Breaking News

ลูกค้าธนาคารอังกฤษถูกดักขโมย SMS จากช่องโหว่ SS7 ถูกขโมยเงินจากบัญชีหลายราย

ถึงแม้เราจะทราบกันดีกว่าการโจมตีระบบ Signaling System 7 หรือ SS7 ที่เป็นระบบโครงสร้างพื้นฐานของโทรศัพท์นั้นมีมานานหลายปีแล้ว แต่ที่ผ่านมาก็ยังไม่เคยมีเหตุการณ์การโจมตีอย่างร้ายแรงมาก่อน แต่ในครั้งนี้ Motherboard ได้ออกมารายงานว่าลูกค้าของธนาคาร Metro Bank ในสหราชอาณาจักรถูกดักฟัง SMS ที่ใช้ในการทำ Two-Factor Authentication ด้วยการโจมตีช่องโหว่ของ SS7 และนำมาซึ่งการเจาะระบบเข้าถึงบัญชีธนาคารของลูกค้าได้

Credit: ShutterStock.com

การโจมตีครั้งนี้ได้สร้างความตื่นตัวเป็นวงกว้าง เพราะหลายระบบนั้นยังคงใช้ SMS เป็นช่องทางในการทำ 2-Factor Authentication อยู่ และทำให้ความน่าเชื่อถือของการใช้ SMS ร่วมในการยืนยันตัวตนนี้ยิ่งลดน้อยลงไปอีก

อย่างไรก็ดี เนื่องจากช่องโหว่ของระบบ SS7 นี้เป็นช่องโหว่บนระบบ IT Infrastructure ของผู้ให้บริการสัญญาณโทรศัพท์ ดังนั้นทางธนาคาร Metro Bank จึงไม่สามารถอุดช่องโหว่ได้ด้วยตัวเอง แต่ทาง BT บริษัทผู้ให้บริการโทรศัพท์ในสหราชอาณาจักรก็ออกมาบอกว่าตนเองได้ทำการอัปเกรดระบบให้ใหม่ล่าสุดอยู่เสมอ ส่วนทาง Reuters นั้นก็ออกมารายงานว่าการโจมตีลักษณะเดียวกันนี้อาจไม่ได้เกิดขึ้นกับเพียงแค่ Metro Bank เท่านั้น แต่ธนาคารอื่นเองก็อาจมีสิทธิ์ตกเป็นเหยื่อได้เช่นกัน

HackerOne ได้ออกมาระบุว่าไม่ว่าการโจมตีนี้จะเกิดจากการโจมตีแบบ Man-in-the-Middle บน SS7 หรือการทำ SIM Card Swapping ก็ตาม การโจมตีครั้งนี้ก็เป็นสัญญาณที่ชัดเจนว่าการยืนยันตัวตนแบบ 2-Factor Authentication โดยใช้ SMS ร่วมนั้นไม่ใช่หนทางที่ปลอดภัยที่สุดอีกต่อไป การหันไปใช้ Authenticator App หรือ Time-based One-time Password (TOTP) นั้นจึงถือเป็นหนทางที่ปลอดภัยกว่าในยามนี้

ที่มา: https://www.infosecurity-magazine.com/news/flaw-in-ss7-lets-attackers-empty/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” พร้อมเจาะลึกความต้องการของ พ.ร.บ.ฯ ฉบับดังกล่าว และทำความรู้จักเทคโนโลยีแต่ละประเภทที่องค์กรสามารถนำไปประยุกต์ใช้เพื่อให้ตอบโจทย์ความต้องการเหล่านั้น ที่เพิ่งจัดไปเมื่อเดือนมีนาคมที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง …

ZOOM ชี้แจงผู้ใช้งานทั่วโลกถึงประเด็นด้านความมั่นคงปลอดภัย, 1-TO-ALL ตัวแทนจำหน่ายในไทยแปลเป็นภาษาไทยแล้ว

สำหรับผู้ใช้งาน ZOOM ในไทยที่อาจกำลังกังวลอยู่ในประเด็นด้านความมั่นคงปลอดภัยและความเป็นส่วนตัวของข้อมูลจากข่าวสารในช่วงนี้ ทาง ZOOM ได้ออกมาชี้แจงแล้วอย่างเป็นทางการ และ 1-TO-ALL ตัวแทนจำหน่ายในไทยก็ได้จัดการแปลเนื้อหาทั้งหมดเป็นภาษาไทยถึงผู้อ่านทุกท่านแล้วดังนี้ครับ