2025 年 9 月,韓國第二大電信供應商 KT Corporation 披露了一次複雜的網路攻擊,該攻擊破壞了 278 名客戶的行動支付系統,導致未經授權的交易損失 了 170,000,000 韓元 (122,400 美元)。雖然經濟損失似乎相對得到控制,但該攻擊的技術複雜性和新穎的方法暴露了數十億人每天依賴的基於電信的身份驗證系統中的災難性漏洞。這起事件發生在 SK Telecom 影響 27,000,000,000 名用戶的違規行為幾個月後,表明基於手機的身份驗證已成為一種系統性安全責任,需要立即用去中心化替代方案取代。
KT 的 femtocell 攻擊代表了一種新的威脅媒介
KT 事件標誌著韓國首例有記錄的非法毫微微蜂窩攻擊案例,引入了一種繞過傳統安全措施的可怕的攻擊媒介。2025 年 8 月 6 日至 9 月 8 日期間,攻擊者部署了經過修改的毫微微蜂窩基站(通常用於擴大室內覆蓋範圍的小型蜂窩基站)來攔截和破壞用戶身份驗證過程。
事實證明,這種技術機制具有毀滅性的效果。攻擊者透過二級市場以約三百萬韓元(2,200 美元)的價格購買了標準毫微微蜂窩設備,然後修改韌體以 繞過運營商身份驗證協定。一旦連接到 KT 的網絡,這些流氓基地台就會自動捕獲其 10 公尺半徑內的行動裝置。當受害者的手機連接到看似最強的可用信號時,受感染的毫微微蜂窩基站在內部解密後 攔截了 5,561 名客戶的 IMSI(國際移動用戶身份)號碼 和明文短信身份驗證碼。
韓國科學技術院教授金永大解釋了該漏洞 :「 雖然行動通訊從電話到毫微微蜂窩基站都是加密的,但毫微微蜂窩基站在內部解密訊息。如果黑客控制了這個毫微微蜂窩基站,他們就可以實時攔截消息並竊取個人信息。攻擊者將工作集中在首爾大都市和京畿道,主要是在凌晨,受害者不太可能注意到未經授權的交易。他們利用 KT 僅依靠簡訊驗證進行身份驗證的小額支付系統,透過購買行動禮券和充值系統系統地耗盡帳戶。
這種攻擊特別令人擔憂的是它的可訪問性。與需要高階持續威脅或零時差漏洞的複雜民族國家行動不同,毫微微蜂窩基地台攻擊利用了現成的硬體和基本技術知識。高麗大學教授林鐘仁指出,如果毫微微蜂窩基站如此容易受到損害,則表明 “潛在的內部控制失敗” ,並引發有關內部人員參與或電信設備安全協議不足的問題。
韓國電信面臨身份驗證違規的流行
KT 事件只是韓國持續電信安全危機的最新篇章。違規模式揭示了持續十多年的系統性漏洞,每次事件都暴露出越來越嚴重的身份驗證弱點。
2025 年 4 月的 SK Telecom 違規事件可能是韓國歷史上最具災難性的電信安全故障。攻擊者在近三年(2022 年 6 月至 2025 年 4 月) 內保持未被發現的訪問 權限,損害了 27,000,000,000 名用戶的整個客戶群。威脅行為者(懷疑是中國 APT 組織,包括 Red Mansion、Weaver Ant 和 Salt Typhoon)在 28 台受感染伺服器上使用 BPFDoor 惡意軟體變體,提取了 IMSI 號碼、USIM 身份驗證金鑰和 25 類訂閱者資訊。該漏洞的複雜性和持久性促使了 7,000 億韓元的修復投資,並引發了全國範圍內的安全審查。
歷史事件揭示了一個令人不安的模式。KT 在 2012 年(8,700,000 名客戶)、2014 年(12,000,000,000 名客戶,佔其用戶群的 75%)和 2016 年遭受了重大違規行為。LG U+ 在 2023 年經歷了一次重大違規事件,影響了 300,000 名客戶,在調查人員發現資料庫管理員密碼設定為「admin」且存取控制不足後,導致 6.8 億韓元的罰款。2014 年的多營運商違規事件同時損害了所有三大營運商——SKT、KT 和 LG U+——總共影響了 12,300,000 條記錄,並表明整個行業都受到了協調攻擊。
這些事件具有共同特徵: 長時間未被發現的存取、利用身份驗證系統漏洞、包括身份驗證憑證在內的大量資料暴露以及電信提供者的延遲偵測和報告。所有主要營運商的反覆出現的性質表明,該問題不僅限於個別公司故障,還包括身份驗證架構中全行業的結構性漏洞。
行動認證系統包含固有漏洞
基於行動電話的身份驗證的底層技術架構會創建多個攻擊面,老練的對手經常利用這些攻擊面。這些漏洞的核心在於 SS7(信令系統 7)協議,這是 1970 年代的全球電信信令標準,在設計上缺乏身份驗證和加密。美國國土安全部的評估是嚴厲的:“國土安全部認為,所有美國運營商都容易受到 [SS7 和 Diameter] 漏洞的攻擊,從而對國家安全、經濟和聯邦政府可靠執行國家基本職能的能力造成風險。
SS7 漏洞可實現毀滅性攻擊,包括即時位置追蹤、一次性密碼簡訊攔截、呼叫攔截和竊聽、拒絕服務攻擊以及透過帳單操縱進行用戶詐欺。SS7 網路在暗網市場上的售價為 150 至 2,500 美元,為攻擊者提供了以前為情報機構保留的功能。2017 年德國銀行攻擊事件表明,犯罪分子利用 SS7 漏洞竊取帳戶,這表明這些不是理論上的風險,而是積極利用的弱點。
SIM 卡交換 是行動身份驗證中的另一個嚴重漏洞。普林斯頓大學的研究發現,“在美國,五分之四的 SIM 卡交換嘗試成功了”,包括 PayPal、Venmo 和亞馬遜在內的 17 個主要網站仍然容易通過 SIM 卡交換受到損害。該攻擊的簡單性——社會工程運營商客戶服務將受害者的號碼轉移到攻擊者控制的 SIM 卡——掩蓋了它的有效性。2022 年,40 名 KT 客戶因 SIM 卡交換攻擊損失了 270,000,000,000 韓元的加密貨幣,凸顯了直接的財務影響。
基帶處理器漏洞增加了另一層漏洞。這些處理蜂窩通信的獨立處理器的堅固程度明顯低於應用處理器,從而為通過格式錯誤的網絡數據包進行遠程代碼執行創造了機會。Mobile Pwn2Own 的安全研究人員展示了價值 100,000 萬美元的賞金的基頻洩露,證明老練的攻擊者可以透過較低層級的網路存取完全繞過應用程式級安全性。
韓國特定的實現加劇了這些漏洞。本人認證(身份驗證)系統是線上服務的強制性系統,直接與電信業者集成,並嚴重依賴簡訊驗證。小額支付系統允許成人每月進行高達 1,000,000 韓元的交易,主要通過短信代碼和簡單的 PIN 進行身份驗證。當運營商受到損害時,這種對電信基礎設施進行關鍵身份驗證的過度依賴會產生級聯故障點。
集中式身份驗證會造成災難性的單點故障
基於電信的身份驗證的根本缺陷不僅限於技術漏洞,還延伸到集中式系統固有的架構問題。學術研究一致認為集中式身份驗證會造成危險的單點故障。正如 ACM 數位圖書館的研究所指出的:「常用的集中式信任和集中式身分管理使資訊系統和組織容易出現單點故障。」
鹽颱風運動體現了集中式電信基礎設施如何成為民族國家行為者的戰略目標。參議員馬克·華納 (Mark Warner) 稱這項活動是“我們國家歷史上最嚴重的電信黑客攻擊”,使“Colonial Pipeline 和 SolarWinds 看起來像是兒戲”,損害了至少九家美國電信公司,包括 Verizon、AT&T 和 T-Mobile。攻擊者在被發現之前活躍了 1-2 年,訪問了專為政府監視而設計的合法攔截系統,諷刺的是,為外國對手創造了完美的攻擊媒介。
NIST 的官方指南明確承認這些風險。 NIST SP 800-53 控制 CP-8(2) 規定組織應「獲得替代電信服務,以減少與主要電信服務共享單點故障的可能性」。該指南認識到,電信提供商經常共享物理基礎設施,從而增加了看似獨立系統的漏洞暴露。
行業分析揭示了集中式系統故障的一致模式。當身份驗證依賴於集中式基礎設施時,伺服器入侵會同時影響所有連接的系統。網路中斷會在整個使用者群體中造成身份驗證失敗。資料庫外洩會同時暴露數百萬用戶的憑證,SKT 事件的 27,000,000,000 名受害者數量就證明了這一點。大規模處理身份驗證請求時會出現效能瓶頸,從而產生安全性和可用性風險。
與去中心化系統的對比是驚人的。IEEE 對分散式身份驗證的研究指出:「由於身份驗證是分散的,因此一台伺服器的故障不會影響所有使用者。系統可以獨立擴展,處理更多使用者或請求,而不會使中央伺服器不堪重負。破壞一台服務器並不一定會危及整個網絡。這種架構優勢不是理論上的,它是完全消除電信依賴關係的新興身份驗證標準的基礎。
專家共識要求放棄基於短信的身份驗證
全球安全專家已達成壓倒性共識:必須放棄基於電信的身份驗證。在鹽颱風襲擊之後, CISA 發布了前所未有的指南 ,明確建議“遠離短信和語音消息渠道”遷移,並建議使用加密消息應用程序而不是傳統電信。這代表了政府立場的根本轉變,承認基於簡訊的身份驗證無法得到充分保護。
布魯斯·施奈爾 (Bruce Schneier) 記錄了 NIST 試圖棄用簡訊身份驗證的情況,並指出,雖然行業壓力迫使立場軟化,但「潛在的安全問題仍然有效」。研究證實了這些擔憂——Forrester 發現 「SMS 2FA 只能阻止 76% 的攻擊」, 這使得近四分之一的身份驗證嘗試容易受到損害。
普林斯頓大學的研究指出,對 140 個網站的逆向工程身份驗證策略提供了廣泛漏洞的經驗證據。他們的發現是,包括 PayPal 和亞馬遜在內的主要平台「在預設配置中」仍然容易受到 SIM 卡交換攻擊,這表明即使是複雜的科技公司也難以降低基於電信的身份驗證風險。
金融業專家發出了特別緊迫的警告。Darktrace Federal 執行長 Marcus Fowler 解釋說:「鑑於引入新供應商的持續行業壓力,電信業特別容易受到網路攻擊……這些添加的第三方供應商會造成越來越大的安全風險。Traceable 的 Ayan Halder 指出,“基於電信的攻擊,如短信收費欺詐和 2FA 劫持,已經演變成首席信息安全官的主流關注點。
主要科技公司正在對其實施進行投票。Microsoft 已經完全放棄了基於 SMS 的 2FA,推廣“無密碼技術,如桌面版 Windows Hello 或移動設備的 Microsoft Authenticator 應用程序”。Google 同樣棄用了 SMS,轉而使用硬體安全金鑰和基於應用程式的身份驗證。行業領導者的這些轉變表明,對於具有安全意識的組織來說,簡訊身份驗證已達到生命週期結束的狀態。
去中心化身份驗證消除了電信依賴
前進的道路需要從根本上改變架構——從集中式、依賴電信的系統轉向去中心化、加密安全的替代方案。 ANDOPEN 的 SNAPPASS 代表了一種引人注目的方法,其無網路生物辨識認證系統榮獲 2025 年 CES 創新獎 。
SNAPPASS 的運作原理是革命性的:完全的網路獨立性。該系統包括包含人工智慧優化、加密的生物辨識資料(無法遠端修改)的 SNAPPIN 卡,以及具有人工智慧驅動的深度偽造和活體檢測功能的 SNAPCHECK 身份驗證硬體。身份驗證在用戶的卡和讀卡機之間完全離線進行,每分鐘處理多達 60 次身份驗證,無需任何網絡連接。生物辨識資料永遠不會進入集中式資料庫,並且在每次身份驗證嘗試後都會立即丟棄。
此架構解決了基於電信的系統中的每個主要漏洞。沒有網絡傳輸,就沒有短信攔截或 SS7 攻擊的可能性。實際佔有要求可防止遠端入侵。本機處理可消除單點故障。分散式架構可確保入侵一個位置不會影響其他位置。生物辨識元件增加了強大的身份驗證,無法像 SIM 卡那樣進行社會工程或交換。
更廣泛的去中心化身份驗證解決方案生態系統表明市場已為這一轉變做好準備。去中心化身分市場正在經歷爆炸性成長,從 2022 年的 647,800,000 美元增加到 2030 年的預計 41.73 億美元,複合年增長率高達 90.3%。基於區塊鏈的系統(例如 Microsoft 的 Entra 驗證 ID)使用 W3C 標準去中心化識別碼 (DID) 來讓使用者控制其憑證。遵循 FIDO2/WebAuthn 標準的硬體安全金鑰提供防網路釣魚驗證,無需電信依賴。
學術研究驗證了這些方法。《自然科學報告》發表的研究表明,基於區塊鏈的身份驗證“利用政府頒發的電子身份證生成數字簽名,並採用智能合約來自動化身份驗證過程”,消除了電信基礎設施要求,同時保持了安全性和可用性。
電信認證時代必須立即結束
KT 小額支付駭客攻擊雖然在財務上規模不大,但卻代表了身份驗證安全的分水嶺。該攻擊使用現成的毫微微蜂窩基站硬體來破壞身份驗證系統,這表明基於電信的安全性已經變得微不足道。結合影響兩千七百萬用戶的 SK Telecom 漏洞和持續存在的全行業漏洞,證據變得不可否認: 電信網路無法信任進行身份驗證。
專家共識是一致的。CISA 等政府機構明確建議放棄簡訊身份驗證。學術研究證明了集中式系統的基本架構缺陷。安全研究人員以可怕的規律性展示了成功的攻擊。主要科技公司已經從依賴電信的身份驗證中遷移。問題不再是是否放棄基於短信和電信的身份驗證,而是組織能夠以多快的速度完成過渡。
像 ANDOPEN 的 SNAPPASS 這樣的解決方案指向一個未來,即身份驗證獨立於易受攻擊的電信基礎設施運行。透過結合實體擁有、生物辨識驗證和無網路操作,這些系統消除了所有類別的攻擊,同時提供了卓越的用戶體驗和隱私保護。到 2030 年,去中心化身分市場預計將成長至 41.73 億美元,這表明企業認識到這一必要性並正在進行相應投資。
KT事件應該作為最後的警告。繼續依賴基於 SMS 和電信的身份驗證的組織接受災難性風險,這些風險超出了其個人安全態勢,威脅到關鍵基礎設施和國家安全。如今,該技術的存在可以完全消除這些漏洞。剩下的唯一問題是組織是否會在成為完全可預防的身份驗證違規的下一個受害者之前採取行動。
對於那些尋求了解有關過渡到去中心化身份驗證系統的更多信息的人來說,ANDOPEN 的 SNAPPASS 和類似的無網絡解決方案提供了即時、可實施的替代方案,以解決電信身份驗證失敗的根本原因。漸進式改進的時代已經過去——身份驗證的未來必須是去中心化的、獨立於網路的和加密安全的。KT 黑客攻擊向我們展示了延誤的後果。前進的道路是明確的。
