รหัสผ่านแข็งแกร่งไปก็เท่านั้น!! แค่เบอร์โทรศัพท์ก็แฮ็ค Facebook ได้

June 16, 2016 Cybersecurity, Facebook, Products, Threats Update

การแฮ็ค Facbook นับว่าเป็นหนึ่งในความท้าทายของเหล่าแฮ็คเกอร์ในปัจจุบัน หลายคนต่างตั้งคำถามว่า เราจะแฮ็ค Facebook ได้อย่างไร แต่เมื่อไม่นานมานี้ ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Positive Technologies ออกมาพิสูน์แล้วว่า สามารถเข้าถึงชื่อบัญชีของผู้ใช้ได้โดยใช้เพียงเบอร์โทรศัพท์ของเหยื่อ และทักษะการแฮ็คนิดหน่อยเเท่านั้น

Credit: Stefan Amer/ShutterStock
Credit: Stefan Amer/ShutterStock

ช่องโหว่บนมาตรฐานโทรศัพท์ SS7

การแฮ็คนี้เกิดจากช่องโหว่ของมาตรฐานเครือข่ายโทรศัพท์ที่ Operator ใช้งานกว่า 800 รายทั่วโลก เรียกว่า Signaling System 7 (SS7) ซึ่งนอกจากจะช่วยให้แฮ็คเกอร์สามารถแอบฟังการใช้โทรศัพท์ของผู้ใช้และดักจับ SMS แล้ว ยังสามารถเข้ายึดครองชื่อบัญชีของ Social Media ทั้งหลายที่มีการผูกหมายเลขโทรศัพท์เอาไว้

ต้นตอของปัญหาเกิดจาก SS7 นั้นไม่มีการตรวจสอบแหล่งที่มาของข้อความว่ามาจากผู้ส่งจริง ไม่ใช่มือที่ 3 นั่นหมายความว่า แฮ็คเกอร์สามารถหลอก SS7 ให้โอนข้อความที่ส่งและสายโทรศัพท์มายังมือถือของตนเองแทนได้ สิ่งที่แฮ็คเกอร์จำเป็นต้องรู้มีเพียงหมายเลขโทรศัพท์และข้อมูลเบื้องต้นของเหยื่อเท่านั้น ก็สามารถดำเนินการแอบดักฟังแบบเงียบๆ ได้

ใช้วิธี “ลืมรหัสผ่าน” เพื่อดักจับ OTP ผ่าน SMS

วิธีการแฮ็ครหัสผ่านทำได้ง่ายมาก เพียงแค่แฮ็คเกอร์เลือก “ลืมรหัสผ่าน” บนหน้าโฮมของ Facebook เมื่อถูกถามถึงหมายเลขโทรศัพท์หรืออีเมลก็ให้ใส่หมายเลขโทรศัพท์ของเหยื่อลงไป จากนั้น OTP ที่ส่งผ่านมาทาง SMS จะถูกโอนและดักจับที่มือถือของแฮ็คเกอร์แทน แฮ็คเกอร์สามารถนำ OTP ดังกล่าวไปตั้งค่ารหัสผ่านใหม่ได้ทันที

ช่องโหว่บน SS7 นี้ส่งผลกระทบถึงผู้ใช้ Facebook ทั่วโลกที่มีการลงทะเบียนหมายเลขโทรศัพท์ไว้กับ Facebook และไม่ใช่เพียง Facebook เท่านั้น บริการอื่นๆ เช่น Gmail และ Twitter ที่ใช้ SMS ในการยืนยันตัวตนของผู้ใช้ก็ได้รับผลกระทบเช่นกัน

คงต้องใช้เวลาอีกสักพักทาง Operator จึงจะอุดช่องโหว่ดังกล่าวได้ ระหว่างนี้แนะนำให้ผู้ใช้

  • อย่าผูกเบอร์โทรศัพท์กับเว็บ Social Media แต่ให้ผูกกับอีเมลสำหรับใช้เมื่อลืมรหัสผ่านเพียงอย่างเดียว
  • ใช้ 2-Factor Authentication ที่ไม่ใช้ SMS แต่ใช้วิธีอื่นในการรับโค้ด OTP
  • ใช้แอพพลิเคชันที่ให้บริการ “End-to-end Encryption” สำหรับเข้ารหัสข้อมูลก่อนที่จะออกจากสมาร์ทโฟนไปยังเครือข่ายที่ไม่ปลอดภัย

ที่มา: http://thehackernews.com/2016/06/hack-facebook-account.html

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Permiso Security เปิดตัวฟีเจอร์ความมั่นคงปลอดภัยตัวตนเอเจนต์ AI ขณะทำงานสำหรับองค์กร

Permiso Security ผู้ให้บริการแพลตฟอร์มความมั่นคงปลอดภัยด้านอัตลักษณ์แบบรวมศูนย์ ได้เปิดตัวความสามารถใหม่ด้านความมั่นคงปลอดภัยสำหรับเอเจนต์ AI ขณะทำงาน เพื่อช่วยให้ทีมความมั่นคงปลอดภัยสามารถมองเห็นกิจกรรมของเอเจนต์ได้อย่างต่อเนื่อง ทั้งบนสภาพแวดล้อมคลาวด์และออนพรีมิส โดยมี Autodesk ลงนามเป็นลูกค้ารายแรกในช่วงเปิดตัวนี้

สคส. ปักธง “องค์กรต้นแบบสิทธิมนุษยชน” ยกระดับคุ้มครองข้อมูลส่วนบุคคล–รับมือภัยไซเบอร์ [PR]

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เดินหน้ายกระดับการคุ้มครองข้อมูลส่วนบุคคลสู่ “วาระสิทธิมนุษยชนดิจิทัล” อย่างเป็นรูปธรรม ผ่าน “แผนปฏิบัติการด้านสิทธิมนุษยชน สคส. ประจำปีงบประมาณ พ.ศ. 2569” ที่มุ่งวางรากฐานให้องค์กรก้าวสู่ “องค์กรต้นแบบด้านสิทธิมนุษยชน” ของประเทศ ท่ามกลางความท้าทายจากเทคโนโลยี AI อาชญากรรมไซเบอร์ การละเมิดข้อมูล และความเสี่ยงด้านสิทธิในยุคดิจิทัล

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand