簡訊詐騙怎麼防？EVERY8D 外洩後我重設 OTP 的 5 分鐘帳號自救清單

💡 核心結論速覽 (TL;DR)

• 先別恐慌：EVERY8D 簡訊平台疑遭駭，但官方截至目前未證實客戶資料被大量外洩，你要做的不是慌，是把驗證方式升級。
• 最該記住的一句話：簡訊驗證碼（OTP）本來就是「夠用但不夠安全」的方案，NIST 在 2024 起的新版標準已把它列為受限制（restricted）的驗證方式。
• 立刻可做：收到沒申請的驗證碼＝有人正在試你的帳號，先改密碼、別把碼念給任何人；政府銀行簡訊裡的連結一律不點，改用官方 App 或 165 查證。
• 下一步：把最重要的 3～5 個帳號（銀行、Email、社群）從簡訊 2FA 換成 Authenticator App 或 passkey，5 分鐘自救清單在文末。

說真的，這幾週只要有在追新聞的人，應該都被「EVERY8D 簡訊平台疑遭駭」這條洗版過。我第一時間的反應不是「天啊完蛋了」，而是打開手機把幾個重要帳號的登入紀錄滑了一遍——因為簡訊詐騙這種事，真正會傷到你的從來不是新聞標題有多嚇人，而是你有沒有在對的時間做對的小動作。

這篇不打算跟你分析企業資安事故的責任歸屬（那是另一個世界的事）。我想講的是更貼身的問題：面對簡訊詐騙，一般人收到一則「驗證碼」「訂單成立」「帳戶異常」的簡訊時，到底該怎麼判斷真假、怎麼自救。你可能也遇過那種手機突然跳出一個沒申請過的驗證碼、心臟漏一拍的瞬間吧？這篇就是寫給那個瞬間的。

EVERY8D 事件到底發生什麼事？我先把結論講清楚

先給直接答案：EVERY8D（互動資通旗下的企業簡訊平台）從 5 月中起傳出服務異常，5 月下旬有疑似透過該平台發送的簡訊樣本流到暗網兜售。金融資安資訊分享與分析中心（F-ISAC）對這起事件發布了黃燈級警訊，數位發展部也啟動了行政檢查。但要特別講清楚一件事——截至目前，官方並未證實有客戶資料遭大量未授權外洩，所以你會看到我整篇都用「疑遭駭」「疑外洩」這種留有餘地的講法。

為什麼這件事會被當成國安級的供應鏈危機？因為 EVERY8D 是全台規模數一數二的企業簡訊平台，每月發送量以「億則」為單位計算，銀行的交易 OTP、電商的會員登入、政府機關的通知，很多都走它的管線。換句話說，它不是一家小公司出包，而是「很多你信任的單位，背後其實共用同一條簡訊水管」。一次性密碼（OTP）這種東西，平常你根本不會去想它怎麼來的。

我自己每天用一堆線上服務，訂了 ChatGPT、Claude、Notion 一拖拉庫的帳號，這次事件對我最大的提醒是：我把太多帳號的安全，押在「一則簡訊會準時、安全地送到我手機」這個假設上。而這個假設，這次被戳破了。所以與其追究是誰的錯，不如把這當成一次免費的健檢提醒——下面這幾件事，做完你會安心很多。

簡訊驗證碼（OTP）是什麼？為什麼第三方簡訊平台會變成「供應鏈風險」

簡單說，OTP 就是那組「會過期的臨時密碼」，銀行或網站在你登入、轉帳時發到你手機，用來確認「操作的人真的是你本人」。它的設計初衷很單純：就算別人偷到你的密碼，沒有你手機裡那組碼，還是進不去。聽起來很安全，對吧？問題就出在「這組碼怎麼送到你手機」這段路。

你可以把它想成叫外送。你（銀行）煮好一碗麵（驗證碼），但你不會自己騎車送，而是丟給外送平台（像 EVERY8D 這種簡訊代發商）幫你送到客人手上。平常運作順暢時你不會注意到外送員是誰；可是一旦外送平台的後台被駭客控制，駭客就等於拿到了「上帝視角」——能看到一車一車的麵要送去哪、上面寫了什麼。簡訊內容、收件門號、發送的單位，全都攤在他面前。

這就是「供應鏈風險」的白話版：你信任的是銀行，但實際幫銀行送驗證碼的是第三方，而你對那個第三方完全沒有選擇權，也看不到它的資安做得好不好。這也是為什麼這次事件讓資安專家這麼緊張——當大量簡訊紀錄被拼湊起來，駭客就能反推出「你常跟哪個政府單位往來、用哪幾家銀行、最近在辦什麼」，這種「真人輪廓」比單純偷一組密碼可怕太多了。

如果你想更系統地搞懂自己的個資到底散落在哪、外洩了哪些，我之前整理過一篇怕自己的 Email 或門號早就在外洩名單上？這份用 5 個免費工具 30 分鐘自查的個資外洩檢查指南可以照著做一輪，跟這篇搭配看效果最好。

收到「沒申請的驗證碼」代表什麼？這 3 種情況要立刻警覺

核心判斷先給你：如果你收到一組自己沒有要登入、沒有要交易卻冒出來的驗證碼，那幾乎可以確定——有人正拿著你的帳號密碼，在門口試著開門。這也是簡訊詐騙最常見的前兆。驗證碼是那道最後的鎖，它響了，代表前面的鎖已經被摸到了。這時候千萬別覺得「啊反正他沒進來」就算了。

第一種情況最常見：單一帳號跳出一兩次驗證碼。多半是你的密碼在某次外洩中流出，有人拿去自動試登。處置很簡單——立刻去改那個帳號的密碼，而且別跟其他帳號用同一組。

第二種要提高警覺：同一時間湧進大量驗證碼簡訊（俗稱簡訊轟炸）。這通常是攻擊者想用洗版蓋掉某一封「真的」簡訊，比如門號被盜轉的通知，或是想煩到你不小心點到什麼。這時更要冷靜，一封一封看清楚，不要急著清空。

第三種最危險，也最容易被忽略：手機突然完全收不到簡訊、訊號變成「無服務」。這可能是 SIM swap（門號盜轉）——有人冒用你的身分去電信商把你的號碼轉到他的 SIM 卡上，之後你的驗證碼全部會送到他手機。根據 FBI 2024 年的網路犯罪報告，光是 SIM swap 申訴就有 982 件、直接損失約 2,600 萬美元，這不是什麼罕見的科幻情節。一發現訊號異常又遲遲不恢復，馬上打電話（用別支手機）問電信商。

這裡有一條我覺得最值得刺青在腦袋裡的鐵則：沒有任何一家正派的銀行、客服、平台，會打電話或傳訊息叫你「把收到的驗證碼念給他聽」。只要有人這樣要求，不管他自稱是誰，直接掛斷就對了。我自己接過一次假冒銀行的電話，對方講得超專業，連我尾號幾號都知道，但一講到「請提供您剛收到的簡訊驗證碼」我就秒掛——因為真的銀行永遠不會問這個。

政府、銀行簡訊裡的連結能點嗎？我的 30 秒查證流程

直接給答案：政府或銀行簡訊裡的連結，我的預設一律是「不點」。不是因為一定有問題，而是因為「點了才發現是假的」這個代價太大，而「不點、改走官方管道」幾乎沒有成本。現在的簡訊詐騙做得跟真的一模一樣，連顯示的發送名稱都能偽造，光看外表你根本分不出來。

那不點連結要怎麼確認事情真假？我固定跑這個 30 秒流程：❶ 不點簡訊裡的任何連結；❷ 自己打開官方 App，或手動輸入官網網址（不是用搜尋第一個結果，那也可能是假廣告）；❸ 在官方管道裡看有沒有對應的通知或帳單。如果 App 裡什麼都沒有，那封簡訊九成是假的。

如果還是拿不準，台灣其實有滿好用的官方查證工具，我會直接用。內政部警政署的 165 全民防騙網可以直接在首頁輸入電話、網址、LINE ID，查它有沒有被別人通報過詐騙；想看最近哪種手法最猖獗，165 打詐儀表板有即時的詐騙統計。真的遇到狀況，165 反詐騙諮詢專線一通電話就能問，金管會也設了金融防詐專區。把這幾個存進手機，比你猶豫半天有用多了。

這套「先收到通知別急著點」的邏輯，其實跟我之前寫那篇沒買東西卻收到「訂單成立」通知、教你 30 秒分辨綠界詐騙真假的自救清單是同一套心法——詐騙的招數會變，但「不點連結、回官方管道核對」這個原則永遠不會錯。

簡訊 2FA、Authenticator App、Passkey 差在哪？該換哪個

先講最重要的判斷：簡訊 2FA 不是不能用，而是「有更好的選擇時，重要帳號應該換掉」。美國國家標準技術研究院（NIST）在新版的數位身分指引裡，已經把簡訊 OTP 列為「受限制的驗證方式」，意思是它還能擋掉大部分隨機攻擊，但對針對性的 SIM swap、釣魚就力不從心。連杜拜的央行都要求金融機構在 2026 年 3 月底前淘汰簡訊與 email OTP，這個方向其實全球都看得很清楚了。

但我必須誠實提醒一件事，這也是很多教學沒講的：換驗證方式之前，務必先設好備援，不然你很可能把自己鎖在門外。我看過朋友興沖沖把 Authenticator 設好，結果手機摔壞、又沒存復原碼，整個 Google 帳號進不去，搞了快一週才救回來。所以下面每一個升級，請務必同時把「復原碼」抄下來收好。

這三種方式我幫你拆清楚，你不用全懂，看「適合誰」對號入座就好：

如果要我給一句話建議：一般人先把 Authenticator App 設起來當預設，最重要的那幾個帳號（主 Email、網銀、加密貨幣交易所）只要支援 passkey 就優先開 passkey。像 Google Authenticator 或微軟、Authy 這類驗證器 App 全部免費，而且因為驗證碼是手機本機算出來的、不經過簡訊管線，這次 EVERY8D 那種「簡訊水管被駭」的風險就完全跟它無關，連簡訊詐騙攔截驗證碼這招都對它沒轍。關於 2FA 怎麼一步步設定，我之前寫過一篇5 分鐘就能搞定 2FA、把重要帳號一次鎖好的兩步驟驗證教學，照著做就行。

還有一個常被忽略的環節：密碼本身要先夠強、不重複，2FA 才有意義。如果你還在所有網站用同一組密碼，那駭客根本不用攻 2FA，直接拿外洩的密碼去試就好。我自己是用密碼管理器把每個網站都設成不同的亂數長密碼，現在像 1Password 這類工具還能直接幫你存 2FA 驗證碼和 passkey，等於密碼、雙重驗證、通行密鑰一個 App 全包，對懶得記東西的人來說省事很多。當然你想比較不同款式，可以看我這篇把 1Password、Bitwarden、LastPass 怎麼選一次講清楚的密碼管理器推薦再決定。

👉 前往 1Password 官方網站看方案

EVERY8D 之後，5 分鐘帳號自救清單

講了這麼多原理，最後直接給你一份對抗簡訊詐騙、可以馬上動手的清單。不用一次做完，但建議今天至少做完前三項——它們花不到 5 分鐘，卻能擋掉八成的風險。

❶ 改掉最重要 3 個帳號的密碼：主 Email、網銀、最常用的社群。每個都設成不一樣的長密碼，記不住就交給密碼管理器。

❷ 幫這幾個帳號開啟更強的驗證：能開 passkey 就開 passkey，不行就改用 Authenticator App，盡量別只靠簡訊。記得把復原碼抄下來收好。

❸ 檢查門號與帳號的登入紀錄：銀行 App、Google、Apple ID 通常都有「最近登入裝置」可以看，發現陌生裝置立刻登出並改密碼。手機若突然無訊號，先想到 SIM swap。

❹ 把官方查證管道存進手機：165 全民防騙網、165 反詐騙專線、你常用銀行的官方客服電話。下次收到可疑簡訊，30 秒就能查。

❺ 設定門號的「SIM 卡保護」：去電信商或手機設定裡開啟 SIM PIN，並詢問電信商能否設定「臨櫃本人才能辦理門號移轉」，降低被盜轉的機率。

老實說，這些事我自己也是這次才認真補齊的。資安這種東西就是這樣，平常覺得麻煩懶得弄，出事才後悔太晚做。但好消息是，做一次就能安心很久，而且大部分都免費。如果你出國常用公共網路，順手也建議看一下在外面連免費 Wi-Fi 怎麼不被駭、保護個資的 7 個實戰方法，跟手機本身的防護是一整套的。

FAQ 常見問題

簡訊 2FA 現在還能用嗎？還是一定要換掉？

能用，但建議分輕重。對於不太重要的網站，簡訊 2FA 還是比完全不開好；但主 Email、網銀、加密貨幣這類「被攻破會很痛」的帳號，我會優先換成 Authenticator App 或 passkey。重點不是全面廢掉簡訊，而是別把最重要的東西只押在它身上。換之前記得先存好復原碼，避免把自己鎖在外面。

我收到 EVERY8D 相關的「資料外洩通知」簡訊，是真的嗎？

要非常小心，這種時間點最容易出現「假借事件名義」的二次詐騙。真正的官方通知不會在簡訊裡塞一個要你登入或填資料的連結。看到這類簡訊，一律不點連結，自己打開該服務的官方 App 或手動輸入官網確認；拿不準就上 165 全民防騙網查那個號碼或網址有沒有被通報。記住，官方查證永遠比簡訊裡的連結可信。

Authenticator App 跟 passkey 我只能選一個嗎？該怎麼分配？

不用二選一，反而建議搭配用。我的分配邏輯是：passkey 留給最頂級、又有支援的帳號（主 Email、網銀）當主要登入；Authenticator App 當作大多數其他帳號的 2FA 預設。兩者都比簡訊安全，差別在 passkey 抗釣魚能力最強但支援的網站還不夠多，Authenticator App 則是哪裡都能用的萬用解。先求有、再求好。

萬一已經被盜刷或帳號被入侵了，第一步該打給誰？

金錢相關的第一通電話打給你的發卡銀行或該金融機構的官方客服（號碼從卡片背面或官方 App 找，不要 Google），請他們先止付或凍結。同時撥 165 反詐騙專線報案、保留所有簡訊與交易截圖當證據。帳號被入侵則先從另一台裝置改密碼、登出所有裝置、開啟更強的 2FA。動作越快，能止損的空間越大。

寫在最後：把這次事件當成一次免費健檢

我知道資安新聞看多了會有種無力感——好像不管怎麼小心，總有一條你管不到的水管會出事。EVERY8D 這次確實是我們一般人完全無法控制的環節。但換個角度想，你管不了別人的後台，卻完全管得了自己的帳號要押在多脆弱的驗證方式上。這才是這篇真正想留給你的判斷。

所以別把今天讀完的這些當成「知道了」就關掉。防簡訊詐騙最有效的不是記住多少手法，而是把驗證方式換到攻擊者搆不到的地方。挑最重要的三個帳號，現在就把密碼改一改、把 2FA 升級一下，5 分鐘的事。下次再有哪條簡訊水管出事，你會慶幸自己早就不靠它了。如果這篇對你有幫助，歡迎追蹤我的部落格，我會不定期把這類「平常用得到的數位生活防身術」整理出來分享。

參考資料

• iThome：市占第一 OTP 簡訊平臺 EVERY8D 遭駭，F-ISAC 發布黃燈級資安事件警訊
• 數位產業署：簡訊代發平台 EVERY8D 疑似遭駭，數發部啟動行政檢查
• 內政部警政署 165 全民防騙網
• 內政部警政署 165 打詐儀表板
• 金融監督管理委員會 金融防詐專區
• NIST SP 800-63 Digital Identity Guidelines
• FIDO Alliance：Passkeys 通行密鑰介紹