- พนักงาน T-Mobile ทั่วสหรัฐฯ ได้รับข้อความชักชวนให้ทำ SIM swapping อย่างผิดกฎหมาย โดยย้ายหมายเลขของลูกค้าไปยัง SIM ที่ผู้โจมตีถืออยู่
- ข้อความดังกล่าวเสนอ 300 ดอลลาร์ต่อเคส และให้ติดต่อผ่าน Telegram พร้อมใช้หมายเลขผู้ส่งจากหลายรหัสพื้นที่เพื่อให้บล็อกได้ยาก
- ในข้อความระบุว่าได้หมายเลขพนักงานมาจาก “T-Mo employee directory” และเป้าหมายไม่ได้มีแค่พนักงานปัจจุบัน แต่รวมถึงอดีตพนักงานที่ลาออกไปเมื่อไม่กี่เดือนก่อนด้วย
- T-Mobile ระบุว่า ไม่มีการเจาะระบบ แต่กำลังตรวจสอบข้อความที่ชักจูงให้กระทำผิดกฎหมาย และยังมีรายงานกรณีคล้ายกันจากผู้ให้บริการเครือข่ายไร้สายรายอื่น
- ลูกค้าควรลดการพึ่งพาการยืนยันตัวตนสองขั้นตอนแบบ SMS และเปิดใช้แอปยืนยันตัวตนกับ SIM protection เพื่อลดความเสี่ยงจากการยึดบัญชี
การชักชวนทำ SIM swapping ที่ส่งตรงถึงพนักงาน
- SIM swapping คือวิธีที่ผู้โจมตีย้ายหมายเลขโทรศัพท์ของเหยื่อไปยัง SIM ที่ตนถืออยู่ เพื่อดักรับรหัสยืนยันตัวตนสองขั้นตอนที่ส่งถึงเหยื่อ แล้วนำไปใช้เข้าถึงบัญชีออนไลน์
- เหยื่ออาจสูญเสียเงินจากบัญชีธนาคารหรือกระเป๋าคริปโต
- จากหลายโพสต์บน Reddit และข้อมูลที่มีผู้แจ้งแยกต่างหาก พบว่าพนักงาน T-Mobile ทั่วสหรัฐฯ ได้รับข้อความเสนอเงินสดเพื่อแลกกับการทำ SIM swapping
- ข้อความชักชวนเสนอ 300 ดอลลาร์ต่อการสลับ SIM 1 ครั้ง และสั่งให้ติดต่อผ่าน Telegram
- หมายเลขผู้ส่งเปลี่ยนไปมาหลายหมายเลขจากหลายรหัสพื้นที่ ทำให้รับมือด้วยการบล็อกเบอร์อย่างเดียวได้ยาก
ที่มาของข้อมูลติดต่อพนักงานและมีการเจาะระบบหรือไม่
- ในข้อความมีการระบุว่าได้หมายเลขโทรศัพท์ของพนักงานมาจาก “T-Mo employee directory”
- หากข้อความนี้เป็นจริง ก็อาจหมายความว่ามีการเข้าถึงไดเรกทอรีพนักงานของ T-Mobile ที่มีข้อมูลติดต่อไม่ทางใดก็ทางหนึ่ง
- อดีตพนักงานที่ลาออกไปเมื่อไม่กี่เดือนก่อนก็เป็นเป้าหมายด้วย จึงประเมินได้ว่าความเป็นไปได้ที่ผู้โจมตีจะเข้าถึงข้อมูลแบบเรียลไทม์อยู่ในระดับต่ำ
- ยังไม่สามารถยืนยันได้แน่ชัดว่าหมายเลขพนักงานมาจากที่ใด
- จากความเห็นออนไลน์ ดูเหมือนว่าจะมี พนักงานของบริษัทภายนอก บางส่วนได้รับผลกระทบ
- และยังมีการยืนยันแยกต่างหากว่าพนักงานฝ่าย corporate ของ T-Mobile ในปัจจุบันก็ได้รับข้อความเช่นกัน
- จึงยากที่จะสรุปว่าเป็นแหล่งเดียวกับข้อมูลรั่วไหลที่เกี่ยวข้องกับ Connectivity Source เมื่อเดือนกันยายน 2023
- แต่ก็ยังไม่อาจตัดความเป็นไปได้นี้ออกได้
- ฝ่าย PR ของ T-Mobile ตอบว่า “ไม่มีการเจาะระบบ”
- และกำลังตรวจสอบข้อความที่ถูกส่งออกไปเพื่อชักจูงให้กระทำผิดกฎหมายอย่างต่อเนื่อง
- ผู้ให้บริการเครือข่ายไร้สายรายอื่นก็รายงานว่าพบข้อความลักษณะคล้ายกัน
ความเสี่ยงที่ลูกค้าสามารถลดได้
- สำหรับลูกค้า เรื่องนี้ยังเป็นปัจจัยที่น่ากังวล เพราะอาชญากรยังคงมองว่า SIM swapping เป็นช่องทางโจมตีที่ทำเงินได้
- หากมีพนักงานบางคนยอมรับข้อเสนอเงินด่วน บัญชีและเงินของลูกค้าอาจตกอยู่ในความเสี่ยงโดยตรง
- มาตรการที่ลูกค้าสามารถทำได้:
- อย่าใช้การยืนยันตัวตนสองขั้นตอนของบริการออนไลน์แบบ SMS-based
- ใช้แอปยืนยันตัวตน เช่น Google Authenticator หรือ Authy
- หากบริการธนาคารหรือกระเป๋าคริปโตให้ใช้ 2FA ผ่าน SMS เท่านั้น ให้พิจารณาย้ายไปใช้บริการอื่น
- เปิดใช้งาน SIM protection ในบัญชี T-Mobile
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
T-Mobile จะส่ง SMS ของตัวเองไปหา员工 ทำทีว่าเพิ่มค่าตอบแทนเป็น 600 ดอลลาร์ แล้วไล่พนักงานที่ตอบกลับออกได้ไหม?
หรืออาจเปลี่ยนเงื่อนไขส่วนลดค่าโทรศัพท์ของพนักงาน ให้บริษัทสามารถมอนิเตอร์เนื้อหา SMS หรือเมทาดาต้าเพื่อค้นหาภัยคุกคามด้านความปลอดภัยต่อผู้ใช้ของบริษัทได้
ไม่รู้ว่าการแสร้งเสนอเงินตอบแทน SIM swap นั้นถูกกฎหมายไหม แต่นั่นเป็นเรื่องรอง และที่ผ่านมาก็แทบไม่เห็นหลักฐานว่า T-Mobile ใส่ใจเรื่องแบบนี้
การโจมตีแบบ SIM swap ที่มี “คนใน” เกี่ยวข้องไม่ใช่เรื่องใหม่ มือถือ T-Mobile ของเพื่อนสนิทผมก็โดนด้วยวิธีนี้เมื่อมีนาคม 2020
ประเด็นสำคัญของข่าวนี้คือการรั่วไหลของข้อมูลมาบรรจบกับ SIM swap อาชญากรใช้เบอร์โทรศัพท์ของพนักงานที่อยู่ในข้อมูลรั่วไหลล่าสุดของ T-Mobile เพื่อส่งข้อความเข้าหาพนักงานจำนวนมากพร้อมกัน และเสนอเงิน 300 ดอลลาร์ต่อเคส
สมัยก่อนต้องสร้างคนในผ่านความสัมพันธ์ส่วนตัว หรือสมัครเข้าไปทำงานเอง แต่เมื่อมีข้อมูลที่รั่วไหล ก็ทำให้ทำอัตโนมัติและขยายสเกลได้
กล่าวคือ “วิธีเก่า” ไม่ได้มีแค่การปั้นคนใน แต่ยังรวมถึงกระบวนการทำให้คนในเชื่อใจผู้ว่าจ้างด้วย
ทางแก้ตรงนี้คืออะไร? จะห้ามพนักงานร้านออฟไลน์ย้ายเบอร์โทรศัพท์ของลูกค้าไปยัง SIM ใหม่ได้จริงหรือ? แล้วถ้าลูกค้าบอกว่าทำมือถือหายหรือถูกขโมยล่ะ?
ตามอุดมคติควรมีการตรวจสอบว่าลูกค้าอยู่หน้างานจริงและตรวจบัตรประจำตัวแล้ว แต่ในสหรัฐฯ ไม่มีบัตรประจำตัวที่ใช้กันแบบสากล จึงไม่รู้ว่าจะทำได้อย่างไร อีกอย่าง ผมคิดว่าคนควรยังรับเบอร์โทรศัพท์ได้แม้ไม่มีบัตรประจำตัว ซึ่งกรณีแบบนั้นก็ทำให้การตรวจสอบทำไม่ได้เลย
ปัญหาคือมือถือกลายเป็น รากฐานความเชื่อถือ ของชีวิตดิจิทัลเราไปแล้ว การที่ passkey ถูกฝังในระบบปฏิบัติการเป็นเรื่องดี เพราะผลักปัญหานี้ออกจากผู้ให้บริการโทรคมนาคม แต่ปัญหาพื้นฐานยังคงอยู่ การสร้างความเชื่อถือครั้งแรกนั้นยาก
ที่ว่า “ลูกค้าอยู่หน้างานจริงและตรวจบัตรประจำตัวแล้ว” หน้างานคือที่ไหน? MVNO ของผมไม่มีสาขา ต่อให้มีสาขา ทำไมผมต้องไปที่นั่น? สาขาธนาคารผมยังเลี่ยงถ้าเลี่ยงได้
SMS อาจใช้ได้กับการยืนยันตัวตนแบบสองขั้นตอน แต่ควรเป็นปัจจัยที่สองเสมอ “ลืมรหัสผ่าน” → รหัส SMS → รหัสผ่านใหม่ แทบจะเป็นการยืนยันตัวตนแบบปัจจัยเดียว การใช้ SMS เป็นปัจจัยเดียวแย่มากจริงๆ
แบบนั้นพนักงานทุจริตที่ต้องการเปลี่ยน SIM จะต้องมีข้อมูลเพิ่มเติมที่ตัวเองไม่มี
กำหนดให้เปลี่ยนได้เฉพาะเมื่อ SIM ถูกตัดจากเครือข่ายมือถือเป็นเวลา 48 ชั่วโมงแล้วเท่านั้น และถ้ายังไม่ถูกตัด ก็ส่งโทรศัพท์หรือข้อความไปยัง SIM เดิมเพื่อยืนยันว่าต้องการเปลี่ยนจริงหรือไม่
ผมทำงานในวงการคริปโตและเห็น SIM swap อยู่ตลอด ส่วนใหญ่ใช้ยึดบัญชี Twitter ของคนดัง จากนั้นโพสต์ลิงก์ฟิชชิงเพื่อขโมยเหรียญจากผู้ติดตาม ในแวดวงนี้ T-Mobile ถูกพูดถึงอย่างท่วมท้น และเหยื่อส่วนใหญ่ก็บอกว่าใช้ T-Mobile จึงเป็นเรื่องที่เกิดมานานแล้ว
ปัญหาใหญ่อีกอย่างของความปลอดภัยบน Twitter คือ แม้ใช้การยืนยันตัวตนแบบสองขั้นตอนที่ไม่ใช่ SMS ก็ยังถูกยึดบัญชีได้ ถ้ามีเบอร์โทรศัพท์อยู่ในบัญชี มันจะถูกใช้เป็นวิธีกู้คืนและข้ามการยืนยันตัวตนแบบสองขั้นตอนได้ทั้งหมด ช่องโหว่ด้านความปลอดภัยนี้มีมาหลายปีแล้วแต่ก็ยังไม่แก้
มีเว็บไซต์น้อยมากที่ไม่บังคับให้ให้เบอร์โทรศัพท์เลย หรืออย่างน้อยก็ให้เลือกไม่ใช้เป็นช่องทางกู้คืน
แค่มีการล็อกด้วยเวลาก็ช่วยได้มาก เช่น ให้การกู้คืนการยืนยันตัวตน “สอง” ขั้นตอนที่อิงรหัสผ่านใช้ครั้งเดียวผ่าน SMS ทำได้หลังผ่านไป 24 ชั่วโมงเท่านั้น พร้อมส่งคำเตือนจำนวนมากว่า “อาจมีคนที่ไม่ใช่คุณกำลังกู้คืนบัญชี” และมีวิธีให้เจ้าของบัญชีตัวจริงหยุดกระบวนการนี้ได้
ถ้ายังอนุญาตให้ทำแบบนี้แม้ใช้การยืนยันตัวตนแบบสองขั้นตอนที่ไม่ใช่ SMS ก็ยิ่งแย่ และทำให้จุดประสงค์ของการใช้ 2FA ทางเลือกไร้ผลไป 100%
ไม่น่าเชื่อว่า รหัสผ่านใช้ครั้งเดียวผ่าน SMS จะถูกใช้กันบ่อยขนาดนี้ ทั้งที่เป็นเรื่องที่รู้กันทั่วไปอยู่แล้ว และมันก็แค่เปลี่ยนเส้นทางโจมตีเดิมให้กลายเป็นเส้นทางโจมตีที่แย่กว่าเดิมเท่านั้น
การเจาะรหัสผ่านหรือบุกรุกฐานข้อมูลที่เข้ารหัสไว้นั้นยากกว่าการทำ SIM swap ให้สำเร็จอย่างน้อย 10 เท่า
โค้ดยืนยันตัวตนขั้นที่สองที่มีเวลาจำกัดอาจถูกเจาะได้ด้วย SIM swap หรือฟิชชิงแบบเจาะจงเป้าหมาย แต่ก็ยังพบได้น้อยกว่าแคมเปญฟิชชิงแบบสแปมเป็นวงกว้าง
นี่ไม่ได้หมายความว่าผมชอบการยืนยันตัวตนสองขั้นตอนผ่าน SMS นะ ผมเกลียดมันจริง ๆ
ตอนนี้หวังว่าจะเพิ่ม WebAuthn ให้ด้วย ถึงอย่างนั้น TOTP ที่ใช้ร่วมกับตัวจัดการรหัสผ่านในตัวเบราว์เซอร์ก็ค่อนข้างปลอดภัยจากฟิชชิง เพราะถ้า autofill ไม่เด้งขึ้นมาก็เริ่มสงสัยได้
SIM swap เกิดขึ้นกับคนจำนวนน้อยมากเท่านั้น ดังนั้นสำหรับผู้ที่เกี่ยวข้องจึงไม่ค่อยคุ้มที่จะทุ่มความพยายาม ผมก็ไม่ชอบเหมือนกัน แต่นี่คือความจริง
ทุกอย่างในปัจจุบันที่อาศัยแค่ชื่อผู้ใช้กับรหัสผ่านควรถูกแทนที่ด้วย passkey ปัญหาที่ passkey แก้ไม่ได้คือการยืนยันตัวตนสองขั้นตอนและการกู้คืนบัญชี
รหัสผ่าน + รหัสผ่านใช้ครั้งเดียวผ่าน SMS นั้น โดยตัวมันเองแล้วยังดีกว่า แม้ว่าวิธีผ่าน SMS จะห่วยแค่ไหนก็ตาม
ดูเหมือนว่า FCC กำลังบังคับใช้กฎใหม่เพื่อป้องกัน SIM swap และจะมีผลตั้งแต่ 8 กรกฎาคม 2024 อย่างไรก็ตาม หากดูแค่ข่าวประชาสัมพันธ์ก็ยังไม่ชัดเจนว่าจะปกป้องลูกค้าได้หรือไม่ในกรณีที่พนักงานของผู้ให้บริการเป็นผู้กระทำโดยเจตนาร้าย
https://www.fcc.gov/consumer-governmental-affairs/fcc-announ...
https://docs.fcc.gov/public/attachments/DOC-398483A1.pdf
ไม่ได้พูดเล่นนะ ผมว่ามีตลาดสำหรับผู้ให้บริการมือถือที่กำหนดให้ต้องมี ตัวอย่าง DNA เมื่อทำการเปลี่ยนแปลง
DNA อาจเก็บพร้อมกันจากหลายแหล่ง เช่น เลือด น้ำลาย หรือเล็บที่สุ่มเลือก และอาจผ่านการแฮชเพื่อไม่ให้ผู้ให้บริการเก็บสตริง DNA จริง ๆ ไว้ได้ แม้ DNA เองจะไม่ได้เป็นเหมือน UUID จึงต้องมีนวัตกรรมอยู่บ้าง แต่ผมคิดว่าเป็นไปได้ กลุ่ม VIP จะยอมจ่ายเงินให้บริการนี้ และยังอาจเสนอประกันแบบจำกัดสำหรับความเสียหายจากการถูกแฮ็กได้ด้วย
เพิ่มเติมคือ ในตอนหนึ่งของ “Forensic Files” มีผู้ต้องสงสัยที่ฉีดตัวอย่างเลือดของคนอื่นเข้าร่างกายตัวเองเพื่อหลบการตรวจ DNA ในคดีล่วงละเมิดทางเพศ ดังนั้นผมยอมรับว่าวิธี DNA ก็โจมตีได้ นั่นจึงเป็นเหตุผลที่ต้องใช้ตัวอย่างสุ่มหลายแหล่ง
เราต้องการมาตรฐานที่ดีกว่านี้สำหรับการยืนยันตัวตนหลายปัจจัยจริง ๆ อาจต้องมีนิยามทางกฎหมายของ การยืนยันตัวตนหลายปัจจัย และจัดให้ SMS เป็นการยืนยันตัวตนสองขั้นตอนในระดับเดียวกับอีเมล
ผมคิดว่าการยืนยันตัวตนหลายปัจจัยที่แท้จริงควรจำกัดไว้กับ Yubikey หรืออุปกรณ์ที่ใช้ใบรับรองฮาร์ดแวร์อื่น ๆ และหากรองรับโทเค็นได้เพียงหนึ่งชิ้นต่อวิธี ก็ไม่ควรอนุญาตให้โฆษณาว่าเป็นการยืนยันตัวตนหลายปัจจัย
ในทางปฏิบัติ iPhone Keychain น่าจะใกล้เคียงขีดจำกัดแล้ว และนั่นก็ยังพึ่งพาความปลอดภัยของฮาร์ดแวร์อยู่ในระดับหนึ่ง
https://passkeys.dev/
https://passkeys.directory/
นี่ไม่ใช่แค่ปัญหาของ SIM หรือ T-Mobile เท่านั้น
เจ้าหน้าที่ศูนย์บริการลูกค้าส่วนใหญ่มีรายได้ต่ำมาก และโดยเฉพาะในประเทศอื่น ๆ การหาคนที่ยอมทำบางอย่างให้แลกกับเงินจำนวนเล็กน้อยตามมาตรฐานตะวันตกนั้นไม่ใช่เรื่องยาก เจ้าหน้าที่ศูนย์บริการลูกค้ามักมีอำนาจสูงและมีสิทธิ์เข้าถึงข้อมูลอ่อนไหว ขณะที่การควบคุมการเข้าถึงก็หละหลวม
ต่อให้แก้ปัญหา SMS และการยืนยันตัวตนหลายปัจจัยได้ ผู้โจมตีก็จะไปโจมตีจุดอ่อนถัดไปอยู่ดี
เท่าที่ผมรู้ การยืนยันตัวตนสองขั้นตอนผ่าน SMS เป็นวิธีที่ถูกเจาะได้ง่ายที่สุดในบรรดาวิธีทั้งหมด อย่างน้อยถ้าเป็นอีเมล ก็ยังต้องมีรหัสผ่านก่อน และในบางกรณีก็ต้องผ่านการยืนยันตัวตนสองขั้นตอนแยกต่างหากด้วย
ถ้าจะโยนไอเดียที่ดูเรียบง่ายสักอย่าง คือทำ ตัวเลือกแบบเลือกเปิดใช้ ที่อนุญาตให้ย้ายหมายเลขในบัญชีไปยัง SIM ใหม่ได้เฉพาะเมื่อ SIM ปัจจุบันออฟไลน์จากมุมมองของเครือข่ายสถานีฐานเท่านั้น
อาจทำให้ศูนย์บริการลูกค้าไม่สามารถข้ามข้อจำกัดนี้ได้ด้วย
ถ้ามีคนขโมยโทรศัพท์ไป เขาคงพยายามเปิดโหมดเครื่องบินให้เร็วที่สุดเพื่อเลี่ยง activation lock ถ้าทำตกทะเลหรือหล่นลงหน้าผา ก็น่าจะใช้งานต่อได้ไม่นาน หากกังวลกรณีทำหายแล้วยังเปิดอยู่แต่หาไม่เจอ ก็ไม่ต้องเปิดตัวเลือกนี้
ถ้าไม่ตอบ ระบบจะย้ายหลังจาก 48 ชั่วโมง ถ้าตอบว่า “ใช่” ก็ย้ายทันที ถ้าตอบว่า “ไม่” คนที่ขอย้ายต้องตอบคำถามบางอย่าง
เช่น ถ้าทำโทรศัพท์หายและมันอาจอยู่ริมถนนที่ไหนสักแห่งจนตอบไม่ได้ ก็ให้ย้ายหมายเลขหลังจากราว 8 ชั่วโมงเมื่อไม่มีการตอบกลับคำขอยืนยัน