Black Hat Asia 2021

SIM Card Fraud ภัยร้ายที่ควรระวัง

ปัจจุบันเราใช้ 2-factors Authentication กันอย่างแพร่หลายและหนึ่งในปัจจัยการพิสูจน์ตัวตนลำดับที่สองนั้นมักจะเป็นมือถือของเรานั่นเอง ดังนั้นผู้ร้ายในปัจจุบันจึงได้คิดวิธีการข้ามขั้นว่าทำอย่างไรจะสามารถผ่านการป้องกันตรงนี้โดยไม่ต้องเหนื่อยด้านเทคนิคมาแฮ็กเครื่องของเราและหนึ่งในนั้นก็คือวิธีการปลอมแปลง SIM Card นั่นเอง ซึ่งเรื่องจริงเป็นอย่างไรทางบล็อกของ Symantec ได้ตีแผ่ถึงเหตุการณ์จริงที่เกิดขึ้นในต่างประเทศและนำเสนอแนวทางบรรเทาปัญหาที่สามารถนำไปใช้ได้

Credit: ShutterStock.com

หากมีข้อความเข้าตอนเที่ยงคืนเชื่อว่าหลายคนคงไม่สนใจแน่นอนแม้เป็นข้อความว่า “กำลังมีการติดต่อไปทางผู้ให้บริการและอ้างตัวว่าเป็นคุณนะ! ใช่คุณจริงไหมถ้าไม่ใช่กรุณาติดต่อเรากลับ” เรื่องมีอยู่ว่านาย Cody Brown วิศวกรซอฟต์แวร์ในบริษัทแห่งหนึ่งได้ติดต่อกลับไปยังผู้ให้บริการแต่ทำไม่ได้เพราะเกิดเหตุขึ้นแล้ว! ซึ่งไม่กี่นาทีต่อมา Gmail และ Coinbase ก็ถูกเปลี่ยนรหัสผ่าน ไม่นานหัวขโมยก็ถอนเงินออกจาก Coinbase คิดเป็นเงินประมาณ 8,000 ดอลล่าร์สหรัฐฯ เรื่องราวทั้งหมดถูกเขียนไว้บนบล็อกออนไลน์ของนาย Brown ว่า “หลังจากหารือกลับผู้ให้บริการพบว่าหัวขโมยสามารถหลอกหน่วยดูแลลูกค้าของผู้ให้บริการ โดยไม่ต้องมีการแจ้งเลขประกันสังคมหรือเลข Pin เลย จากนั้นหัวขโมยก็ได้รับสิทธิ์เข้าควบคุมเบอร์ผมด้วยการใช้ข้อมูลจากบิลโทรศัพท์ธรรมดาๆ” อีกกรณีหนึ่งคือ John Biggs นักเขียนจาก TechCrunch ก็โดนแอบอ้างตัวกับผู้ให้บริการสำเร็จเช่นกันแต่เคราะห์ดีที่ครั้งนี้ผู้ให้บริการสามารถกู้การเปลี่ยนแปลงกลับมาได้หลังจากที่ถูกเปลี่ยนรหัสผ่าน Facebook และอีเมลไปแล้ว

อันที่จริงแล้ว Subscriber identity module หรือที่เรียกว่า SIM ของเรานั้นทำหน้าที่ไว้เข้ารหัสด้านความมั่นคงปลอดภัยในการใช้มือถือของเรานั่นเอง โดยในชิปของซิมโทรศัพท์นั้นมีข้อมูลจากโรงงานคือ International Mobile Subscriber Identity (IMSI) ซึ่งทำหน้าที่เป็นชื่อผู้ใช้และเลข Key Identification ความยาว 128 บิตทำหน้าที่เป็นรหัสผ่าน สิ่งที่เกิดขึ้นง่ายมากคือคนร้ายได้รวบรวมข้อมูลบิลค่าใช้จ่ายของเหยื่อจากนั้นก็โทรไปปลอมตัวเป็นเหยื่อกับทีมดูแลลูกค้าพร้อมกับแจ้งย้ายซิมไปยังโทรศัพท์ใหม่ หากทำสำเร็จข้อความและการโทรต่างๆ ก็จะผ่านไปยังโทรศัพท์ของคนร้ายนั่นเอง ซึ่งเหยื่อก็จะถูกตัดออกจากเครือข่ายและไม่สามารถใช้งานต่อไปได้ปัญหาคือปกติแล้วเรามีเบอร์ส่วนตัวกันแค่เบอร์เดียว นี่ไม่ใช่วิธีการใหม่แต่ก็สามารถใช้งานสู้กับการป้องกันแบบ 2-factors Authentication ที่อาศัยการส่งข้อความผ่านระบบมือถือได้เพราะในที่สุดแล้วจุดอ่อนจริงๆ ของระบบคือ ‘มนุษย์’ นั่นเอง

ในฝั่งการป้องกันทาง Symantec แนะว่า

  • ผู้ให้บริการต้องรักษามาตรการไม่ให้ย้าย SIM Card หากไม่มีการแสดงตัวจริงต่อหน้าเจ้าหน้าที่
  • ผู้ให้บริการหลายแห่งมักมีการป้องกันการร้องขอย้ายซิมจากสถานที่ห่างไกลกับจุดลงทะเบียนซิมอยู่แล้ว เช่น สายอยู่ต่างประเทศแต่เคยลงทะเบียนเปิดเบอร์ไว้ที่กรุงเทพฯ เป็นต้น
  • ผู้ใช้งานเองสามารถใช้ 2-Factors Authentication ผ่านแอปพลิเคชันแทนได้ เช่น Google Authenticator, Symantec หรือ Duo Security (Cisco เพิ่งซื้อไป)
  • ผู้ใช้งานเองสามารถขอให้ผู้ให้บริการเพิ่มการใช้โค้ด PIN กับบัญชีของตนเพื่อป้องกันการเปลี่ยนแปลงโดยไม่ได้รับอนุญาตได้ ทั้งนี้ก็ขึ้นกับผู้ให้บริการเองด้วย

ที่มา : https://www.symantec.com/blogs/expert-perspectives/sim-swapping-poses-new-problems-phone-security

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] พบนวัตกรรมใหม่จาก Cloudflare – Cloudflare One

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Cloudflare Webinar เรื่อง “พบนวัตกรรมใหม่จาก Cloudflare – Cloudflare One” บริการ Secure Access Service Edge (SASE) …

[Video Webinar] บริหารจัดการข้อมูลอย่างไรให้เป็นไปตาม PDPA โดย SAS Software (Thailand)

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย SAS Webinar เรื่อง “บริหารจัดการข้อมูลอย่างไรให้เป็นไปตาม PDPA” พร้อมแนะนำเทคนิคการทำ Data Governance และ Data Privacy ของทั้งพนักงานและลูกค้า ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ