กระทรวงยุติธรรมแถลงการจับกุมและแจ้งข้อหาผู้ต้องหารวม 9 คนจากการร่วมกันออกซิมปลอม (SIM Swapping/SIM Hijacking) เพื่อขโมยเงินของเหยื่อ โดยคำฟ้องระบุว่ากลุ่มนี้สามารถโจมตีเหยื่อเพื่อขโมยเงินคริปโตได้สำเร็จ 7 ครั้ง รวมมูลค่าความเสียหาย 2.4 ล้านดอลลาร์หรือ 76 ล้านบาท
ผู้ต้องหา 6 คนเป็นกลุ่มแฮกเกอร์ที่ใช้ชื่อว่า The Community พยายามออกซิมด้วยวิธีการต่างๆ กันไป เช่น ปลอมตัวเป็นเจ้าของหมายเลขโทรศัพท์เพื่อหลอกล่อให้ผู้ให้บริการโทรศัพท์มือถือออกซิมใหม่ให้ ในบางกรณีก็ให้สินบนพนักงานของผู้ให้บริการโทรศัพท์มือถือเพื่อให้ออกซิมใหม่ โดยในการจับกุมครั้งนี้ก็มีอดีตพนักงานผู้ให้บริการถูกแจ้งข้อหาอีก 3 คน
บริการจำนวนมากมีการยืนยันตัวตนขั้นสุดท้ายอยู่ที่หมายเลขโทรศัพท์มือถือ เพราะสามารถรีเซ็ตรหัสผ่าน ขอรับรหัสผ่านสำหรับการล็อกอินสองขั้นตอน ในประเทศไทยเองก็เคยมีกรณีลูกค้าธนาคารกสิกรไทยถูกปลอมบัตรประชาชนเพื่อไปออกซิมมาแล้ว ตั้งแต่ปี 2016
การใช้หมายเลขโทรศัพท์มือถือเพื่อยืนยันตัวตนถูกมองว่าไม่ปลอดภัยขึ้นเรื่อยๆ ในช่วงเวลาหลายปีที่ผ่านมา จากรายงานการโจมตี SS7 ที่สามารถหลอกผู้ให้บริการโทรศัพท์ให้ส่ง SMS ไปยังเครื่องอื่น, การออกซิมปลอม, ไปจนถึงการหลอกผู้ใช้ให้ติดตั้งแอปในเครื่องเพื่อแอบดัก SMS ทางด้าน NIST ผู้ออกมาตรฐานความปลอดภัยก็ปรับปรุงมาตรฐานการยืนยันตัวตน ให้จำกัดการใช้งาน SMS มาตั้งแต่ปี 2017 โดยผู้ให้บริการต้องมีทางเลือกอื่นในการยืนยันตัวตนเสมอ และแจ้งผู้ใช้ว่า SMS มีความเสี่ยง
ที่มา - Department of Justice
Comments
ซิมเดียวน่าจะพอครับ
ลิงค์ย่อหน้าสุดท้ายไม่ขึ้น เพราะวงเล็บตัวท้ายใส่เป็นวงเล็บปิด