จากกรณี SMS Phishing หลอกเข้าบัญชีของ SCB และ ธนาคารกรุงศรีอยุธยา ทำให้สัปดาห์นี้ ธนาคารไทยหลายแห่งออกประกาศเตือนภัยเรื่อง SMS Phishing รวมถึงการหลอกผ่าน social media หรือแชทด้วยเช่นกัน

ตัวอย่างธนาคารอื่นที่เตือนภัยเรื่อง SMS Phishing ได้แก่ KBank, Krungthai, TMB/Thanachart, LH Bank เป็นต้น

ตัวแทนฝ่ายประชาสัมพันธ์ของธนาคารกสิกรไทย แจ้งกับ Blognone ว่ายังไม่พบความเสียหายเกิดขึ้นกับลูกค้าของ KBank โดยตรง จึงประกาศแจ้งเตือนล่วงหน้าเพื่อให้ลูกค้าตื่นตัวและระมัดระวังกันมากขึ้น

ธนาคารไทยพาณิชย์รายงานถึงการโจมตีของกลุ่มแฮกเกอร์ที่ส่ง SMS ล่อให้ลูกค้าเข้าเว็บ phishing เพื่อหลอกเอารหัสผ่านและ OTP สำหรับบริการแอป SCB Easy เพื่อไปขโมยเงิน โดยตอนนี้ทางธนาคารได้รับเรื่องร้องเรียนรวมกว่า 200 ราย คิดเงินความเสียหายรวมกว่า 30 ล้านบาท และธนาคารประกาศชดเชยความเสียหายทั้งหมด

ทางธนาคารงดบริการให้ลูกค้าติดตั้งแอปใหม่ด้วยตัวเองตั้งแต่สัปดาห์ที่แล้ว โดยระหว่างนี้หากต้องการติดตั้งแอปลงบนโทรศัพท์เครื่องใหม่จะต้องเดินทางไปยังสาขาธนาคารเสมอ

ทางธนาคารยังเตือนว่าไม่มีนโยบายส่งข้อความทั้ง LINE, SMS, หรืออีเมลล์ เพื่อขอข้อมูลส่วนตัวหรือรหัสผ่าน และขอให้ลูกค้าเพิ่มความระมัดระวัง

ที่มา - จดหมายข่าว SCB

Citizen Lab ออกรายงานถึงสินค้าของบริษัท Circles ผู้พัฒนาระบบแฮกเครือข่ายโทรศัพท์มือถือผ่านทางช่องโหว่โปรโตคอล SS7 ที่เปิดทางให้แฮกเกอร์สามารถดักฟังทั้งโทรศัพท์และข้อความ SMS ของเหยื่อได้ โดย Circles ระบุว่าบริษัทจะขายสินค้าให้กับรัฐเท่านั้น ไม่เปิดขายเอกชนทั่วไป รายงานระบุรายชื่อรัฐบาลที่ใช้งานสินค้าของ Circles ทั่วโลก รวมถึงรัฐบาลไทยที่มีกองทัพบกและตำรวจปราบปรามยาเสพติดใช้งาน

Alex Weinert ผู้อำนวยการฝ่าย Identity Security ของไมโครซอฟท์เขียนบล็อกถึงการยืนยันตัวตนผู้ใช้ที่ไม่ต้องอาศัยรหัสผ่านเพียงอย่างเดียว แต่อาศัยการล็อกอินหลายขั้นตอนที่ช่วยลดความเสี่ยงให้ผู้ใช้เป็นอย่างมาก แต่เขาแสดงถึงข้อเสียของการยืนยันตัวตนด้วยเครือข่ายโทรศัพท์ทั้งการโทรหาผู้ใช้และการส่ง SMS ว่ามีปัญหาหลายประการ เช่นการส่งข้อความยาวๆ ก็ทำได้ยาก หรือส่งในรูปแบบใหม่ๆ ก็ทำไม่ได้

Alex ชี้ปัญหาว่า SMS ยังไม่ได้ถูกเข้ารหัส แฮกเกอร์ที่เข้าถึงสวิตช์ของเครือข่ายได้ หรือดักฟังจากสัญญาณวิทยุเมื่ออยู่ในบริเวณเดียวกับผู้รับก็ทำได้ ไปจนถึงการโจมตีที่เครือข่าย SS7 ที่ทำให้แฮกเกอร์อยู่ห่างออกไปไกลมากๆ ก็ยังดักเอาข้อความได้ ไปจนถึงการหลอกพนักงานเครือข่ายโทรศัพท์ให้บอกข้อความล่าสุด

ช่วงสัปดาห์ที่ผ่านมามีวิดีโอจากกลุ่ม American Principles Project เผยแพร่ว่า Joe Biden ผู้สมัครท้าชิงประธานาธิบดีสหรัฐฯจากเดโมแครต สนับสนุนการแปลงเพศในเด็ก โดยใช้ฟุตเทจจากงานทาวน์ฮอลล์ของ ABC เมื่อวันที่ 15 ตุลาคม ซึ่งเป็นการนำคำพูดของ Biden มาบางส่วนทำให้เกิดความเข้าใจผิด จริงๆ แล้ว Biden พูดว่าเด็กข้ามเพศไม่ควรถูกเลือกปฏิบัติ แต่เขาไม่ได้บอกว่าเด็กมีสิทธิ์ในการแปลงเพศ

วิดีโอดังกล่าวก็เพผยแพร่ไปแล้วยังโซเชียลมีเดียหลักทั้ง Facebook และ Twitter มีคนรับชมไปแล้วกว่า 15,000 ครั้ง และมีวิดีโอที่คล้ายกันปรากฏบน Facebook มากถึง 100,000 ครั้งโดยส่วนใหญ่อยู่ในรัฐมิชิแกนซึ่งเป็น swing state นอกจากโซเชียลมีเดียแล้ว ข้อความและลิงค์วิดีโอยังถูกส่งไปยัง SMS ทางกลุ่ม American Principles Project ยังไม่ตอบข้อซักถามว่า ข้อความถูกส่งไปยังเบอร์โทรศัพท์ต่างๆ ได้อย่างไร เก็บข้อมูลเบอร์โทรมาจากไหน

เทคโนโลยี RCS ถูกกูเกิลผลักดันมาสักระยะหนึ่งแล้ว (ตั้งแต่ปี ค.ศ.2015) หลังกูเกิลเข้าซื้อ Jibe Mobile เพื่อผลักดันการส่งข้อความแบบ RCS บน Android โดยตั้งเป้าหมายจะมาแทน SMS และ MMS พร้อมเพิ่มฟีเจอร์แชทสมัยใหม่เข้าไป

Rich Communication Services (RCS) เป็นมาตรฐานการส่งข้อความแบบใหม่ที่มาแทน SMS โดยมีฟีเจอร์สมัยใหม่อย่างแชทกลุ่ม วิดีโอคอลล์ แชร์ไฟล์ ฯลฯ ความแตกต่างของ RCS กับแอพแชทในปัจจุบันคือ RCS สามารถคุยได้ข้ามโอเปอเรเตอร์-ข้ามค่าย (ถ้าหากโอเปอเรเตอร์รองรับ)

ผู้ใช้ในไทย สามารถใช้บริการ RCS ผ่านการติดตั้งแอป Messages for Android ได้แล้ววันนี้

เว็บไซต์ 9to5Google เผยรายละเอียดล่าสุดเกี่ยวกับแอป Messages ของ Google เวอร์ชัน 6.2 ว่ามีข้อมูลเกี่ยวกับการพัฒนา RCS แบบเข้ารหัส end-to-end

เทคโนโลยี RCS ถูกผลักดันโดย Google มาสักระยะหนึ่งแล้ว โดยตั้งเป้าหมายจะมาแทน SMS และ MMS พร้อมเพิ่มฟีเจอร์แชทสมัยใหม่เข้าไป แต่ก็ยังมีจุดอ่อนสำคัญคือ RCS ยังคงเป็นแชทไม่เข้ารหัสเหมือนกับ SMS ในขณะที่แอปแชทเข้ารหัสแบบ end-to-end ปัจจุบันมีให้เลือกจำนวนไม่น้อย ทำให้ Google ต้องพยายามหาโซลูชั่นแก้ไขข้อกังวลนี้ให้ได้

เมื่อต้นปี 2019 เราเห็นข่าว Google Play ห้ามแอพที่ขอสิทธิเข้าถึงบันทึกการโทรและ SMS โดยไม่จำเป็น โดยให้เหตุผลเรื่องความปลอดภัยและความเป็นส่วนตัว แต่ก็สร้างเสียงวิจารณ์ไม่น้อย

เวลาผ่านมาครบปี กูเกิลสรุปตัวเลขให้เห็นชัดๆ ว่าแอพที่ขอสิทธิการใช้งาน SMS และการโทร (call data) มีจำนวนลดลงถึง 98% โดย 2% ที่เหลือคือแอพที่ยังจำเป็นต้องใช้งานสิทธิเหล่านี้จริงๆ

กูเกิลยังให้ข้อมูลด้านความปลอดภัยอื่นๆ ของ Google Play ในปี 2019 ดังนี้

ทีมวิจัยจากมหาวิทยาลัยพรินซ์ตันเปิดเผยร่างรายงานวิจัยทดสอบความปลอดภัยของกระบวนการออกซิมโทรศัพท์มือถือใหม่ในสหรัฐฯ โดยทดสอบกับค่ายใหญ่ 3 ค่าย คือ T-Mobile, AT&T, และ Verizon และ MVNO อีก 2 ค่าย คือ Tracfone และ US Mobile พบว่าทั้งหมดล้วนไม่ปลอดภัยเพียงพอ

งานวิจัยใช้เบอร์โทรศัพท์ที่ทีมงานซื้อมาด้วยตัวเอง โดยสร้างตัวตนผู้ใช้ขึ้นมา 10 รายชื่อ สำหรับหมายเลขโทรศัพท์ 10 หมายเลข ระบุข้อมูล เช่น วันเกิด, ที่อยู่, อีเมล จากนั้นซื้อโทรศัพท์ 10 เครื่องจำลองเป็นเครื่องของเหยื่อ และอีก 10 เครื่องจำลองเป็นเครื่องของผู้โจมตี โดยไม่มีการใช้โทรศัพท์ซ้ำกันเลย โดยเครื่องของเหยื่อนั้นจะโทรเข้าออกเป็นระยะเวลาหนึ่งสัปดาห์เพื่อให้เหมือนหมายเลขที่มีการใช้งานจริง

SRLabs บริษัทวิจัยความปลอดภัยเครือข่ายโทรศัพท์มือถือที่เคยรายงานช่องโหว่ของ SMS มาตลอด แต่หลังจากมีกูเกิลผลักดันโปรโตคอล RCS ทาง SRLabs ก็พบว่าสภาพโดยรวมยังไม่ดีขึ้น โดยความปลอดภัยรวมพอๆ กับโปรโตคอลยุค 2G และโปรโตคอล SS7

วันนี้ สี่ค่ายมือถือขนาดใหญ่ของสหรัฐฯ คือ AT&T, Verizon, T-Mobile และ Spring ประกาศร่วมมือกันตั้งบริษัทร่วม Cross-Carrier Messaging Initiative (CCMI) เพื่อทำให้ค่ายโทรศัพท์เดินหน้านำเทคโนโลยีใหม่มาทดแทน SMS ในปัจจุบัน

เป้าหมายของ CCMI นี้คือการนำเทคโนโลยีส่งข้อความ RCS ซึ่งปัจจุบันมี Google เป็นผู้ผลักดันหลักมาใช้ในสมาร์ทโฟนภายในปี 2020

เมื่อกลางเดือนกันยายนที่ผ่านมา AdaptiveMobile Security บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงช่องโหว่ซอฟต์แวร์ในตัวซิมโทรศัพท์ ที่เปิดทางให้แฮกเกอร์ส่ง SMS เข้าไปรันโค้ดบนซิม ควบคุมการทำงาน เช่น การรายงานตำแหน่งโทรศัพท์ หรือการส่ง SMS แทนคนร้าย ล่าสุด Ginno Security Lab ก็แจ้งมายังเว็บไซต์ Hacker News ระบุว่านักวิจัยได้พบช่องโหว่แบบเดียวกันนี้บนซอฟต์แวร์อีกตัว คือ Wireless Internet Browser (WIB) ที่มีผู้ใช้นับร้อยล้านซิม

Google Voice มีบริการแปลงข้อความเสียงเป็นข้อความตัวอักษร แต่เพราะเป็นระบบอัตโนมัติจึงแปลงข้อความ robocall และส่ง SMS มาด้วย ทำให้เครือข่ายโทรศัพท์บล็อคข้อความเนื่องจากมองว่าเป็นสแปม

ล่าสุด Google ประกาศยยกเลิกฟีเจอร์แปลงข้อความเสียงเป็นข้อความตัวอักษรบน Google Voice แล้ว โดยมีกำหนดวันที่ 9 สิงหาคมนี้

ธนาคารของเยอรมนีหลายราย ประกาศแผนการเลิกใช้ระบบยืนยันตัวตนแบบ OTP ผ่าน SMS เนื่องจากเป็นวิธีการยืนยันตัวตนที่ "ไม่ปลอดภัย" ซะแล้ว

การขยับตัวของธนาคารในเยอรมนี เป็นผลมาจากกฎหมาย Payment Services Directive (PSD) ของสหภาพยุโรปที่ออกในปี 2015 และมีผลบังคับใช้ในวันที่ 14 กันยายนปีนี้ ซึ่งกฎหมายระบุว่าธนาคารต้องใช้วิธีการยืนยันตัวตนที่ผ่านมาตรฐาน strong customer authentication (SCA) ที่แข็งแกร่งเพียงพอ

ตัวอย่างวิธีการยืนยันตัวตนที่ผ่านมาตรฐาน SCA คือ การใช้รหัสผ่าน, PIN, passphrase, การตอบคำถามที่อิงกับความรู้, การลากนิ้วเป็นเส้น

ส่วนวิธีการยืนยันตัวตนที่ไม่ผ่านมาตรฐานคือ การใช้ user name, email address, ข้อมูลบนบัตรเครดิต/เดบิต และการใช้รหัส OTP ที่ส่งผ่าน SMS

Facebook ได้ปล่อยเครื่องมือสำหรับนักพัฒนาชุดใหม่ของ WhatsApp แล้ว โดยมีฟีเจอร์ที่น่าสนใจรอบนี้คือการเปิดให้ WhatsApp ใช้เป็นเครื่องมือรับรหัสยืนยันตัวตน เป็นทางเลือกเพิ่มเติมจากการส่งผ่าน SMS

SDK ชุดใหม่ของ WhatsApp นี้ เป็นส่วนหนึ่งของ Account Kit สามารถนำใส่เข้าไปกับแอปบน iOS หรือ Android ได้ โดยนักพัฒนาจะรับเบอร์โทรศัพท์ และให้ผู้ใช้เลือกได้ว่าจะรับโค้ดยืนยันตัวตนผ่านทาง WhatsApp หรือ SMS หรือจะบังคับให้รับโค้ดจาก WhatsApp อย่างเดียวเลยก็ได้ โดย web SDK ของ WhatsApp มีฟีเจอร์นี้มาตั้งแต่ปลายปีที่แล้ว และเพิ่งจะปล่อยลงแอปมือถือตอนนี้

ช่องโหว่ในโปรโตคอล Signalling System No. 7 (SS7) ที่ใช้ดัก SMS มีรายงานและการสาธิตกันมาหลายปีและหลายครั้งแล้ว โดยถึงแม้ข่าวการโจมตีผ่านทาง SS7 อาจจะดูเงียบๆ แต่เว็บไซต์ Motherboard ก็ออกรายงานระบุว่ามีแฮกเกอร์ใช้วิธีนี้เยอะกว่าที่คิด และหลายธนาคารก็ตกเป็นเหยื่อแล้ว

ศูนย์ความมั่นคงปลอดภัยไซเบอร์สหราชอาณาจักร (National Cyber Security Centre - NCSC) ยืนยันว่ามีเหตุการแฮกบัญชีธนาคารด้วยการดักรับ SMS ที่ใช้ส่งรหัสสำหรับการล็อกอินสองขั้นตอนจริง โดยไม่ได้ระบุมีคดีมากน้อยเพียงใด แต่ก็ยืนยันว่าการใช้การล็อกอินสองขั้นตอนด้วย SMS ยังดีกว่าการล็อกอินด้วยรหัสผ่านอย่างเดียวมาก

G Suite ประกาศเตรียมยกเลิกฟีเจอร์เก่าแก่หนึ่งของ Google Calendar นั่นคือการแจ้งเตือนนัดหมายผ่าน SMS โดยคุณสมบัติดังกล่าวจะถูกนำออกไป มีผลกับผู้ใช้ G Suite ทุกคนตั้งแต่ 7 มกราคม 2019 เป็นต้นไป

กูเกิลแนะนำผู้ใช้ที่เดิมสะดวกรับการแจ้งเตือนผ่าน SMS ว่าให้เปลี่ยนมารับการแจ้งเตือนผ่านหน้าเว็บเบราว์เซอร์ หรือผ่านแอป Google Calendar ในมือถือ รวมทั้ง Google Calendar ยังส่งการแจ้งเตือนนัดหมายผ่านอีเมลอยู่แล้วด้วย

Google Calendar ยกเลิกคุณสมบัติ SMS สำหรับผู้ใช้ทั่วไปตั้งแต่ปี 2015 เนื่องจากความนิยมในสมาร์ทโฟนที่มากขึ้น แต่ยังเก็บไว้สำหรับผู้ใช้งานแบบเสียเงินมาจนถึงเดือนมกราคมปีหน้านั่นเอง

บริษัท Voxox ผู้ให้บริการสื่อสารที่มีสำนักงานอยู่ในรัฐแคลิฟอร์เนียถูกค้นพบว่าไม่ได้ล็อกรหัสผ่านเซิร์ฟเวอร์ฐานข้อมูลไว้ เปิดให้ใครก็ได้เข้าใช้งานและเก็บข้อความ SMS ได้ทันทีในระดับเกือบเรียลไทม์

Sébastien Kaul นักวิจัยความปลอดภัยระบุว่า เขาพบเซิร์ฟเวอร์นี้จาก Shodan เสิร์ชเอนจินที่ค้นหาฐานข้อมูลและอุปกรณ์ที่เข้าถึงได้จากสาธารณะ และเซิร์ฟเวอร์นี้ถูกผูกเข้ากับซับโดเมนของ Voxox ด้วย

หลายคนคงเคยเจอปัญหาเข้าเว็บไซต์บางแห่ง และถูกหลอกให้กรอกเบอร์มือถือ เพื่อสมัครบริการ SMS เสียเงินโดยไม่รู้ตัว แถมยังไม่สามารถพึ่งพาโอเปอเรเตอร์ให้แก้ปัญหานี้ให้เราได้มากนัก

กูเกิลจะช่วยแก้ปัญหานี้ใน Chrome เวอร์ชัน 71 โดย Chrome จะสแกนว่าหน้าเว็บนั้นๆ มีการให้ข้อมูลเรื่องค่าใช้จ่ายต่อผู้ใช้อย่างชัดเจนหรือไม่ หาก Chrome พิจารณาว่าเว็บไซต์นั้นพยายามหลอกให้ผู้ใช้เสียเงิน ก็จะบล็อคการแสดงผลเว็บนั้น ลักษณะเดียวกับเว็บไซต์ประสงค์ร้ายอื่นๆ

การแจ้งเตือนจะมีผลทั้งบนเดสก์ท็อป บนมือถือ และ Android WebView

ที่มา - Chromium Blog

กูเกิลเปิดตัวเว็บแอพ Android Messages ที่ใช้งานได้ผ่าน messages.android.com

ผู้ใช้ต้องติดตั้งแอพ Android Messages บนมือถือก่อน จากนั้นสแกน QR Code เพื่อเปิดใช้งานบนเว็บ ข้อความทั้งหมดจะถูกซิงก์จากมือถือมายังเวอร์ชันเว็บด้วย

นอกจากนี้ กูเกิลยังเพิ่มฟีเจอร์ใหม่ๆ ให้ Android Messages อย่างการส่งไฟล์ GIF, ฟีเจอร์ Smart Reply แบบเดียวกับ Gmail, พรีวิวลิงก์ที่ส่งผ่านแชท และฟีเจอร์แตะครั้งเดียวเพื่อก๊อปปี้ OTP จาก SMS ไปใช้ในแอพอื่นอีกทีหนึ่ง

ปัญหา SMS กินเงินเป็นปัญหาที่ผู้ใช้จำนวนมากเจอกัน (ผมเองเคยเจอกับตัวเมื่อปีที่แล้ว) ตอนนี้ทาง dtac ก็ออกมาตรการเพิ่มเติม

มาตรการในตอนนี้ได้แก่

3 ธันวาคม เมื่อ 25 ปีที่แล้ว Neil Papworth วิศวกรส่ง SMS เป็นครั้งแรกในโลกด้วยข้อความว่า "merry Christmas" ส่งจากคอมพิวเตอร์ไปยังโทรศัพท์มือถือของ Richard Jarvis ผู้จัดการ Vodafone ผ่านมา 25 ปี วิวัฒนาการการส่งข้อความเปลี่ยนไปมากทีเดียว

กูเกิล ปรับวิธีการยืนยันตัวตนแบบสองปัจจัย (2-Step Verification) จากเดิมที่ใช้ค่าดีฟอลต์เป็นการส่งโค้ดผ่าน SMS เปลี่ยนมาเป็นการยืนยันด้วยแอพบนมือถือแทน

ตอนนี้หลายคนที่ล็อกอินบัญชี Google Account น่าจะเคยเจอกับหน้าจอ Google Prompt บนมือถือ ที่ถามยืนยันเราว่าล็อกอินจากอุปกรณ์อื่นหรือไม่ ฟีเจอร์นี้เปิดใช้งานมาสักระยะหนึ่งแล้ว แต่เพิ่งกลายเป็นตัวเลือกหลัก (primary method) แทน SMS

ผู้ที่อยากใช้การยืนยันตัวตนด้วย SMS หรือกรอกโค้ดผ่าน Google Authenticator ยังใช้งานได้เหมือนเดิม ในข่าวนี้เปลี่ยนแค่ค่าดีฟอลต์สำหรับผู้ใช้ที่เพิ่งเปิดใช้ 2-Step Verification เท่านั้น ส่วนคนที่ใช้ 2-Step Verification อยู่แล้วก็จะใช้ค่าเดิมที่ตั้งไว้

Dmitry Kurbatov หัวหน้าฝ่ายความปลอดภัยการสื่อสารของ Positive Technologies ออกมาสาธิตการขโมยเงินในบัญชี Coinbase ด้วยการดักรับ SMS จากเครือข่าย SS7 แสดงให้เห็นว่าสุดท้ายแล้วบริการกระเป๋าเงินบิตคอยน์อย่าง Coinbase ก็ไปขึ้นกับ SMS ในท้ายที่สุด เมื่อแฮกเกอร์สามารถขโมย SMS ได้ก็จะสามารถขโมยบัญชีทีละอย่างจนได้เงินในกระเป๋าเงินไป

4 โอเปอเรเตอร์ใหญ่ของสหรัฐอเมริกาได้แก่ AT&T, Verizon, T-Mobile, Sprint ประกาศตั้งกลุ่ม Mobile Authentication Taskforce เพื่อวางมาตรฐานการยืนยันตัวตนผ่านอุปกรณ์พกพา

เป้าหมายของกลุ่มคือพัฒนาระบบยืนยันตัวตนด้วยอุปกรณ์พกพาที่ใช้แทน SMS (ซึ่ง NIST หน่วยงานด้านมาตรฐานอุตสาหกรรมของสหรัฐ แนะนำให้เลิกใช้) โดยแนวทางที่จะนำมาใช้แทนมีทั้งการตรวจสอบซิมการ์ด, พิกัดเครื่อง, การเชื่อมต่อกับโครงข่าย

ตอนนี้ทางกลุ่มยังไม่มีผลงานออกมา (เพิ่งประกาศตั้งกลุ่ม) โดยตั้งเป้าว่าจะออกผลงานในปี 2018