眾新聞 Logo
眾新聞 CitizenNews
眾說

電話號碼是重要身份認證,妥善保存電話號碼,免被回收


圖片來源:Jonas Leupe / Unsplash

近幾個月,不論是移民英國,或是移民土星,香港人都要面對一個重要問題,就是如何處理原來的電話號碼。最近美國普林斯頓大學的電腦科學系和訊息技術政策中心做了一份報告,講述電話號碼停用後被回收所引申的潛在資安風險,雖然跟香港的情況略異,但也值得香港人借鏡參考。

普林斯頓大學的研究人員抽查了259個市面上可供新用戶登記的電話號碼,發現當中171個電話號碼仍於一些熱門網站有登記戶口,更可以因此查出一些號碼前用戶的相關個人身份訊息(PII,personally identifiable information),最嚴重的問題,是研究人員發現還有多個資安風險:

1. 個人訊息攻擊,透過電話號碼查出當事人的個人訊息。

2. 以短訊認證方式恢復前用戶仍使用舊號碼所登記電子商務或社交媒體戶口。

3. 一些網站如曾發生資料外洩,用戶資料(包括帳戶名稱、電話號碼或密碼等)可能已流出公海,攻擊者有機會能以電話號碼搜尋出曾被外洩的帳戶名稱及戶口密碼,登入受害人的帳戶。

4. 攻擊者知道受害人更改了電話號碼,就追查舊號碼的到期日期,並適時以新用戶的身份申請使用該號碼,從而獲得該號碼的控制權。

5. 有匪徒甚至監察號碼的使用情況,當發現號碼被新用戶取得後,就會假裝是電訊供應商發出詐騙訊息歡迎新用戶,以企圖索取客戶資料。

用戶可能會因為種種原因而改動電話號碼,例如改至靚號,轉換新的電話計劃,又或是移民而忘記了續費,又或是因為失去自由而沒有辦法及時續約,致使電話號碼被電訊商回收重用。

以香港的情況,一般是號碼在到期並沒有續費後的六個月,電話號碼就會重新放出公海。不過現在電話號碼已經是重要的身份認證,例如你收到朋友用舊號碼的Signal或WhatsApp聯絡你,你很大機會就會相信是對方發送過來的訊息,而不會再作認證。故此,保留常用號碼的控制權由其重要。

如果號碼已經過期及流出公海,就沒有方法可以取回,所以有以下建議:

一,要清楚知道號碼的到期日期,以香港為例,通常是沒有交費後六個月便會到期。

二,如果電話號碼長期不用,要考慮選用較為便宜的方式養號(英文叫number parking)。在香港,大多電話合約都很昂貴兼沒彈性,不建議。目前市面上較合適的養卡方式,是選用ClubSIM或本地的MVNO(虛擬網絡供應商)。

Club SIM:先申請「攜號轉台MNP」,首月月費HK$58,第二個月開始可以選用「短訊組合」,每月只用HK$6,支付方式可以使用非SIM卡主人的信用卡。不過如果選用了HK$6的短訊組合,就只能收發香港短訊,不能撥出或接聽電話,但這個是純粹養號的好方法。如果到時要用來打電話,可以啟用新的計劃。

MVNO:MVNO 即虛擬網絡供應商,目前較多人使用的有兩間公司,分別是LuckySIM及More Mobile,均採用CSL 4G網絡。其最大的好處,是提供了超長的三年年期SIM卡,價錢是HK$168左右,平均每個月HK$4.7。

這些計劃都有一定的流量及通話分鐘,萬一上太空倉的日期不確定,又想未進倉時可以適時用一下手機,這種計劃會較為合適。

Lucky SIM及More Mobile的規模當然不及CSL,但兩者都是使用CSL的網絡,萬一公司出了問題,號碼仍是「泊」了在CSL那邊。小公司在處理上,感覺多一點彈性。而如果評估自身對風險的承受能力,不想使用Lucky SIM或More Mobile,也可以考慮用上面提到的Club SIM,或3HK的DIY sim card,一年HK$270,有100 GB,亦可攜號轉台。

目前市面上有不少店鋪聲稱可以HK$5養卡,用的就是這類服務。建議直接跟以下公司聯絡,因為要提交身份證資料,中間人少一點,會較為安全。

Lucky SIM

More Mobile現代移動

目前More Mobile有六年計劃,應該是養卡最長的年期。

請參看:

手機合約是無謂的束縛,斷約最爽,月費廿蚊雞,每月慳百幾二百!

出發去土星旅行(網上帳號等之準備)〉

三,避免使用電話號碼作二步認證,改用Authenticator或硬件認證。

請參看:

零基資安訓練營(十七):利用硬件安全鑰匙,鑄造最強勁的 Gmail 保安級別

〈資安必備三招〉https://www.patreon.com/posts/52521375

四,小心對待來電及短訊訊息,尤其是自稱是電訊公司、網絡服務商等的來電或短訊,很大機會都是詐騙。

五,長遠而言,儘量不使用香港的電話號碼作為Signal、WhatsApp等的關連號碼,改用更有彈性的虛擬號碼。留意虛擬號碼也會有過期的可能,所以需要留意相關的付款情況,部份供應商容許把號碼設置為「永久」。

請參看:〈手機號碼跳船策略(番外篇):史上最強的虛擬神器(Patreon 獨家文章)

原文刊於作者Patreon