1 คะแนน โดย GN⁺ 2024-04-16 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • พนักงาน T-Mobile ทั่วสหรัฐฯ ได้รับข้อความชักชวนให้ทำ SIM swapping อย่างผิดกฎหมาย โดยย้ายหมายเลขของลูกค้าไปยัง SIM ที่ผู้โจมตีถืออยู่
  • ข้อความดังกล่าวเสนอ 300 ดอลลาร์ต่อเคส และให้ติดต่อผ่าน Telegram พร้อมใช้หมายเลขผู้ส่งจากหลายรหัสพื้นที่เพื่อให้บล็อกได้ยาก
  • ในข้อความระบุว่าได้หมายเลขพนักงานมาจาก “T-Mo employee directory” และเป้าหมายไม่ได้มีแค่พนักงานปัจจุบัน แต่รวมถึงอดีตพนักงานที่ลาออกไปเมื่อไม่กี่เดือนก่อนด้วย
  • T-Mobile ระบุว่า ไม่มีการเจาะระบบ แต่กำลังตรวจสอบข้อความที่ชักจูงให้กระทำผิดกฎหมาย และยังมีรายงานกรณีคล้ายกันจากผู้ให้บริการเครือข่ายไร้สายรายอื่น
  • ลูกค้าควรลดการพึ่งพาการยืนยันตัวตนสองขั้นตอนแบบ SMS และเปิดใช้แอปยืนยันตัวตนกับ SIM protection เพื่อลดความเสี่ยงจากการยึดบัญชี

การชักชวนทำ SIM swapping ที่ส่งตรงถึงพนักงาน

  • SIM swapping คือวิธีที่ผู้โจมตีย้ายหมายเลขโทรศัพท์ของเหยื่อไปยัง SIM ที่ตนถืออยู่ เพื่อดักรับรหัสยืนยันตัวตนสองขั้นตอนที่ส่งถึงเหยื่อ แล้วนำไปใช้เข้าถึงบัญชีออนไลน์
  • เหยื่ออาจสูญเสียเงินจากบัญชีธนาคารหรือกระเป๋าคริปโต
  • จากหลายโพสต์บน Reddit และข้อมูลที่มีผู้แจ้งแยกต่างหาก พบว่าพนักงาน T-Mobile ทั่วสหรัฐฯ ได้รับข้อความเสนอเงินสดเพื่อแลกกับการทำ SIM swapping
  • ข้อความชักชวนเสนอ 300 ดอลลาร์ต่อการสลับ SIM 1 ครั้ง และสั่งให้ติดต่อผ่าน Telegram
  • หมายเลขผู้ส่งเปลี่ยนไปมาหลายหมายเลขจากหลายรหัสพื้นที่ ทำให้รับมือด้วยการบล็อกเบอร์อย่างเดียวได้ยาก

ที่มาของข้อมูลติดต่อพนักงานและมีการเจาะระบบหรือไม่

  • ในข้อความมีการระบุว่าได้หมายเลขโทรศัพท์ของพนักงานมาจาก “T-Mo employee directory”
    • หากข้อความนี้เป็นจริง ก็อาจหมายความว่ามีการเข้าถึงไดเรกทอรีพนักงานของ T-Mobile ที่มีข้อมูลติดต่อไม่ทางใดก็ทางหนึ่ง
    • อดีตพนักงานที่ลาออกไปเมื่อไม่กี่เดือนก่อนก็เป็นเป้าหมายด้วย จึงประเมินได้ว่าความเป็นไปได้ที่ผู้โจมตีจะเข้าถึงข้อมูลแบบเรียลไทม์อยู่ในระดับต่ำ
  • ยังไม่สามารถยืนยันได้แน่ชัดว่าหมายเลขพนักงานมาจากที่ใด
    • จากความเห็นออนไลน์ ดูเหมือนว่าจะมี พนักงานของบริษัทภายนอก บางส่วนได้รับผลกระทบ
    • และยังมีการยืนยันแยกต่างหากว่าพนักงานฝ่าย corporate ของ T-Mobile ในปัจจุบันก็ได้รับข้อความเช่นกัน
    • จึงยากที่จะสรุปว่าเป็นแหล่งเดียวกับข้อมูลรั่วไหลที่เกี่ยวข้องกับ Connectivity Source เมื่อเดือนกันยายน 2023
    • แต่ก็ยังไม่อาจตัดความเป็นไปได้นี้ออกได้
  • ฝ่าย PR ของ T-Mobile ตอบว่า “ไม่มีการเจาะระบบ”
    • และกำลังตรวจสอบข้อความที่ถูกส่งออกไปเพื่อชักจูงให้กระทำผิดกฎหมายอย่างต่อเนื่อง
    • ผู้ให้บริการเครือข่ายไร้สายรายอื่นก็รายงานว่าพบข้อความลักษณะคล้ายกัน

ความเสี่ยงที่ลูกค้าสามารถลดได้

  • สำหรับลูกค้า เรื่องนี้ยังเป็นปัจจัยที่น่ากังวล เพราะอาชญากรยังคงมองว่า SIM swapping เป็นช่องทางโจมตีที่ทำเงินได้
  • หากมีพนักงานบางคนยอมรับข้อเสนอเงินด่วน บัญชีและเงินของลูกค้าอาจตกอยู่ในความเสี่ยงโดยตรง
  • มาตรการที่ลูกค้าสามารถทำได้:
    • อย่าใช้การยืนยันตัวตนสองขั้นตอนของบริการออนไลน์แบบ SMS-based
    • ใช้แอปยืนยันตัวตน เช่น Google Authenticator หรือ Authy
    • หากบริการธนาคารหรือกระเป๋าคริปโตให้ใช้ 2FA ผ่าน SMS เท่านั้น ให้พิจารณาย้ายไปใช้บริการอื่น
    • เปิดใช้งาน SIM protection ในบัญชี T-Mobile

1 ความคิดเห็น

 
GN⁺ 2024-04-16
ความคิดเห็นบน Hacker News
  • T-Mobile จะส่ง SMS ของตัวเองไปหา员工 ทำทีว่าเพิ่มค่าตอบแทนเป็น 600 ดอลลาร์ แล้วไล่พนักงานที่ตอบกลับออกได้ไหม?
    หรืออาจเปลี่ยนเงื่อนไขส่วนลดค่าโทรศัพท์ของพนักงาน ให้บริษัทสามารถมอนิเตอร์เนื้อหา SMS หรือเมทาดาต้าเพื่อค้นหาภัยคุกคามด้านความปลอดภัยต่อผู้ใช้ของบริษัทได้

    • T-Mobile ทำได้หลายอย่างก็จริง แต่ก่อนอื่นต้องดูให้ชัดว่า ทำไมต้องใส่ใจ
      ไม่รู้ว่าการแสร้งเสนอเงินตอบแทน SIM swap นั้นถูกกฎหมายไหม แต่นั่นเป็นเรื่องรอง และที่ผ่านมาก็แทบไม่เห็นหลักฐานว่า T-Mobile ใส่ใจเรื่องแบบนี้
    • มีหลายอย่างที่ทำได้: 1) กำหนดให้การเปลี่ยน SIM ต้องมีพนักงาน 2 คนและเจ้าหน้าที่คอลเซ็นเตอร์ร่วมกัน, 2) โทรไปยังเบอร์ที่จะถูกย้าย แล้วตรวจสอบกับผู้รับว่ายืนยันว่ารู้เรื่องการโอนเบอร์, 3) ตั้ง ระยะเวลารอ 24 ชั่วโมง ก่อนเปลี่ยน และพยายามติดต่อผู้ใช้เบอร์นั้น, 4) ให้รางวัลก้อนใหญ่ มากกว่า 10,000 ดอลลาร์ หากมีใครให้หลักฐานว่าเพื่อนร่วมงานรับสินบน
    • แค่ส่งประกาศว่าถ้าตอบรับข้อเสนอแบบนี้อาจถูกไล่ออก ก็ช่วยแก้ได้ในระดับหนึ่ง
    • อีกวิธีก็คือจ่ายค่าจ้างให้มากพอจนพนักงานไม่ถูกล่อตั้งแต่แรก
  • การโจมตีแบบ SIM swap ที่มี “คนใน” เกี่ยวข้องไม่ใช่เรื่องใหม่ มือถือ T-Mobile ของเพื่อนสนิทผมก็โดนด้วยวิธีนี้เมื่อมีนาคม 2020
    ประเด็นสำคัญของข่าวนี้คือการรั่วไหลของข้อมูลมาบรรจบกับ SIM swap อาชญากรใช้เบอร์โทรศัพท์ของพนักงานที่อยู่ในข้อมูลรั่วไหลล่าสุดของ T-Mobile เพื่อส่งข้อความเข้าหาพนักงานจำนวนมากพร้อมกัน และเสนอเงิน 300 ดอลลาร์ต่อเคส
    สมัยก่อนต้องสร้างคนในผ่านความสัมพันธ์ส่วนตัว หรือสมัครเข้าไปทำงานเอง แต่เมื่อมีข้อมูลที่รั่วไหล ก็ทำให้ทำอัตโนมัติและขยายสเกลได้

    • วิธีจี้จุดอ่อนตรงนี้คือการปล่อย ข้อเสนอฮันนีพอตปลอม จุดอ่อนของแผนนี้คือการขาดความเชื่อใจและความไม่เปิดเผยตัวตนส่งผลต่อทั้งสองฝ่าย
      กล่าวคือ “วิธีเก่า” ไม่ได้มีแค่การปั้นคนใน แต่ยังรวมถึงกระบวนการทำให้คนในเชื่อใจผู้ว่าจ้างด้วย
    • เท่าที่รู้ ในวงการคริปโต เรื่องแบบนี้เกิดขึ้นต่อเนื่องมาตั้งแต่ต้นปี 2018
    • ไม่เข้าใจว่าทำไมคนถึงยอมเอางานไปเสี่ยงเพื่อ 300 ดอลลาร์
    • กรณีของผมโดนช่วงปลายยุค 2000 น่าจะราวปี 2008
  • ทางแก้ตรงนี้คืออะไร? จะห้ามพนักงานร้านออฟไลน์ย้ายเบอร์โทรศัพท์ของลูกค้าไปยัง SIM ใหม่ได้จริงหรือ? แล้วถ้าลูกค้าบอกว่าทำมือถือหายหรือถูกขโมยล่ะ?
    ตามอุดมคติควรมีการตรวจสอบว่าลูกค้าอยู่หน้างานจริงและตรวจบัตรประจำตัวแล้ว แต่ในสหรัฐฯ ไม่มีบัตรประจำตัวที่ใช้กันแบบสากล จึงไม่รู้ว่าจะทำได้อย่างไร อีกอย่าง ผมคิดว่าคนควรยังรับเบอร์โทรศัพท์ได้แม้ไม่มีบัตรประจำตัว ซึ่งกรณีแบบนั้นก็ทำให้การตรวจสอบทำไม่ได้เลย
    ปัญหาคือมือถือกลายเป็น รากฐานความเชื่อถือ ของชีวิตดิจิทัลเราไปแล้ว การที่ passkey ถูกฝังในระบบปฏิบัติการเป็นเรื่องดี เพราะผลักปัญหานี้ออกจากผู้ให้บริการโทรคมนาคม แต่ปัญหาพื้นฐานยังคงอยู่ การสร้างความเชื่อถือครั้งแรกนั้นยาก

    • ทางแก้คือ อย่าฝากสิทธิ์เข้าถึงชีวิตดิจิทัล ไว้กับผู้ให้บริการโทรคมนาคม
      ที่ว่า “ลูกค้าอยู่หน้างานจริงและตรวจบัตรประจำตัวแล้ว” หน้างานคือที่ไหน? MVNO ของผมไม่มีสาขา ต่อให้มีสาขา ทำไมผมต้องไปที่นั่น? สาขาธนาคารผมยังเลี่ยงถ้าเลี่ยงได้
    • ในสหรัฐฯ นโยบายที่กำหนดให้ใช้ บัตรประจำตัวมีรูปที่ออกโดยรัฐบาล เพื่อยืนยันตัวตนในหลายวัตถุประสงค์ ไม่ใช่เรื่องแปลกเลย เท่าที่ผมรู้ ทุกรัฐมีบัตรประจำตัวที่ออกให้ได้ทั่วไป ปกติไม่ฟรี แต่ใครก็ขอทำได้
    • ทางแก้ง่ายๆ คือ อย่าใช้ SMS สำหรับกู้คืนรหัสผ่าน
      SMS อาจใช้ได้กับการยืนยันตัวตนแบบสองขั้นตอน แต่ควรเป็นปัจจัยที่สองเสมอ “ลืมรหัสผ่าน” → รหัส SMS → รหัสผ่านใหม่ แทบจะเป็นการยืนยันตัวตนแบบปัจจัยเดียว การใช้ SMS เป็นปัจจัยเดียวแย่มากจริงๆ
    • ถ้าก่อนเปลี่ยน SIM หรือทำรายการอื่นๆ บังคับให้บัญชีต้องใช้ PIN ก็น่าจะเป็นด่านกั้นที่มีประโยชน์พอสมควร
      แบบนั้นพนักงานทุจริตที่ต้องการเปลี่ยน SIM จะต้องมีข้อมูลเพิ่มเติมที่ตัวเองไม่มี
    • แค่ หน่วงเวลา แบบง่ายๆ ก็แก้ได้ 99% ของกรณี
      กำหนดให้เปลี่ยนได้เฉพาะเมื่อ SIM ถูกตัดจากเครือข่ายมือถือเป็นเวลา 48 ชั่วโมงแล้วเท่านั้น และถ้ายังไม่ถูกตัด ก็ส่งโทรศัพท์หรือข้อความไปยัง SIM เดิมเพื่อยืนยันว่าต้องการเปลี่ยนจริงหรือไม่
  • ผมทำงานในวงการคริปโตและเห็น SIM swap อยู่ตลอด ส่วนใหญ่ใช้ยึดบัญชี Twitter ของคนดัง จากนั้นโพสต์ลิงก์ฟิชชิงเพื่อขโมยเหรียญจากผู้ติดตาม ในแวดวงนี้ T-Mobile ถูกพูดถึงอย่างท่วมท้น และเหยื่อส่วนใหญ่ก็บอกว่าใช้ T-Mobile จึงเป็นเรื่องที่เกิดมานานแล้ว
    ปัญหาใหญ่อีกอย่างของความปลอดภัยบน Twitter คือ แม้ใช้การยืนยันตัวตนแบบสองขั้นตอนที่ไม่ใช่ SMS ก็ยังถูกยึดบัญชีได้ ถ้ามีเบอร์โทรศัพท์อยู่ในบัญชี มันจะถูกใช้เป็นวิธีกู้คืนและข้ามการยืนยันตัวตนแบบสองขั้นตอนได้ทั้งหมด ช่องโหว่ด้านความปลอดภัยนี้มีมาหลายปีแล้วแต่ก็ยังไม่แก้

    • แทบทุกบริการที่รองรับการยืนยันตัวตนแบบสองขั้นตอนตอนนี้มี ช่องโหว่การกู้คืน แบบนี้
      มีเว็บไซต์น้อยมากที่ไม่บังคับให้ให้เบอร์โทรศัพท์เลย หรืออย่างน้อยก็ให้เลือกไม่ใช้เป็นช่องทางกู้คืน
      แค่มีการล็อกด้วยเวลาก็ช่วยได้มาก เช่น ให้การกู้คืนการยืนยันตัวตน “สอง” ขั้นตอนที่อิงรหัสผ่านใช้ครั้งเดียวผ่าน SMS ทำได้หลังผ่านไป 24 ชั่วโมงเท่านั้น พร้อมส่งคำเตือนจำนวนมากว่า “อาจมีคนที่ไม่ใช่คุณกำลังกู้คืนบัญชี” และมีวิธีให้เจ้าของบัญชีตัวจริงหยุดกระบวนการนี้ได้
    • หลายเว็บไซต์มีข้อบกพร่องที่ทำให้การยืนยันตัวตนแบบสองขั้นตอนผ่าน SMS กลายเป็น การยืนยันตัวตนแบบปัจจัยเดียว โดยพฤตินัย สิ่งที่ต้องมีก็แค่เบอร์โทรศัพท์
      ถ้ายังอนุญาตให้ทำแบบนี้แม้ใช้การยืนยันตัวตนแบบสองขั้นตอนที่ไม่ใช่ SMS ก็ยิ่งแย่ และทำให้จุดประสงค์ของการใช้ 2FA ทางเลือกไร้ผลไป 100%
  • ไม่น่าเชื่อว่า รหัสผ่านใช้ครั้งเดียวผ่าน SMS จะถูกใช้กันบ่อยขนาดนี้ ทั้งที่เป็นเรื่องที่รู้กันทั่วไปอยู่แล้ว และมันก็แค่เปลี่ยนเส้นทางโจมตีเดิมให้กลายเป็นเส้นทางโจมตีที่แย่กว่าเดิมเท่านั้น
    การเจาะรหัสผ่านหรือบุกรุกฐานข้อมูลที่เข้ารหัสไว้นั้นยากกว่าการทำ SIM swap ให้สำเร็จอย่างน้อย 10 เท่า

    • การเจาะรหัสผ่านที่ดีนั้นยาก แต่คนจำนวนมากก็ไม่ได้ใช้รหัสผ่านที่ดี หรือไม่ก็กรอกลงในเว็บฟอร์มฟิชชิงแบบไม่คิดอะไรมาก
      โค้ดยืนยันตัวตนขั้นที่สองที่มีเวลาจำกัดอาจถูกเจาะได้ด้วย SIM swap หรือฟิชชิงแบบเจาะจงเป้าหมาย แต่ก็ยังพบได้น้อยกว่าแคมเปญฟิชชิงแบบสแปมเป็นวงกว้าง
      นี่ไม่ได้หมายความว่าผมชอบการยืนยันตัวตนสองขั้นตอนผ่าน SMS นะ ผมเกลียดมันจริง ๆ
    • ธนาคารของผมเพิ่งเพิ่มฟีเจอร์ที่เอา SMS ออกจากตัวเลือกการยืนยันตัวตนสองขั้นตอน และบังคับใช้ TOTP
      ตอนนี้หวังว่าจะเพิ่ม WebAuthn ให้ด้วย ถึงอย่างนั้น TOTP ที่ใช้ร่วมกับตัวจัดการรหัสผ่านในตัวเบราว์เซอร์ก็ค่อนข้างปลอดภัยจากฟิชชิง เพราะถ้า autofill ไม่เด้งขึ้นมาก็เริ่มสงสัยได้
    • มันง่าย ฟรีสำหรับลูกค้า และประสบการณ์ผู้ใช้ก็เรียบง่ายที่สุดด้วยฟีเจอร์อย่าง “code autofill” บน iPhone
      SIM swap เกิดขึ้นกับคนจำนวนน้อยมากเท่านั้น ดังนั้นสำหรับผู้ที่เกี่ยวข้องจึงไม่ค่อยคุ้มที่จะทุ่มความพยายาม ผมก็ไม่ชอบเหมือนกัน แต่นี่คือความจริง
    • แต่ถ้าสำเร็จครั้งหนึ่ง บัญชีจำนวนมากก็ถูกเจาะพร้อมกัน
      ทุกอย่างในปัจจุบันที่อาศัยแค่ชื่อผู้ใช้กับรหัสผ่านควรถูกแทนที่ด้วย passkey ปัญหาที่ passkey แก้ไม่ได้คือการยืนยันตัวตนสองขั้นตอนและการกู้คืนบัญชี
    • พูดให้แม่นคือไม่ใช่ “แทนที่” ก่อนจะมีรหัสผ่านใช้ครั้งเดียวผ่าน SMS ก็มีแค่รหัสผ่านเฉย ๆ
      รหัสผ่าน + รหัสผ่านใช้ครั้งเดียวผ่าน SMS นั้น โดยตัวมันเองแล้วยังดีกว่า แม้ว่าวิธีผ่าน SMS จะห่วยแค่ไหนก็ตาม
  • ดูเหมือนว่า FCC กำลังบังคับใช้กฎใหม่เพื่อป้องกัน SIM swap และจะมีผลตั้งแต่ 8 กรกฎาคม 2024 อย่างไรก็ตาม หากดูแค่ข่าวประชาสัมพันธ์ก็ยังไม่ชัดเจนว่าจะปกป้องลูกค้าได้หรือไม่ในกรณีที่พนักงานของผู้ให้บริการเป็นผู้กระทำโดยเจตนาร้าย
    https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
    https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf

  • ไม่ได้พูดเล่นนะ ผมว่ามีตลาดสำหรับผู้ให้บริการมือถือที่กำหนดให้ต้องมี ตัวอย่าง DNA เมื่อทำการเปลี่ยนแปลง
    DNA อาจเก็บพร้อมกันจากหลายแหล่ง เช่น เลือด น้ำลาย หรือเล็บที่สุ่มเลือก และอาจผ่านการแฮชเพื่อไม่ให้ผู้ให้บริการเก็บสตริง DNA จริง ๆ ไว้ได้ แม้ DNA เองจะไม่ได้เป็นเหมือน UUID จึงต้องมีนวัตกรรมอยู่บ้าง แต่ผมคิดว่าเป็นไปได้ กลุ่ม VIP จะยอมจ่ายเงินให้บริการนี้ และยังอาจเสนอประกันแบบจำกัดสำหรับความเสียหายจากการถูกแฮ็กได้ด้วย
    เพิ่มเติมคือ ในตอนหนึ่งของ “Forensic Files” มีผู้ต้องสงสัยที่ฉีดตัวอย่างเลือดของคนอื่นเข้าร่างกายตัวเองเพื่อหลบการตรวจ DNA ในคดีล่วงละเมิดทางเพศ ดังนั้นผมยอมรับว่าวิธี DNA ก็โจมตีได้ นั่นจึงเป็นเหตุผลที่ต้องใช้ตัวอย่างสุ่มหลายแหล่ง

    • การสแกนม่านตา แบบ Worldcoin ของ Sam Altman ก็น่าจะเป็นไปได้
  • เราต้องการมาตรฐานที่ดีกว่านี้สำหรับการยืนยันตัวตนหลายปัจจัยจริง ๆ อาจต้องมีนิยามทางกฎหมายของ การยืนยันตัวตนหลายปัจจัย และจัดให้ SMS เป็นการยืนยันตัวตนสองขั้นตอนในระดับเดียวกับอีเมล
    ผมคิดว่าการยืนยันตัวตนหลายปัจจัยที่แท้จริงควรจำกัดไว้กับ Yubikey หรืออุปกรณ์ที่ใช้ใบรับรองฮาร์ดแวร์อื่น ๆ และหากรองรับโทเค็นได้เพียงหนึ่งชิ้นต่อวิธี ก็ไม่ควรอนุญาตให้โฆษณาว่าเป็นการยืนยันตัวตนหลายปัจจัย

    • การคาดหวังว่าผู้คนจะมี Yubikey นั้นไม่สมจริง
      ในทางปฏิบัติ iPhone Keychain น่าจะใกล้เคียงขีดจำกัดแล้ว และนั่นก็ยังพึ่งพาความปลอดภัยของฮาร์ดแวร์อยู่ในระดับหนึ่ง
    • https://www.cisa.gov/sites/default/files/publications/fact-s... ("CISA.gov: Implementing Phishing-Resistant MFA")
      https://passkeys.dev/
      https://passkeys.directory/
  • นี่ไม่ใช่แค่ปัญหาของ SIM หรือ T-Mobile เท่านั้น
    เจ้าหน้าที่ศูนย์บริการลูกค้าส่วนใหญ่มีรายได้ต่ำมาก และโดยเฉพาะในประเทศอื่น ๆ การหาคนที่ยอมทำบางอย่างให้แลกกับเงินจำนวนเล็กน้อยตามมาตรฐานตะวันตกนั้นไม่ใช่เรื่องยาก เจ้าหน้าที่ศูนย์บริการลูกค้ามักมีอำนาจสูงและมีสิทธิ์เข้าถึงข้อมูลอ่อนไหว ขณะที่การควบคุมการเข้าถึงก็หละหลวม
    ต่อให้แก้ปัญหา SMS และการยืนยันตัวตนหลายปัจจัยได้ ผู้โจมตีก็จะไปโจมตีจุดอ่อนถัดไปอยู่ดี

    • นี่เป็นอีกเหตุผลหนึ่งของข้อเสนอของผมที่ว่าควรมีกฎหมายกำหนดให้บริการลูกค้าทั้งหมดที่ดูแลลูกค้าในสหรัฐฯ ต้องตั้งอยู่ใน สหรัฐอเมริกา สหราชอาณาจักร ไอร์แลนด์ แคนาดา ออสเตรเลีย และนิวซีแลนด์
    • อย่างไรก็ตาม ตามอุดมคติแล้ว จุดอ่อนถัดไปควรปลอดภัยกว่ามาก เมื่อเทียบกับ พนักงานค่าจ้างต่ำที่เปราะบางทางเศรษฐกิจ
      เท่าที่ผมรู้ การยืนยันตัวตนสองขั้นตอนผ่าน SMS เป็นวิธีที่ถูกเจาะได้ง่ายที่สุดในบรรดาวิธีทั้งหมด อย่างน้อยถ้าเป็นอีเมล ก็ยังต้องมีรหัสผ่านก่อน และในบางกรณีก็ต้องผ่านการยืนยันตัวตนสองขั้นตอนแยกต่างหากด้วย
  • ถ้าจะโยนไอเดียที่ดูเรียบง่ายสักอย่าง คือทำ ตัวเลือกแบบเลือกเปิดใช้ ที่อนุญาตให้ย้ายหมายเลขในบัญชีไปยัง SIM ใหม่ได้เฉพาะเมื่อ SIM ปัจจุบันออฟไลน์จากมุมมองของเครือข่ายสถานีฐานเท่านั้น
    อาจทำให้ศูนย์บริการลูกค้าไม่สามารถข้ามข้อจำกัดนี้ได้ด้วย
    ถ้ามีคนขโมยโทรศัพท์ไป เขาคงพยายามเปิดโหมดเครื่องบินให้เร็วที่สุดเพื่อเลี่ยง activation lock ถ้าทำตกทะเลหรือหล่นลงหน้าผา ก็น่าจะใช้งานต่อได้ไม่นาน หากกังวลกรณีทำหายแล้วยังเปิดอยู่แต่หาไม่เจอ ก็ไม่ต้องเปิดตัวเลือกนี้

    • ส่งข้อความไปยัง SIM card ว่า “ต้องการย้ายหรือไม่?” ก็ได้
      ถ้าไม่ตอบ ระบบจะย้ายหลังจาก 48 ชั่วโมง ถ้าตอบว่า “ใช่” ก็ย้ายทันที ถ้าตอบว่า “ไม่” คนที่ขอย้ายต้องตอบคำถามบางอย่าง
    • อาจส่งคำขอยืนยันไปยังหมายเลขปัจจุบันและกำหนด ช่วงผ่อนผัน ไว้ก็ได้ หากให้ผู้ใช้เลือกช่วงผ่อนผันล่วงหน้าเองได้ ก็จะช่วยป้องกันไม่ให้มีคนยึดหมายเลขในขณะที่รู้ว่าผู้ใช้อยู่บนเครื่องบิน
      เช่น ถ้าทำโทรศัพท์หายและมันอาจอยู่ริมถนนที่ไหนสักแห่งจนตอบไม่ได้ ก็ให้ย้ายหมายเลขหลังจากราว 8 ชั่วโมงเมื่อไม่มีการตอบกลับคำขอยืนยัน
    • ฟีเจอร์ SIM protection แบบเลือกเปิดใช้มีอยู่แล้ว หากล็อก SIM card ไว้ จะไม่สามารถย้ายหมายเลขได้จนกว่าจะปลดล็อก