻击,同时提供卓越的用户体验和隐私保护。预计到 2030 年,分散式身份验证市场将增长到 417.3 亿美元,这表明企业认识到了这一必要性,并正在进行相应的投资。
KT 事件应作为最后的警告。继续依赖 SMS 和基于电信的身份验证的组织所面临的灾难性风险已经超出了其各自的安全态势,威胁到关键基础设施和国家安全。如今已有技术可以完全消除这些漏洞。剩下的唯一问题是,企业是否会在成为下一个完全可以预防的身份验证漏洞受害者之前采取行动。
对于那些希望了解更多有关向分散式身份验证系统过渡的人来说,ANDOPEN 的 SNAPPASS 和类似的无网络解决方案提供了直接、可实施的替代方案,解决了电信身份验证失败的根本原因。渐进式改进的时代已经过去–未来的身份验证系统必须是分散的、独立于网络的和加密安全的。KT 黑客事件让我们看到了拖延的后果。前进的道路是明确的。
