SIM Card Fraud ภัยร้ายที่ควรระวัง

ปัจจุบันเราใช้ 2-factors Authentication กันอย่างแพร่หลายและหนึ่งในปัจจัยการพิสูจน์ตัวตนลำดับที่สองนั้นมักจะเป็นมือถือของเรานั่นเอง ดังนั้นผู้ร้ายในปัจจุบันจึงได้คิดวิธีการข้ามขั้นว่าทำอย่างไรจะสามารถผ่านการป้องกันตรงนี้โดยไม่ต้องเหนื่อยด้านเทคนิคมาแฮ็กเครื่องของเราและหนึ่งในนั้นก็คือวิธีการปลอมแปลง SIM Card นั่นเอง ซึ่งเรื่องจริงเป็นอย่างไรทางบล็อกของ Symantec ได้ตีแผ่ถึงเหตุการณ์จริงที่เกิดขึ้นในต่างประเทศและนำเสนอแนวทางบรรเทาปัญหาที่สามารถนำไปใช้ได้

Credit: ShutterStock.com

หากมีข้อความเข้าตอนเที่ยงคืนเชื่อว่าหลายคนคงไม่สนใจแน่นอนแม้เป็นข้อความว่า “กำลังมีการติดต่อไปทางผู้ให้บริการและอ้างตัวว่าเป็นคุณนะ! ใช่คุณจริงไหมถ้าไม่ใช่กรุณาติดต่อเรากลับ” เรื่องมีอยู่ว่านาย Cody Brown วิศวกรซอฟต์แวร์ในบริษัทแห่งหนึ่งได้ติดต่อกลับไปยังผู้ให้บริการแต่ทำไม่ได้เพราะเกิดเหตุขึ้นแล้ว! ซึ่งไม่กี่นาทีต่อมา Gmail และ Coinbase ก็ถูกเปลี่ยนรหัสผ่าน ไม่นานหัวขโมยก็ถอนเงินออกจาก Coinbase คิดเป็นเงินประมาณ 8,000 ดอลล่าร์สหรัฐฯ เรื่องราวทั้งหมดถูกเขียนไว้บนบล็อกออนไลน์ของนาย Brown ว่า “หลังจากหารือกลับผู้ให้บริการพบว่าหัวขโมยสามารถหลอกหน่วยดูแลลูกค้าของผู้ให้บริการ โดยไม่ต้องมีการแจ้งเลขประกันสังคมหรือเลข Pin เลย จากนั้นหัวขโมยก็ได้รับสิทธิ์เข้าควบคุมเบอร์ผมด้วยการใช้ข้อมูลจากบิลโทรศัพท์ธรรมดาๆ” อีกกรณีหนึ่งคือ John Biggs นักเขียนจาก TechCrunch ก็โดนแอบอ้างตัวกับผู้ให้บริการสำเร็จเช่นกันแต่เคราะห์ดีที่ครั้งนี้ผู้ให้บริการสามารถกู้การเปลี่ยนแปลงกลับมาได้หลังจากที่ถูกเปลี่ยนรหัสผ่าน Facebook และอีเมลไปแล้ว

อันที่จริงแล้ว Subscriber identity module หรือที่เรียกว่า SIM ของเรานั้นทำหน้าที่ไว้เข้ารหัสด้านความมั่นคงปลอดภัยในการใช้มือถือของเรานั่นเอง โดยในชิปของซิมโทรศัพท์นั้นมีข้อมูลจากโรงงานคือ International Mobile Subscriber Identity (IMSI) ซึ่งทำหน้าที่เป็นชื่อผู้ใช้และเลข Key Identification ความยาว 128 บิตทำหน้าที่เป็นรหัสผ่าน สิ่งที่เกิดขึ้นง่ายมากคือคนร้ายได้รวบรวมข้อมูลบิลค่าใช้จ่ายของเหยื่อจากนั้นก็โทรไปปลอมตัวเป็นเหยื่อกับทีมดูแลลูกค้าพร้อมกับแจ้งย้ายซิมไปยังโทรศัพท์ใหม่ หากทำสำเร็จข้อความและการโทรต่างๆ ก็จะผ่านไปยังโทรศัพท์ของคนร้ายนั่นเอง ซึ่งเหยื่อก็จะถูกตัดออกจากเครือข่ายและไม่สามารถใช้งานต่อไปได้ปัญหาคือปกติแล้วเรามีเบอร์ส่วนตัวกันแค่เบอร์เดียว นี่ไม่ใช่วิธีการใหม่แต่ก็สามารถใช้งานสู้กับการป้องกันแบบ 2-factors Authentication ที่อาศัยการส่งข้อความผ่านระบบมือถือได้เพราะในที่สุดแล้วจุดอ่อนจริงๆ ของระบบคือ ‘มนุษย์’ นั่นเอง

ในฝั่งการป้องกันทาง Symantec แนะว่า

  • ผู้ให้บริการต้องรักษามาตรการไม่ให้ย้าย SIM Card หากไม่มีการแสดงตัวจริงต่อหน้าเจ้าหน้าที่
  • ผู้ให้บริการหลายแห่งมักมีการป้องกันการร้องขอย้ายซิมจากสถานที่ห่างไกลกับจุดลงทะเบียนซิมอยู่แล้ว เช่น สายอยู่ต่างประเทศแต่เคยลงทะเบียนเปิดเบอร์ไว้ที่กรุงเทพฯ เป็นต้น
  • ผู้ใช้งานเองสามารถใช้ 2-Factors Authentication ผ่านแอปพลิเคชันแทนได้ เช่น Google Authenticator, Symantec หรือ Duo Security (Cisco เพิ่งซื้อไป)
  • ผู้ใช้งานเองสามารถขอให้ผู้ให้บริการเพิ่มการใช้โค้ด PIN กับบัญชีของตนเพื่อป้องกันการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตได้ ทั้งนี้ก็ขึ้นกับผู้ให้บริการเองด้วย

ที่มา : https://www.symantec.com/blogs/expert-perspectives/sim-swapping-poses-new-problems-phone-security


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้

กรณีศึกษา: API กับการทำ Open Banking และการนำ API ไปต่อยอดธุรกิจในอุตสาหกรรมอื่นทั่วโลก

คงปฏิเสธไม่ได้ว่าทุกวันนี้ข้อมูลได้เข้ามามีบทบาททั้งในการทำงานและการใช้ชีวิตประจำวันของทุกคนเป็นอย่างมาก และ API นั้นก็ถือเป็นเบื้องหลังที่สำคัญอันหนึ่งในการทำให้การนำข้อมูลมาใช้งานนั้นเกิดขึ้นได้อย่างแพร่หลายและกว้างขวางอย่างทุกวันนี้ ในบทความนี้เราจะมาเล่าถึงกรณีศึกษาในการนำ API มาใช้ในธุรกิจต่างๆ ทั้งกรณีของการทำ Open Banking ที่กำลังเป็นแนวโน้มใหญ่ และการใช้งาน API ในธุรกิจอุตสาหกรรมอื่นๆ เพื่อเป็นแนวทางให้ทุกท่านได้นำไปประยุกต์ใช้เข้ากับธุรกิจของตนเองได้