กรณีถูกฟิชชิงเสียหาย 130,000 ดอลลาร์จากโทรศัพท์และอีเมลปลอมเป็น Google พร้อมขโมยรหัสยืนยันผ่านการซิงก์

 (bewildered.substack.com)
1 คะแนน โดย GN⁺ 2025-09-18 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ผู้ใช้รายหนึ่งแชร์ประสบการณ์ถูกฟิชชิงจาก โทรศัพท์ที่แอบอ้างว่าเป็นทีมสนับสนุนของ Google และ อีเมลปลอมเป็น legal@google.com
  • เนื่องจาก ฟีเจอร์ซิงก์ขึ้นคลาวด์ของ Google Authenticator ทำให้ผู้โจมตีขโมยรหัสยืนยันตัวตนสองชั้นได้ด้วย จนนำไปสู่การแฮ็กบัญชี Coinbase และขโมยคริปโตเคอร์เรนซี
  • ถูกขโมยคริปโตมูลค่าราว 80,000 ดอลลาร์ภายในประมาณ 40 นาที (มูลค่าปัจจุบันราว 130,000 ดอลลาร์)
  • ชี้ว่า ช่องโหว่ด้านความปลอดภัยของ Gmail และการเปิดการซิงก์เป็นค่าเริ่มต้นของ Authenticator เป็นปัจจัยที่ทำให้ความเสียหายรุนแรงขึ้น
  • แนะนำให้ เปลี่ยนรหัสผ่านสม่ำเสมอ ไม่แชร์รหัสยืนยัน และตั้งค่าการซิงก์คลาวด์อย่างรอบคอบตามหลักความปลอดภัยพื้นฐาน

เหตุหลอกลวงที่เริ่มต้นจากโทรศัพท์สายเดียว

  • วันที่ 19 มิถุนายน ได้รับโทรศัพท์จากหมายเลขพื้นที่ 'Pacifica, CA' (650)
  • คู่สนทนาอ้างว่าเป็น ทีมสนับสนุนของ Google และพูดถึงคำขอโอนบัญชีที่ถูกรายงานเข้ามา (ถึงขั้นแนบใบมรณบัตรและบัตรประชาชน)
  • มีการส่งอีเมลจากที่อยู่ที่ดูเหมือนจริงอย่าง legal@google.com (ชื่อผู้ส่ง Norman Zhu) เพื่อสร้างความน่าเชื่อถือให้เหมือนอีเมลทางการ
  • ในแอป Gmail บน iOS แสดงว่าเป็นผู้ส่ง @google.com พร้อมแบรนดิ้งและเลขคดี จึงปลอมตัวได้แนบเนียน
  • โดยอ้างว่าใช้ตรวจสอบการเสียชีวิต จึงขอให้ยืนยันรหัสชั่วคราว ทำให้เหยื่อส่งรหัสไปเพราะความกังวลชั่วขณะ

ผู้โจมตีเข้าถึงบัญชี Coinbase

  • ช่วงท้ายของการโทร ยังมีการแนะนำให้ลงทะเบียน Google Advanced Security เพื่อทำให้เหยื่ออุ่นใจ
  • เหยื่อคิดว่าตนเองได้เพิ่มความปลอดภัยแล้ว แต่ในความเป็นจริงผู้โจมตีได้สิทธิ์เข้าถึง Gmail, Drive, Photos และรหัส Authenticator ที่ซิงก์ไว้ ไปแล้ว
  • จุดชี้ขาดคือการที่ Google Authenticator ซิงก์ขึ้นคลาวด์ ทำให้รหัส 2FA ถูกขโมยไปด้วย
  • หลังจากนั้นไม่นาน ผู้โจมตีก็ล็อกอินเข้า Coinbase และเริ่มขโมยคริปโต

รายละเอียดการขโมยคริปโตและความเสียหาย

  • ภายในเวลาประมาณ 40 นาที ผู้โจมตีทำธุรกรรมหลายครั้งเพื่อ โอนกระจาย ETH และโทเค็นอื่น ๆ ก่อนขโมยไปทั้งหมด
  • มูลค่าความเสียหายในตอนนั้นอยู่ที่ประมาณ 80,000 ดอลลาร์ และตามราคาปัจจุบันราว 130,000 ดอลลาร์
  • เมื่อมาตรวจยอดคงเหลือใน Coinbase อีก 2 ชั่วโมงให้หลัง ก็พบว่ายอดแทบเป็นศูนย์และเกิดความช็อก
  • ยังพบเพิ่มเติมด้วยว่าในบัญชี Google มี ประวัติการเข้าสู่ระบบจากอุปกรณ์ใหม่ และมีการเปลี่ยนหมายเลขโทรศัพท์สำหรับกู้คืนบัญชี

ทำไมแม้แต่ผู้เชี่ยวชาญด้านความปลอดภัยก็ยังตกเป็นเหยื่อได้

  • ผู้เสียหายระบุว่าทำงานอยู่ในอุตสาหกรรมไอที และ ตนเองก็เป็นผู้ออกแบบประสบการณ์ด้านการยืนยันตัวตน
  • แม้จะมีความตระหนักด้านความปลอดภัยสูง แต่ก็ยังพลาดรับมือฟิชชิงเพราะอีเมลปลอมที่แนบเนียนและการสร้างสถานการณ์เร่งด่วน

ความผิดพลาดด้านความปลอดภัยสำคัญ 2 ข้อของ Google

  1. ล้มเหลวในการกรองอีเมลปลอมผู้ส่งแบบ ‘@google.com’
    • สามารถสปูฟช่อง From ของอีเมลจนดูเหมือนอีเมลทางการได้ และในแอป Gmail บน iOS ก็ตรวจสอบ header เต็มรูปแบบไม่ได้ ทำให้ยืนยันได้ยากทันที
  2. Google Authenticator เปิดการซิงก์คลาวด์เป็นค่าเริ่มต้น
    • ผู้โจมตีได้รหัส 2FA ที่ซิงก์ไว้ไปด้วย ทำให้ประสิทธิภาพของการยืนยันตัวตนสองขั้นตอนถูกทำลายลงจริง
    • ส่งผลให้สินทรัพย์ดิจิทัลทั้งหมด ทั้งอีเมล 2FA เอกสาร และรูปภาพ ถูกเปิดเผยพร้อมกันในคราวเดียว
  • หมายเหตุ: มีคำเตือนว่า สำหรับผู้ใช้ที่ใช้ Gmail และ Google Authenticator ร่วมกัน 2FA อาจไม่ปลอดภัยโดยเนื้อแท้

ข้อปฏิบัติและคำแนะนำด้านความปลอดภัย

  • เปลี่ยนรหัสผ่านตั้งแต่วันนี้ และเปลี่ยนเป็นระยะ (ยังมีเหตุรหัสผ่านรั่วไหลมากกว่า 1.6 พันล้านรายการอย่างต่อเนื่อง)

  • ห้ามแชร์รหัสยืนยันโดยเด็ดขาด (ผู้โจมตีใช้คำว่า ‘เร่งด่วน’ และ ‘ความกังวล’ เพื่อชักจูงทางจิตวิทยา)

  • ใช้การซิงก์คลาวด์ของ Google Authenticator อย่างระมัดระวัง

    • แม้จะช่วยให้กู้คืนได้สะดวกขึ้น แต่ก็มาพร้อมความเสี่ยงด้านการจัดการ

  • ระวังสายโทรศัพท์ที่น่าสงสัยอยู่เสมอ

    • หากรู้สึกไม่แน่ใจ แนะนำให้วางสายทันทีแล้วกลับเข้าใช้งานผ่านช่องทางทางการ

  • ผู้เขียนหวังว่าเหตุการณ์นี้จะช่วยสร้างความตระหนักและป้องกันความเสียหายลักษณะเดียวกันได้

คำอธิบายเพิ่มเติมและบริบท

  • เป็นไปได้ว่าผู้โจมตีอาจมีรหัสผ่านอยู่แล้วจากรายการรหัสผ่านรั่วไหลล่าสุด 1.6 พันล้านรายการ
  • ผู้เสียหายยืนยันว่าตนไม่ได้ใช้รหัสผ่านซ้ำและเก็บเป็นความลับ แต่ก็ไม่ได้เปลี่ยนรหัสผ่านมานาน
  • คาดว่าผู้โจมตีหลบเลี่ยงการยืนยัน 2FA ได้ขณะได้รับรหัสกู้คืน

เกี่ยวกับอีเมลฟิชชิง

  • ได้รับอีเมลจำนวนมากในนาม legal@google.com แต่ผู้โจมตีลบหลักฐานอีเมลทั้งหมด รวมถึงในถังขยะและประวัติการกู้คืนอย่างหมดจด
  • อย่างไรก็ตาม หลังจาก forward อีเมลบางส่วนไปที่ phishing@google.com แล้ว มีอีเมลตีกลับระหว่างกระบวนการยึดสิทธิ์บัญชีคืน ทำให้สามารถเก็บต้นฉบับไว้ได้
  • อีเมล phishing@google.com อาจไม่มีอยู่จริง หรือไม่สามารถเข้าถึงจากภายนอกได้
  • อีเมลต้นฉบับมีหัวข้อว่า ‘Google Recent Case Status’ ใช้รูปแบบและการตั้งชื่อแบบทางการ พร้อมคำแนะนำเรื่องการตรวจสอบภายในและการเก็บรหัสผ่านชั่วคราว
  • ระบุชื่อทีมสนับสนุนว่า ‘Norman Zhu’ พร้อมหมายเลขคดีและข้อมูลฝ่ายงาน

สรุปทั้งหมด

  • นี่เป็นกรณีการยึดบัญชีและความเสียหายด้านคริปโตครั้งใหญ่ที่เกิดจากการผสมกันของ การโจมตีแบบสวมรอยที่แนบเนียน และ ข้อบกพร่องเชิงโครงสร้างของแพลตฟอร์ม
  • เป็นกรณีที่ย้ำเตือนว่าแม้แต่การยืนยันตัวตนชั้นที่สองก็ไม่ใช่พื้นที่ปลอดภัยเสมอไป
  • นอกเหนือจากหลักความปลอดภัยแบบดั้งเดิมแล้ว ยังตอกย้ำความจำเป็นของ การทบทวนนโยบายในระดับแพลตฟอร์ม และ การตั้งค่าความปลอดภัยที่แตกต่างกันตามแต่ละบริการ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-09-18
ความคิดเห็นจาก Hacker News

  • เมื่อวันศุกร์ที่แล้วฉันก็ได้รับสายคล้าย ๆ กัน ฟังดูน่าเชื่อถือมาก เคล็ดลับที่ฉันใช้คือขอหมายเลขเคสกับหมายเลขโทรกลับอย่างเป็นทางการเพื่อตรวจสอบว่าเป็นเบอร์ของบริษัทจริงหรือไม่ ถ้าใช่ค่อยคุยต่อ ถ้าไม่ใช่ก็สบายใจได้เลย คนที่โทรมาบอกว่าสามารถส่งอีเมลเพื่อพิสูจน์ว่าเป็นทางการได้ แต่กลับไม่ยอมให้เบอร์โทรกลับ จึงรู้ทันทีว่าเป็นมิจฉาชีพ อีเมลแอดเดรสหรือเบอร์โทรสามารถสปูฟได้ทั้งนั้น ต่อให้เลขผู้โทรดูปกติก็ห้ามเชื่อเด็ดขาด ต้องโทรกลับผ่านเบอร์ทางการเสมอเพื่อตรวจสอบ

    • ฉันถึงขั้นไม่รับแม้แต่เบอร์ที่เขาให้มาเอง แต่จะถามชื่อบริษัทและสาขาจากอีกฝ่ายก่อน แล้วค่อยไปหาเบอร์จากเว็บไซต์ทางการของบริษัทเองโดยตรง (เช่น https://amazon.com) แล้วจึงโทรไป วิธีนี้ยุ่งยากขึ้นหน่อยแต่ปลอดภัยกว่ามาก

    • แม้แต่เวลาค้นหา “เบอร์ทางการ” ก็ต้องระวัง เพราะผลการค้นหาอาจปะปนด้วยเว็บไซต์ที่ทำเบอร์ปลอมให้ดูเหมือนจริงได้ มันเป็นสนามรบที่ไม่มีปืนไม่มีมีดจริง ๆ

    • เรื่องที่ว่า “ต่อให้เป็นเบอร์จริง Caller ID ก็ไม่มีความหมาย” นั้น ฉันเองก็เคยพูดแบบนี้กับธนาคารเมื่อหลายปีก่อน ตอนที่ธนาคารโทรมาขอข้อมูลส่วนตัวเพื่อยืนยันตัวตนของฉัน

    • “หมายเลขโทรศัพท์ทางการ” เป็นความคิดที่ดี แต่ถ้าผู้โจมตีเข้าถึง SS7 ได้ วิธีนี้ก็ช่วยอะไรไม่ได้

  • เรื่องที่ต้องจำซ้ำ ๆ คือ

    • ทีมซัพพอร์ตลูกค้าของบริษัทใหญ่จะไม่โทรหาคุณก่อนเองเด็ดขาด

    • ถ้ามีใครโทรหรือส่งอีเมลมาขอรหัส ห้ามบอกรหัสยืนยันที่ได้รับทาง SMS เด็ดขาด ซึ่งในข้อความก็มักจะเขียนไว้แบบนั้นอยู่แล้ว

    • อย่าปกป้องข้อมูลสำคัญด้วยรหัสผ่านเพียงอันเดียว อย่าใช้ Google Authenticator ที่ผูกกับบัญชี Google เป็นตัวจัดการรหัสผ่าน แนะนำให้ใช้ third-party อย่าง 1Password

    • ต้องแยกอีเมลสำหรับธนาคาร/การลงทุนออกจากอีเมลที่เปิดเผยต่อสาธารณะเสมอ และควรแยกโปรไฟล์ Chrome ตามอีเมล พร้อมลบส่วนขยายออกให้เหลือแค่ตัวจัดการรหัสผ่าน

    • แต่เมื่อไม่กี่สัปดาห์ก่อน ฉันได้รับสายจากคนที่อ้างว่าเป็นทีมซัพพอร์ตของธนาคารจากเบอร์ที่ค้นหาไม่เจอ เขาขอให้ฉันอ่านรหัสยืนยันจาก SMS ให้ฟัง ฉันปฏิเสธ จากนั้นออนไลน์แบงก์กิ้งของฉันก็ถูกบล็อก และมีจดหมายจริงส่งมาว่า “เนื่องจากคุณไม่ได้สื่อสารกับเจ้าหน้าที่ซัพพอร์ต จึงไม่สามารถอัปเกรดบัญชีโดยอัตโนมัติได้” สุดท้ายฉันต้องสร้างบัญชีใหม่ในแอป แล้วโทรกลับไปหาเขาและอ่านรหัสจาก SMS ให้ฟังอีกครั้ง (!) ซึ่งนั่นกลายเป็นขั้นตอนเดียวของการยืนยันบัญชีใหม่ ธนาคารระดับท็อป 100 ของโลกกลับดำเนินการแบบนี้ เหมือนบริษัทต่าง ๆ กำลังฝึกให้ลูกค้าถูกหลอกเสียเอง เป็นธนาคารสายเยอรมัน แต่ Chase ก็มีนิสัยขอรหัส OTP ทางโทรศัพท์เหมือนกัน

    • เคยมีครั้งหนึ่งที่ฝ่ายซัพพอร์ตขอรหัสยืนยันตอนฉันร้องขอให้ปิดการตั้งค่าประหยัดพลังงานของ Google Nest Thermostat (ฟีเจอร์ที่ให้บริษัทไฟฟ้าควบคุมอุณหภูมิเพื่อประหยัดพลังงาน) ฉันปฏิเสธเพราะ “ในข้อความบอกว่าอย่าเปิดเผยรหัส” แล้วฝ่ายซัพพอร์ตก็แค่แนะนำวิธีอื่นให้ คำขอนั้นเองก็ดูประหลาดอยู่แล้ว

    • จนไม่นานมานี้เอง Chase ก็ยังขอรหัสแบบนี้ตอนโทรมาเรื่องแจ้งเตือนการฉ้อโกง น่าหงุดหงิดจริง ๆ

    • ปกติฉันตั้งโทรศัพท์เป็นโหมด ‘ห้ามรบกวน’ และให้มีแค่สมาชิกครอบครัวใกล้ชิด 5 คนที่โทรเข้าแล้วมีเสียงดังได้ ฉันไม่รับสายจากเบอร์แปลกเลย และถ้าอีกฝ่ายรีบด่วนจริงก็ให้ฝากข้อความเสียงไว้ ฉันรู้สึกว่าเวลารับสายเรามักไม่มีสติพอจะตัดสินใจเย็น ๆ คล้ายกับกลลวงถามทางบนถนนแล้วฉกนาฬิกา เดิมทีไม่ได้ทำเพื่อความปลอดภัยเป็นหลัก แต่ก็ดีตรงที่ช่วยลด bank tip และไม่เปิดช่องให้แฮ็กเกอร์

    • น่าเสียดายที่คอลเซ็นเตอร์บางแห่งมีขั้นตอนยืนยันตัวตนโดยโทรมาหาคุณจริง ๆ แล้วส่งรหัสทาง SMS/อีเมล จากนั้นให้คุณอ่านกลับให้ฟัง

  • การโจมตีครั้งนี้ดูเหมือนเป็น social engineering ล้วน ๆ และไม่น่าจะมีการสปูฟอีเมล ดูมีความเป็นไปได้สูงว่าอีเมลนั้นถูกส่งจาก Google อย่างเป็นทางการจริง ๆ ฉันเดาว่าผู้โจมตีไปเริ่มกระบวนการกู้คืนบัญชี Google อย่างเป็นทางการ แล้ว Google จึงส่งอีเมลที่มีโค้ดมาให้ พอเหยื่ออ่านโค้ดนั้นให้ฟัง ผู้โจมตีก็น่าจะเข้าถึงบัญชี Google ได้ทั้งหมด (รวมถึง Gmail และแอปยืนยันตัวตนที่แบ็กอัปไว้ใน Google Drive) ฉันอยากเห็น email header ต้นฉบับสักครั้ง

    • อีเมลที่ส่งมาจาก legal@google.com ดูไม่จริงเอาเสียเลย มีข้อผิดพลาดทางไวยากรณ์ทั้งในย่อหน้าแรกและประโยคเปิดของย่อหน้าที่สอง สำหรับอีเมลจากฝ่ายกฎหมายคงเป็นไปไม่ได้ที่จะมีทั้งคำผิดพื้นฐานและเครื่องหมายวรรคตอนผิดแบบนี้ ถ้าเป็นอีเมลทางการจริงต้องผ่านการตรวจแก้แน่นอน สรุปว่าปลอม

    • ถ้าอีเมลนั้นเป็นสิ่งที่ผู้โจมตีส่งมาเอง ก็ไม่เข้าใจว่าทำไมเหยื่อยังต้องบอกรหัสให้อีก

    • “รีเซ็ตรหัสผ่าน Coinbase” นี่แหละ การใช้ Gmail ผูกกับบริการสำคัญอย่างธนาคาร คริปโต หรือโดเมน เป็นเรื่องอันตรายมาก ฉันเองก็รู้รหัสผ่าน Google ของตัวเอง แต่เข้าไม่ได้เพราะติด 2FA

  • ถ้าเป็นเบอร์ที่ไม่รู้จักต้องสงสัยไว้ก่อนเสมอ ถ้ารู้สึกแปลก ๆ ก็ควรวางสายแล้วติดต่อบริษัทนั้นเองเพื่อเริ่มบทสนทนาใหม่ ฉันเห็นด้วยมาก พอมาคิดดูแล้ว ถ้าไม่ได้คาดว่าจะมีคนโทรมา ฉันแทบจะไม่รับสายเลย และนั่นน่าจะช่วยให้ฉันรอดจากมิจฉาชีพมาได้เยอะ ส่วนที่ Google ซิงก์โค้ด Authenticator ขึ้นคลาวด์จนผู้โจมตีเข้าถึง Gmail, Drive, Photos และแอปยืนยันตัวตนได้ทั้งหมดนั้นน่าผิดหวังมาก

    • ปกติฉันไม่รับสายจากเบอร์แปลกอยู่แล้ว แต่ไม่กี่วันก่อนมีคนอ้างว่าเป็น “พนักงาน Amazon” โทรมาบอกว่ามีการชำระเงินซื้อ iPhone ราคา 600,000 วอนผ่านบัญชีของฉัน พอฉันบอกว่าจะยืนยันตัวตนเขาโดยถามว่า “สินค้าล่าสุดที่ฉันสั่งคืออะไร” อีกฝ่ายก็ตอบวนไปวนมาไม่ตรงคำถาม คุยกันอยู่นาน 20 นาที สุดท้ายเขาด่าฉันแล้ววางสาย ระหว่างนั้นยังได้ยินเสียงอึกทึกเหมือนมีการโทรหลอกลวงแบบเดียวกันอยู่รอบ ๆ ตัวเขาด้วย ฉันไม่เข้าใจจริง ๆ ว่าทำไมถึงคุยนานขนาดนั้น

    • สัญญาณเตือนที่ชัดที่สุดของการหลอกลวงแบบนี้คือ “ฝ่ายซัพพอร์ตเป็นฝ่ายติดต่อมาก่อน” ทั้งที่เวลาคุณมีเรื่องด่วนจริง ๆ แล้วอยากติดต่อฝ่ายซัพพอร์ตกลับติดต่อไม่ได้ด้วยซ้ำ

    • ช่วงนี้กฎของฉันคือเบอร์แปลกทุกเบอร์ส่งเข้าวอยซ์เมลหมด ถ้าสำคัญก็ให้ฝากข้อความกับเบอร์ไว้ แล้วฉันจะโทรกลับเองถ้าจำเป็น มีข้อยกเว้นแค่กรณีอย่างโรงพยาบาลหรือการจัดส่งเท่านั้น วิธีนี้ช่วยคัดกรองได้ดี

    • ฉันใช้กฎ 1–2 วินาที รับสายแล้วพูด hello ถ้าภายใน 1–2 วินาทีไม่มีใครตอบก็วางเลย มิจฉาชีพมักถูกต่อสายมาจากคิวโทรศัพท์ จึงมีช่วงหน่วงเล็กน้อย และยังต้องตั้งสคริปต์ในหัวด้วย เลยตอบช้ากว่าบทสนทนาปกติ สายที่ตอบไม่ทันทีมีโอกาสเป็นสแปมสูง

    • ไม่ใช่แค่โทรศัพท์ฉัน แต่ของพ่อแม่ฉันก็ตั้งให้บล็อกเบอร์ที่ไม่รู้จักไปเลย ฉันคอยเตือนพวกเขาเสมอว่าอย่าเชื่ออีเมลหลอกลวง แต่ถึงอย่างนั้นทุกปีแม่ก็ยังมีสักหนึ่งหรือสองครั้งที่ตกใจแล้วติดต่อมาหาฉันเพราะ “อีเมลหลอกที่คิดว่าเป็นของจริง”

  • การไม่รับโทรศัพท์คือหลักการพื้นฐานของฉัน จริง ๆ แล้วฉันเปิด ‘ห้ามรบกวน’ ไว้ตลอด และอนุญาตให้มีเสียงเรียกเข้าเฉพาะเบอร์โปรดเท่านั้น คนที่รีบด่วนจริง (ไม่ว่าจะถูกกฎหมายหรือมิจฉาชีพ) ก็ปล่อยให้ฝากข้อความเสียงไว้ได้ ถ้าอ้างว่าเป็นบริษัทใด ฉันจะเป็นฝ่ายตรวจสอบเอง กรณีนี้แสดงให้เห็นว่าถ้าเป็นสายที่เราไม่ได้ร้องขอ ไม่ว่าจะฟังดูน่าเชื่อแค่ไหน ก็ไม่ควรเริ่มคุยด้วยตั้งแต่แรก และอย่าเก็บข้อมูลอ่อนไหวไว้ในบัญชี Google เด็ดขาด ถ้ามีประสบการณ์ในวงการเทคโนโลยีก็น่าจะรู้กันดีว่ามันเสี่ยงแค่ไหน

    • ฉันเองก็รู้ดีเรื่องความเสี่ยงของสแปมคอล ไม่จำเป็นต้องอธิบายเพิ่ม แต่ดูเหมือนจะตัดความเป็นไปได้ที่ “ทีมความปลอดภัยของธนาคาร” อาจโทรมาเตือนเรื่องการฉ้อโกงจริง ๆ ทิ้งไปง่ายเกินไป ฉันเองก็อาจจำเบอร์ธนาคารไม่ได้ และก็ไม่แน่ใจด้วยว่าการจำเบอร์ไว้เป็นคำตอบที่ถูกหรือเปล่า

    • ฉันเคยได้รับสายที่สำคัญจริง ๆ จากหน่วยงานรัฐหรือธนาคารเหมือนกัน (เช่น เรื่องผิดพลาดในการยื่นภาษี) ดังนั้นฉันไม่คิดว่าคำตอบที่ถูกต้องจะเป็นการไม่รับเลยเสมอไป อนึ่ง ในยุโรปแทบไม่มีใครใช้วอยซ์เมล ดูเหมือนจะเป็นวัฒนธรรมแบบอเมริกันมากกว่า

  • ต่อให้ไม่มีการสปูฟอีเมล ก็ยังขโมยคริปโตได้อยู่ดี อาชญากรอาจเอาปืนมาขู่ให้บอก seed phrase ก็ได้ และกรณีแบบนี้ก็เกิดขึ้นจริงอยู่ไม่น้อย เพราะแบบนี้ธนาคารแบบดั้งเดิมจึงปลอดภัยกว่าคริปโตมาก ผู้เขียนที่มาเล่าประสบการณ์นี้ทำดีแล้ว แต่หวังว่าบทเรียนที่แท้จริงคือคริปโตไม่ใช่วิธีเก็บทรัพย์สินที่ปลอดภัย

    • ถึงอย่างนั้น การไล่โทรหลอกก็สเกลได้ดีกว่าการถือปืนไปหาถึงบ้านมาก

    • แต่ก็สมกับเป็น Hacker News ที่มีคนมองว่าการข่มขู่ด้วยปืนไม่ใช่ประเด็นตั้งแต่แรก

    • ในด้านความปลอดภัยของคริปโต multisig มีประโยชน์มาก เช่น แบบ 2-of-2 ที่แชร์สิทธิ์ลงนามกับสถาบันที่เชื่อถือได้อย่างธนาคาร ปกติจะปลอดภัยกว่าธนาคารทั่วไปเสียอีก หรือใช้หลายคีย์แบบ 3-of-5 ก็ช่วยรับมือกับการบังคับข่มขู่ได้ เช่น ถ้าป้อน PIN ผิดใน hardware token คีย์อาจถูกลบ

    • กระเป๋า multisig คือคำตอบ และโครงสร้างที่ต้องให้หลายคนอนุมัติก่อนถอนยังช่วยเบรกการใช้เงินเกินตัวได้ด้วย แต่ถ้ามีหลายคนเกี่ยวข้องก็อาจยิ่งเพิ่มความเสี่ยง อีกทั้งถ้าใช้ cold wallet แบบออฟไลน์ การแฮ็กอาจต้องใช้เวลาหลายชั่วโมง ทำให้พอมีเวลาถ่วงได้

    • https://xkcd.com/538/ การ์ตูนนี้ก็เกี่ยวข้องดี

  • คำถามสำคัญที่สุดคือทำไมผู้โจมตีถึงไม่กวาดเอาบัญชีธนาคาร/บำนาญ/บัตรเครดิตไปด้วย ในความเป็นจริงธนาคารมักให้ความสำคัญกับการถูกแฮ็กบัญชีลูกค้ามากกว่าเยอะ

    • คำว่า “ธนาคารให้ความสำคัญ” จริง ๆ หมายถึงนโยบายที่ว่าถ้าคุณได้ใช้ความระมัดระวังตามสมควรแล้วแต่บัญชีถูกขโมยเงิน ธนาคารจะชดเชยให้ ด้วยเหตุนี้ในมุมธนาคาร การฉ้อโกงที่เป็นเงินก้อนใหญ่จึงได้รับความสนใจมากกว่า อ้างอิงว่าเมื่อ 10 เดือนก่อนยังมีเธรด Reddit ที่บอกว่าคู่ผสม Coinbase-Google Authenticator คือความปลอดภัยระดับดีที่สุดอยู่เลย เธรด Reddit เหตุการณ์แฮ็ก Coinbase

    • แต่ในอีกด้านหนึ่ง ก็เป็นปัญหาที่ธนาคารและบริการลักษณะนี้บังคับให้ลูกค้าต้องใช้แอปบนสมาร์ตโฟนที่ล็อกแน่นหนามากสำหรับการธนาคารเท่านั้น แทบไม่มีจุดกึ่งกลางระหว่างบรรยากาศที่ไม่ไว้ใจลูกค้าเลยกับการผลักภาระความรับผิดชอบให้ลูกค้ารับเอง

    • การโอนเงินจากธนาคารหรือบัญชีหลักทรัพย์ต้องใช้เวลา ซึ่งระหว่างนั้นถ้าคุณรู้ตัวว่าโดนหลอกและรีบแจ้ง บัญชีก็อาจถูกอายัดได้ จึงป้องกันความเสียหายทันทีได้ง่ายกว่า

    • แต่ก็มีความเห็นว่าจริง ๆ แล้วธนาคารก็ไม่ได้ใส่ใจเรื่องนั้นมากขนาดนั้น

  • ลำดับเหตุการณ์ในเรื่องนี้กำกวมจนเข้าใจยาก ถ้าแค่ใช้โค้ด 2FA ก็โดนกวาดทุกอย่างได้จริง นั่นถือว่าร้ายแรงมาก อาจเป็นเพราะรหัสผ่านหลุดอยู่ก่อนแล้วหรือไม่ มีการใช้รหัสผ่านซ้ำหรือเปล่า หรือจริง ๆ เป็นเพราะบัญชี Google ถูกเจาะอยู่แล้วก็ได้ ถ้าแค่โค้ด 2FA ก็พาไปจากบัญชี Google → แอปยืนยันตัวตน → ตัวจัดการรหัสผ่านได้ทั้งหมด ก็อาจลามไปพัง 2FA ของบริการอื่นต่อแบบลูกโซ่ได้ สิ่งที่ฉันอยากรู้ที่สุดคือมีการใช้รหัสผ่านซ้ำหรือไม่ หมายเหตุ: ฉันทำงานที่ Google แต่ไม่ได้อยู่ทีมความปลอดภัย

    • ฉันคิดว่าผู้โจมตีน่าจะมีรหัสผ่านของฉันอยู่แล้ว และสุดท้ายต้องการแค่ recovery code ที่ฉันอ่านให้ฟังทางโทรศัพท์ ฉันไม่ได้แชร์รหัสผ่านและก็ไม่ได้ใช้ซ้ำ แต่ก็ไม่ได้เปลี่ยนมานานแล้ว

    • ต่อให้มีรหัสผ่านอยู่แล้ว ถ้าควบคุมอีเมลและโค้ด 2FA ได้ ก็สามารถยึดทุกบัญชีผ่านการรีเซ็ตรหัสผ่านได้

  • ในโพสต์นี้ขาดคำอธิบายทางเทคนิคที่เป็นรูปธรรม ทำให้น่ากังวลว่าจนถึงปี 2025 แล้ว Google ก็ยังบล็อกอีเมล @google.com ที่ “ดูคล้ายกัน” ได้ไม่ดีพอหรือไม่ ไม่ชัดเจนว่าเป็น Unicode spoofing, ไม่มีการยืนยันอย่าง DKIM หรือแม้แต่บัญชีถูกยึดไปแล้วกันแน่ โดยรวมแล้วมีหลายจุดที่ฟังไม่สมเหตุสมผล

    • ดูเหมือนแนวคิดเรื่อง Unicode domain name จะไม่เคยเวิร์กจริงเลย ในทางปฏิบัติคนที่ใช้ฟีเจอร์นี้ส่วนใหญ่ก็คือนักต้มตุ๋นกับอาชญากร ขอบคุณ ICANN แบบประชด ๆ

    • ฉันสงสัยว่าในโพสต์นั้นทำไมถึงไม่อธิบายว่ามันทำอย่างไรให้อีเมลดูเหมือนส่งมาจากโดเมน google ได้ ทั้งที่เจ้าตัวบอกว่าทำงานด้านความปลอดภัย ก็ยิ่งแปลกที่ไม่มีรายละเอียด

  • มีคนทักว่าไม่มีใครพูดคำแนะนำว่า “อย่าเก็บเงินหลายแสนดอลลาร์ไว้ในบัญชี Coinbase”

    • ฉันเคยแบ่งคริปโตไว้สองที่ คือ Coinbase กับฮาร์ดดิสก์ที่พังไปแล้ว ตอนนี้กู้ข้อมูลจากฮาร์ดดิสก์ไม่ได้

    • ฉันแนะนำว่าอย่าลงทุนในคริปโตเลยดีกว่า นอกจากการเก็งกำไรและการฟอกเงินแล้ว ก็ยากจะหาคุณค่าที่แท้จริง และยังมีความเสี่ยงสูงมาก