รหัสผ่านแข็งแกร่งไปก็เท่านั้น!! แค่เบอร์โทรศัพท์ก็แฮ็ค Facebook ได้

June 16, 2016 Cybersecurity, Facebook, Products, Threats Update

การแฮ็ค Facbook นับว่าเป็นหนึ่งในความท้าทายของเหล่าแฮ็คเกอร์ในปัจจุบัน หลายคนต่างตั้งคำถามว่า เราจะแฮ็ค Facebook ได้อย่างไร แต่เมื่อไม่นานมานี้ ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Positive Technologies ออกมาพิสูน์แล้วว่า สามารถเข้าถึงชื่อบัญชีของผู้ใช้ได้โดยใช้เพียงเบอร์โทรศัพท์ของเหยื่อ และทักษะการแฮ็คนิดหน่อยเเท่านั้น

Credit: Stefan Amer/ShutterStock
Credit: Stefan Amer/ShutterStock

ช่องโหว่บนมาตรฐานโทรศัพท์ SS7

การแฮ็คนี้เกิดจากช่องโหว่ของมาตรฐานเครือข่ายโทรศัพท์ที่ Operator ใช้งานกว่า 800 รายทั่วโลก เรียกว่า Signaling System 7 (SS7) ซึ่งนอกจากจะช่วยให้แฮ็คเกอร์สามารถแอบฟังการใช้โทรศัพท์ของผู้ใช้และดักจับ SMS แล้ว ยังสามารถเข้ายึดครองชื่อบัญชีของ Social Media ทั้งหลายที่มีการผูกหมายเลขโทรศัพท์เอาไว้

ต้นตอของปัญหาเกิดจาก SS7 นั้นไม่มีการตรวจสอบแหล่งที่มาของข้อความว่ามาจากผู้ส่งจริง ไม่ใช่มือที่ 3 นั่นหมายความว่า แฮ็คเกอร์สามารถหลอก SS7 ให้โอนข้อความที่ส่งและสายโทรศัพท์มายังมือถือของตนเองแทนได้ สิ่งที่แฮ็คเกอร์จำเป็นต้องรู้มีเพียงหมายเลขโทรศัพท์และข้อมูลเบื้องต้นของเหยื่อเท่านั้น ก็สามารถดำเนินการแอบดักฟังแบบเงียบๆ ได้

ใช้วิธี “ลืมรหัสผ่าน” เพื่อดักจับ OTP ผ่าน SMS

วิธีการแฮ็ครหัสผ่านทำได้ง่ายมาก เพียงแค่แฮ็คเกอร์เลือก “ลืมรหัสผ่าน” บนหน้าโฮมของ Facebook เมื่อถูกถามถึงหมายเลขโทรศัพท์หรืออีเมลก็ให้ใส่หมายเลขโทรศัพท์ของเหยื่อลงไป จากนั้น OTP ที่ส่งผ่านมาทาง SMS จะถูกโอนและดักจับที่มือถือของแฮ็คเกอร์แทน แฮ็คเกอร์สามารถนำ OTP ดังกล่าวไปตั้งค่ารหัสผ่านใหม่ได้ทันที

ช่องโหว่บน SS7 นี้ส่งผลกระทบถึงผู้ใช้ Facebook ทั่วโลกที่มีการลงทะเบียนหมายเลขโทรศัพท์ไว้กับ Facebook และไม่ใช่เพียง Facebook เท่านั้น บริการอื่นๆ เช่น Gmail และ Twitter ที่ใช้ SMS ในการยืนยันตัวตนของผู้ใช้ก็ได้รับผลกระทบเช่นกัน

คงต้องใช้เวลาอีกสักพักทาง Operator จึงจะอุดช่องโหว่ดังกล่าวได้ ระหว่างนี้แนะนำให้ผู้ใช้

  • อย่าผูกเบอร์โทรศัพท์กับเว็บ Social Media แต่ให้ผูกกับอีเมลสำหรับใช้เมื่อลืมรหัสผ่านเพียงอย่างเดียว
  • ใช้ 2-Factor Authentication ที่ไม่ใช้ SMS แต่ใช้วิธีอื่นในการรับโค้ด OTP
  • ใช้แอพพลิเคชันที่ให้บริการ “End-to-end Encryption” สำหรับเข้ารหัสข้อมูลก่อนที่จะออกจากสมาร์ทโฟนไปยังเครือข่ายที่ไม่ปลอดภัย

ที่มา: http://thehackernews.com/2016/06/hack-facebook-account.html

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ETDA เดินหน้า Digital ID ยกระดับ Trust Infrastructure ไทยเชื่อม e-Service รัฐ แล้ว 1,797 บริการเร่งปลดล็อกขยายการใช้งานในกลุ่มนิติบุคคล ต่างด้าวและกลุ่มเปราะบาง [PR]

ดร.ชัยชนะ มิตรพันธ์ ผู้อำนวยการ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ ETDA กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวว่า จากนโยบายผลักดันการดำเนินงานของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES) เพื่อให้กระบวนการพิสูจน์และยืนยันตัวตนดิจิทัล หรือ Digital ID เป็นโครงสร้างพื้นฐานความเชื่อมั่นของประเทศ …

Anthropic เตือนทั่วโลกหยุดพัฒนา AI ชั่วคราว ก่อนมนุษย์จะสูญเสียการควบคุม

Anthropic ได้ส่งสัญญาณเตือนภัยเกี่ยวกับความเร็วในการพัฒนาของปัญญาประดิษฐ์ที่ก้าวหน้าอย่างรวดเร็ว พร้อมทั้งเรียกร้องให้ห้องแล็บ AI ชั้นนำของโลกพิจารณาเหยียบเบรก

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand