SIM卡交换攻击（英语：SIM swap attack），又称SIM卡劫持，是透过冒用身份向电信业者提出申请，将被害者的电话号码从对方的SIM卡转移至攻击者的一种诈骗攻击手段。攻击者可借此在被害者不知情的情况下，收取一次性密码并盗取网站账号与银行账户。

2022年初，联邦调查局对这种日渐猖獗的攻击手段提出警告，称旗下的网络犯罪投诉中心（英语：Internet Crime Complaint Center）在2018年到2020年间共收到320件相关投诉、损失金额达1200万美元，但在2021年共收到1610件相关投诉、损失金额达6800万美元，是过去三年间的五倍以上。

这种攻击手段源自互联网的发展，许多线上服务开始以电话号码作为注册或登入账号的依据，而非使用电子邮件或让用户自行输入账号和密码。例如已有超过7亿用户使用的即时通讯软件Telegram，在首次开启时便会要求输入电话号码。

攻击者会从数据泄露事件中，或是透过网络钓鱼，取得被害者的身份证等详细个人资料。此外，也能透过被害者公开的社群媒体取得姓名、出生年月日或地址等资料。

随后，攻击者会借由这些资讯冒充被害者，运用社交工程说服电信业者将电话号码转移至自己的SIM卡上，例如声称自己弄丢了手机而需要进行转移。随着eSIM的出现，攻击者可以在线上完成申办和开通，让攻击变得更加容易。在印度，需要实体SIM卡上的20位号码才能进行转移，因此攻击者也会运用社交工程诱使被害者给出相关资料。

一旦攻击者成功转移，攻击者便可以使用自己的装置接收被害者的电话和简讯，从而收取一次性密码、绕过基于简讯的双重认证。攻击者可以透过“忘记密码”功能重置密码并夺取被害者的网络服务账号，甚至进入被害者的银行账户或加密货币钱包盗取资产。

这种攻击手段于2014年即有案例。近期较知名的案例是在2019年，Twitter联合创始人杰克·多西的Twitter账号被这种手段骇入，并在短时间内发布了大量种族歧视的推文。

2018年，区块链新创公司Transform Group创办人Michael Terpin被盗取了价值2400万美元的加密货币，他随即起诉美国电信业者AT&T未能充分保护用户安全，并求偿2.24亿美元；两年后，一名盗取其资产的纽约高中生被起诉，他在犯案时年仅15岁。目前，该名攻击者已表示愿意归还其盗取的资产，而对AT&T的求偿则被法院驳回。

2020年，普林斯顿大学信息技术政策中心（英语：Center for Information Technology Policy）的四位研究员发表了一份研究，他们在美国的五大电信业者申办了共50张预付卡，再尝试对其进行攻击，结果有39张SIM卡成功转移，且有两家电信业者完全未进行身份查核。研究中还测试了140个线上服务，其中有17个可以透过这种攻击手段来盗取账号。

2022年1月，台湾出现首起攻击案例。攻击者绕过台湾相对严格的身份认证机制，冒用被害者的身份证和健保卡影本、出入境证明、委托书等资料，挂失SIM卡后盗取网络银行资产，更冒用身份申办信用卡、领取振兴五倍券和接种2019冠状病毒病疫苗。

对民众而言，可以使用Google身份验证器这类的TOTP服务，取代原先基于简讯的两步骤验证；此外防范网络钓鱼和网络诈骗的意识亦不可少。

在企业方面，电信业者也需要拟定更完整的身份查核机制，并进行教育训练，防止业者员工收贿协助进行攻击。