Wall Street Journal รายงานถึงกลุ่มอาชญากรในสหรัฐฯ เริ่มพุ่งเป้าโจมตีกลุ่มผู้ใช้ไอโฟนที่เที่ยวผับบาร์ เมื่อคนร้ายได้รหัสผ่านเครื่องแล้วจะโจมตีเหยื่อด้วยการเปลี่ยนรหัสผ่าน สั่งโอนเงินออกจากบัญชีเหยื่อ รวมถึงเปิดบัตรเครดิตในชื่อเหยื่อไปใช้งาน
ตำรวจเชื่อว่าอาชญากรทำงานเป็นกลุ่ม อาจจะมีคนเข้ามาชวนคุยและแอบมองรหัสผ่านเครื่อง หรืออาจจะมีคนแอบถ่ายรหัสผ่านจากด้านหลัง จากนั้นเมื่อสบโอกาสก็จะขโมยโทรศัพท์จากเหยื่อไปตรงๆ
คนร้ายรู้ดีว่าต้องเปลี่ยนรหัส iCloud ให้เร็วที่สุด เพื่อล็อกไม่ให้เจ้าของเครื่องตัวจริงเข้าไปล็อกโทรศัพท์ได้ โดยการเปลี่ยนรหัส iCloud นั้นต้องการเพียงรหัสเครื่องเพียงอย่างเดียว การใช้กุญแจ USB เพื่อป้องกันบัญชี Apple ID ก็ไม่ช่วยอะไร เพราะการเปลี่ยนรหัสผ่าน Apple ID บนไอโฟนยังคงต้องการเฉพาะรหัสผ่านเครื่องเท่านั้น
เมื่อได้บัญชี iCloud แล้วคนร้ายจะพยายามหาประโยชน์จากเหยื่อให้มากที่สุด ทั้งการโอนเงินออกจากบัญชีต่างๆ ที่มีแอปอยู่ในโทรศัพท์ คนร้ายเข้าเช็ครหัสผ่านที่เก็บไว้ใน iCloud Keychain บางกรณีคนร้ายถึงกับสั่งเปิดบัตรเครดิตเพิ่มเติมเพื่อหาเงินจากเหยื่อเพิ่ม ขณะที่เหยื่อไม่สามารถยืนยันตัวตนได้ เพราะบัญชีอยู่กับคนร้ายไปทั้งหมด
เฉพาะในนิวยอร์ค ตำรวจเชื่อว่าแก๊งเดียวที่อาละวาดอยู่ตอนนี้ก่อคดีรูปแบบนี้ไม่น้อยกว่า 30 คดีแล้ว และมีรายงานคดีแบบเดียวกันอีกนับร้อยคดี เมือง Minneapolis ตำรวจจับแก็งแบบเดียวกันที่ขโมยเงินจากเหยื่อกว่า 40 ราย เมืองใหญ่ๆ ในสหรัฐฯ และยุโรปเริ่มมีรายงานคดีแบบเดียวกัน
Wall Street Journal ระบุว่าเหยื่อส่วนใหญ่ได้รับเงินคืนจากธนาคารและผู้ออกบัตรเครดิต แต่บัญชี iCloud ที่คนร้ายยึดไปแล้วกลับไม่สามารถกู้คืนมาได้เหยื่อไม่สามารถดึงภาพที่อยู่ในบัญชีกลับมา แม้จะพยายามติดต่อแอปเปิลมานานหลายเดือนแล้วก็ตาม
โฆษกของแอปเปิลระบุว่าการเปิดใช้งาน Touch ID หรือ Face ID ช่วยลดความเสี่ยงที่คนร้ายจะแอบมองรหัสผ่านเครื่องได้ ขณะที่คำแนะนำของ Wall Street Journal ระบุว่า ควรตั้งรหัสผ่านเครื่องให้เดาได้ยากขึ้น หากเป็นตัวเลขตั้งให้ยาว หรือให้ดีก็ตั้งรหัสเป็นตัวอักษรร่วมด้วย รวมถึงอาจพิจารณาแยกรหัสผ่านของธนาคารต่างๆ ไว้กับแอปเก็บรหัสผ่านอื่นที่ไม่ใช่ Keychain เพื่อจำกัดความเสียหายในกรณีที่คนร้ายได้รหัสผ่านเครื่องและได้โทรศัพท์ไป
ที่มา - Wall Street Journal
หน้าจอเปลี่ยนรหัสผ่าน Apple ID ต้องใส่รหัสเดิม หรือรหัสผ่านเครื่องก็ได้เพื่อเปลี่ยนรหัสผ่าน
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- สรุปสาระสำคัญและของใหม่จาก Microsoft Ignite 2023 | Cloudnone Special EP
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
- สงคราม AI 2024: OpenAI ชิงปาดหน้า Google วันเดียว | Cloudnone EP.17
- Microsoft, Amazon, Google ประกาศตั้ง Data Center ในไทย แล้วไงต่อ | Cloudnone EP 16
- สงคราม GenAI บนคลาวด์ในปี 2024 ไปถึงไหนกันแล้ว | Cloudnone x AWS
Comments
ของแพงใช่ว่าจะดีไปตลอด
ไม่พบความเชื่อมโยง…
ของแพงไม่จำเป็นต้องดี 🤣🤣🤣
ห้ะ whyyyy
ผมเสนอพาดหัวข่าวเพิ่มเป็น "แอบมองเธออยู่นะจ๊ะ"
หรือมันเก่าไปแล้วครับ 😅
ยังต้องพิมพ์รหัสเพื่อเข้าเครื่องอยู่เหรอ
อันนี้ เครื่องไม่ผิด ผิดที่ user เต็ม ๆ
แต่ความน่ากลัวอีกอย่างคือ ทุกอย่าง ยืนยันตัวตนด้วยโทรศัพท์จนเข้าไปแก้ไขอะไรไม่ได้นี่หนักกว่า
แต่ก็ตามที่ apple บอกนั่นละครับ biometric ปลอดภัยกว่าจริง ๆ
แอบมองให้ตายยังไง ก็สแกนนิ้วไม่ได้ ต้องทำอะไรยุ่งยากกว่านั้นเยอะ
ไม่ใช่แค่ป้อน pin ไม่กี่หลัก
เห็นในพันทิพ มีคนมาตั้งกระทู้ บอกว่า แอพธนาคาร สแกนนิ้ว สแกนหน้าไม่ปลอดภัย
ป้อน pin ปลอดภัยกว่า
เพราะบอกว่าสแกนนิ้วตอนหลับ เอานิ้วไปสแกนได้ เจอข่าวนี้เข้าไป คิดใหม่ละกัน ว่าอะไรปลอดภัยกว่า ป้อนพิน มีคนมาทำอย่างในข่าว ก็เน่าแล้ว
คนที่นอนหลับ แล้วมีคนเข้าถึงตัว ปลดล็อคโทรศัพท์ได้ พร้อมสแกนนิ้วเข้าแอพธนาคารได้ โดยไม่รู้สึกตัวเนี่ย
คนร้ายย่องเข้ามาขนของไปจนหมด ก็ยังไม่รู้ตัวเลยมั้ง
เช่นเดียวกับ Android ที่บอกว่า user ไปลงแอปนอก store หรืออนุญาตสิทธิ์ Accessibility เองนั่นล่ะครับ
เราอาจจะไม่เถียงว่าเป็นความผิด user แต่มันควรตั้งคำถามว่า platform ทำอะไรได้มากกว่านี้ไหม
lewcpe.com, @wasonliw
เครื่องวางอยู่บนโต๊ะ บางครั้งก็ขี้เกียจยกขึ้นมาสแกนหน้า ใส่ pin ง่ายกว่า ถ้ายังมี touch id ยังแตะปลดล๊อคได้
biometric ปลอดภัยกว่า แต่ระบบมีบังคับใส่ PIN ทุก 36 ชั่วโมงไม่ใช่เหรอครับ? หรือยกเลิกไปแล้วนะ?
อ่า... คือเมื่อวานเห็นข่าวใน YouTube แล้วก็ลองเทสต์ดู อยากจะบอกว่าในฝั่ง Android/Google ก็สามมารถเปลี่ยนรหัสผ่านโดยใช้เฉพาะตัวเครื่อง + รหัสผ่านปลดล็อคเครื่องเหมือนกัน (ใช้วิธีรีเซ็ทรหัสผ่าน) แม้ว่าจะเป็น 2 Factor Authentication แล้วก็ตาม (และนั่นขนาดผมเซ็ท security key แล้วนะ!)
วิธีแก้อาจจะต้องทำยังไงให้ปิด Google prompt คือในลักษณะของเวลาล็อกอินแล้วกด Yes/No บนเครื่องอะ ซึ่งผมหาไม่เจอ ลองแล้ว
ผมเช็คดู Google ระบุว่า "อาจจะ" ถามรหัสแฮะ เครื่องผมเองตอนทดสอบนี่บังคับใส่รหัสทันทีเลย
แต่ลบประโยคที่บอกว่า Android ต้องการหัสออกครับ ไว้หาเจอว่าเงื่อนไขไหนแล้วจะใส่ไปใหม่อีกที
lewcpe.com, @wasonliw
มันถามครับ แต่ผมสามารถกด "หากลืมรหัสผ่าน" แล้วเลือก "ยืนยันการล็อกหน้าจอของคุณ" (ใส่รหัสล็อคหน้าจอ) + "แตะใช่บนโทรศัพท์หรือแท็บเล็ต" (แล้วมันก็ให้ผ่านเลย) แล้วก็ตั้งรหัสผ่านใหม่ได้เลยเหมือนกัน
เอ๊า
อ่อ แบบนั้นถ้าคนล็อกอื่นด้วยกระบวนการอื่น ที่ไม่อนุญาตให้กดจาก Noti ได้ก็ไม่น่าจะ reset ได้
lewcpe.com, @wasonliw
โอย แต่ละเจ้า orz
อย่างน้อยๆก็ควรตั้งรหัสพินเครื่องกับรหัสพินธนาคารให้ไม่เหมือนกัน และผมไม่เก็บรหัสผ่านไว้ใน icloud แน่นอน
ต่างจากไทยมากๆ ตรงที่ตำรวจไปสืบให้
ใช้รหัสเกิน 10 ตัวครับ มีอักขระด้วย ดูได้ก็ดูไป
แต่เวลาขับรถแล้ว Face id หยุดทำงาน บังคับให้ใช้ Passcode นี่อย่างหงุดหงิดครับ..
แต่ยังไงก็ทนใช้พาสยาวต่อไป เพราะธุรกรรมการเงินอยู่ในนั้น
รหัสเครื่อง => รหัสผ่านเครื่อง
ในไทยมีข่าวรายงานสรุปการสืบสวนอะไรแบบนี้ไหมครับ?
ผมไม่ได้ตามข่าวจริงจังอะไร แต่ข่าวที่ผมเห็นตามฟีดส่วนใหญ่ก็มีแต่ไปสัมภาษณ์เหยื่อแล้วก็มาคาดเดาวิเคราะห์กันไปเรื่อยว่าโดนแบบนั้นแบบนี้แต่ไม่ค่อยเห็นมีข่าวสรุปผลการสืบสวนว่าจริงๆแล้ววิธีการที่เหยื่อโดนเป็นแบบไหนกันแน่เท่าไหร่
อย่างเรื่อง accessibility ที่เป็นข่าวกันเนี่ย ผมก็แอบสงสัยเหมือนกันนะว่าคนโดนมันเยอะจนถึงขั้นต้องยอมให้คนอื่นใช้ชีวิตลำบากแทนเลยเหรอ เห็นบางคอมเมนต์เคลมว่าทำเพื่อปกป้องคนไทยส่วนใหญ่หลายสิบล้านคนเลย (ส่วนตัวผมคิดว่าคนที่ไม่ประสีประสาเนี่ย การลงแอปแบบ sideload เองเนี่ยมันยากมากเลยนะ นอกจากจะติดต่อกับมิจฉาชีพตรงๆ ก็เลยคิดว่าคนที่โดนดูดเงินผ่านช่องโหว่นี้ไม่น่าจะมีเยอะขนาดนั้นนะ?)
เมืองไทยไม่มีหน่วยงานรวบรวมปริมาณครับ (อาจจะรวมกันอยู่ในแต่ละธนาคารแต่ไม่มีการแถลงข่าวตัวเลข)
สหรัฐฯ มี FBI รวบรวม ปีที่แล้วหมื่นล้านดอลลาร์ แต่ก็รวมๆ หลายประเภท ทั้ง call center, romance scam ฯลฯ
ส่วนตัวเชื่อว่าเมืองไทยก็หนักหนา เคสที่เป็นข่าวน่าจะเป็นแค่ส่วนน้อย
lewcpe.com, @wasonliw
ขอบคุณครับ
ถ้าตัวเลขของกรณีทั้งหมดผมก็ว่าไทยเราไม่น้อยแหละ แต่ส่วนตัวผมสนใจปริมาณของแต่ละวิธีการอย่างในข่าวนี้มากกว่าครับ เช่น มีเหยื่อโดนด้วยวิธี accessibility มากน้อยแค่ไหน อะไรทำนองนี้ครับ
ส่วนตัวคิดว่าตัวเลขพวกนี้ ธนาคารไม่น่าจะรู้ เพราะมันต้องสืบหาสาเหตุจริงๆด้วย น่าจะมาจากฝ่ายสืบสวนมากกว่า แต่ผมก็แทบไม่เคยเห็นข่าวสรุปผลการสืบสวนเลย ก็เลยสงสัย...
ต่อไปเวลาออกนอกบ้านต้องใช้ 2 ชั้น ปลดล็อคเครื่องวาด Pattern แล้วใช้ App Lock ใส่รหัส PIN เวลาจะเข้าแอพ
แลดูยุ่งยากดีใช้ชีวิตยุคนี้😂
Key ของเรื่องคือ Flow การ Reset Password เป็นจุดอ่อน,
เรื่องอื่นรองลงไป เช่น การตั้งรหัสไปซ้ำกับธนาคาร หรือการเก็บรหัสในคีย์เชน บลาๆ
เพราะพอมองตรงนี้แล้ว PIN สำคัญเกินกว่าตัวมันเองที่ควรจะเป็น ด้วยว่าคนร้ายเข้าถึงข้อมูลที่จำเป็นได้ทั้งหมด
ตราบที่การ Reset Password ยังอ้างอิงกับเมลล์หรือ หมายเลขโทรศัพท์ ไม่ว่าบริการไหนก็จบ
ใช่ครับ ตอนแฟนผมลืมรหัสผ่าน icloud ให้ผมไปทำให้ ใช้แค่พินก็รีเซทได้แล้ว ผมนี่อึ้งไปเลย
ถึงแม้ว่า Safety factor มันคือ ต้องมีเครื่องก็เถอะ แต่ก็นะ เหตุการณ์ในข่าวนี่ไง แล้วเอาจริง ๆ สแกนหน้าปลดล๊อกนี่มันผีเข้าผีออกมากนะ การสแกนไม่ติด ไม่ตรงมุม มันบ่อยมาก เพราะงั้นการใส่พินจึงเป็นเรื่องปกติไปเลย จนเราทำในที่สาธารณะแล้วไม่ค่อยคำนึงถึงความปลอดภัย
แอนดรอยด์ ส่วนใหญ่มี biomatric 2 แบบขึ้นไปทั้งนั้น สแกนหน้ากับสแกนนิ้ว ถึงแม้ว่าสแกนหน้าจะปลอดภัยไม่เท่า iOS แต่การหลอกเครื่องเรื่องสแกนหน้า กัยการแอบดูพิน แอบดูพินง่ายกว่าเยอะ
เอาจริงๆ ปลดล็อคเครื่องได้ ถึงแม่จะreset password ไม่ได้ ก็ชิบหายมากในระดับหนึงอยู่แล้ว
และถึงแม้จะreset passwordจากเครื่องโดยตรงไม่ได้ แค่คนร้ายเข้าถึงemailได้แล้วนี้ซิ แค่นี้ก็น่าจะทำได้ทุกอย่างแล้่ว
5555แอรดรอยด์ระบาดแล้วเงินหาย 5555กาก จริง
แต่ข่าวนี้ข่าว iPhone 🤔
555 ios ระบาดแล้วเงินหาย 555 กากจริงๆ
ระบบมันปลอดภัยแล้ว ทั้งดรอย ทั้งไอโอ แต่ต้องดูผู้ใช้
ใช่ครับ ผู้ใช้ต้องรู้เท่าทันสิ่งที่ตัวเองใช้ด้วย
จะบอกว่า เปลี่ยนรหัส icloud ควรใช้ password
แต่พอกด reset password mail ก็เด้งมาในโทรศัพท์อยู่ดี 😅
คิดวนไปวนมา การใช้ passcode ของโทรศัพท์ ก็ดีที่สุด ในขณะที่ยังสะดวกอยู่
สรุป เลิกไปที่อโคจร ผับ บาร์ กับ ระวังตัวไว้เสมอ น่าจะดีที่สุด
เดี๋ยวนี้ผมก็ทำได้เท่าที่ทำ แยกเบอร์ แยกเมล์ โทรศัพท์ก็มีสองเครื่อง แยกการใช้งานสำคัญกับไม่สำคัญออกจากกัน พวกเบอร์เก่าเมล์เก่าที่ใช้มาเป็นสิบๆปี ก็ยังใช้อยู่แต่ใช้กับพวกเรื่องทั่วไป อันไหนสำคัญก็แยกไปอีกอัน
เมื่อก่อนอีเมล์มันก็แค่อีเมล์ เบอร์โทรก็แค่เบอร์โทร แต่เดี๋ยวนี้ข้อมูลมันเชื่อมโยงกันเกินไป ข้อมูลหลุดทีนี้สยองมากยิ่งถ้ารวมทุกอย่างไว้ในที่เดียวนี้ไม่ต้องคิดเลย
โหดตรงชิงเครื่องจากเจ้าตัวนี่แหละ
อุกอาจมาก
การใช้งานที่ง่ายกับความปลอดภัยมันต้องสมดุลกันด้วย จากข่าวนี้ ถ้าปรับขั้นตอนให้มันเปลี่ยนพาสเวิดยากขึ้นไปอีก ความสะดวกและง่ายจะลดลงไปอีก
ปัญหาจากผู้ใช้บางกลุ่มที่มักง่าย ไม่ระวัง เอาประโยชน์ของตัวเองแต่พอต้องแลกมาด้วยความเสี่ยง พอดดนความเสี่ยงนั้นย้อนกลับมาหา เวลามีการแก้ปัญหาทีคนอื่นที่ใช้ระบบเดียวกันลำบากกันไปหมด
ฝั่งนึงโหลดแอปนอกสโตรทางการ ส่วนอีกฝั่งปล่อยให้คนที่เขาจ้องจเล่นคุณฉกมือถือไปหน้าด้านๆเลย คือ Touch ID หรือ Face ID มี ทำไมไม่ตั้ง จะบ้าตาย แค่นี้ระบบก็ซัพซ้อนมากพออยู่แล้ว สำหรับคนเปิดทุกการทำงานความปลอดภัยเวลากู้ข้อมูลนี่ก็หัวหมุนมากแล้วนะ
ดูตัวอย่าง App ธนาคารสิ แรกๆก็สะดวกกับมีความปลอดภัยระดับหนึ่ง หลังๆ มาจำกัดปิดไปทีละอย่างจนความปลอดภัยน่าจะสู้งสูงแต่ใช้ยากแถมก็ยังโดนเจาะอยู่อีก สนคนใช้ปกติที่ใช้ยากใช้เย็นเพราะเงื่อนไขเยอะก็จำใจใช้เพราะทางเลือกมีน้อยและโดนบีบขึ้นทุกปีทุกปีว่าทำอะไรต่างๆไม่ได้เพิ่มขึ้นเรื่อยๆทุกปี