การโจมตีด้วยการสวมซิมคืออะไร

การโจมตีด้วยการสวมซิมจะปรับเปลี่ยนกระบวนการโอนย้ายหมายเลขโทรศัพท์ระหว่างเครือข่ายของผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่กับโมดูลระบุผู้สมัครใช้บริการ (ซิม) เพื่อให้ระบบส่งข้อความ SMS ที่เดิมทีตั้งใจจะส่งให้ผู้ตกเป็นเหยื่อไปยังมิจฉาชีพแทน หากคุณใช้ SMS ในการตรวจสอบสิทธิ์แบบ 2 ขั้นตอนที่ Stripe มิจฉาชีพก็อาจใช้วิธีนี้ในการรับรหัสตรวจสอบยืนยัน จนทำให้เข้าถึงบัญชีของคุณได้

ซิมการ์ดมีหลักการทำงานอย่างไร

ผู้ให้บริการจะแจกจ่ายซิมการ์ดให้ลูกค้าที่ใช้โทรศัพท์มือถือทุกคน และจะต้องเสียบเข้าไปในโทรศัพท์เพื่อใช้ระบุตัวตนของลูกค้ารายนั้นๆ โดยหมายเลขโทรศัพท์แต่ละหมายเลขจะชี้ไปยังซิมเดียวเท่านั้น เมื่อไม่นานมานี้ มีการเปิดตัวซิมอิเล็กทรอนิกส์ (eSIM) เพื่อให้ไม่ต้องใช้ซิมการ์ดจริง แต่ก็ยังใช้งานได้เหมือนเดิม

ผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่สามารถเปลี่ยนปลายทางของหมายเลขโทรศัพท์มือถือได้ ความสามารถนี้เป็นสิ่งจำเป็น เพื่อให้คุณสามารถใช้หมายเลขโทรศัพท์เดิมต่อไปได้ ในกรณีที่คุณทำโทรศัพท์ของตนเองหาย หรือกรณีที่ซิมการ์ดเสียหายหรือไม่สามารถใช้งานได้ ซึ่งหมายความว่าพนักงานของผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่ก็จะมีอำนาจในการทำการเปลี่ยนแปลงนี้ด้วย

นอกจากนี้ ในหลายๆ ประเทศ กฎหมายก็ยังกำหนดด้วยว่าลูกค้าสามารถเปลี่ยนผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่ได้อย่างอิสระ การดำเนินการนี้ช่วยส่งเสริมการแข่งขันที่ส่งผลดีต่อผู้บริโภค ทั้งยังหมายความว่าผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่จะตรวจสอบยืนยันโดยใช้ขั้นตอนที่น้อยที่สุดก่อนจะอนุญาตให้หมายเลขโทรศัพท์ย้ายไปใช้ผู้ให้บริการรายอื่น ซึ่งตามปกติแล้วจะออกซิมใหม่ให้

การโจมตีด้วยการสวมซิมมีหลักการอย่างไร

การโจมตีดังกล่าวสามารถทำได้หลายวิธีดังต่อไปนี้ ซึ่งล้วนแล้วจะให้ผลลัพธ์สุดท้ายเช่นเดียวกัน

  1. มิจฉาชีพแสร้งว่าเป็นคุณและติดต่อผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่ของคุณ จากนั้นบอกว่าคุณทำโทรศัพท์หาย มิจฉาชีพโน้มน้าวผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่ให้เชื่อว่าเป็นคุณ และขอให้ผู้ให้บริการรายดังกล่าวออกซิมการ์ดทดแทนให้
  2. มิจฉาชีพแสร้งว่าเป็นคุณและติดต่อผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่รายอื่น จากนั้นบอกว่าคุณต้องการเปลี่ยนไปใช้บริการของผู้ให้บริการรายใหม่ ผู้ให้บริการรายใหม่จะขอให้ผู้ให้บริการรายเดิมยืนยันการย้ายค่าย และมิจฉาชีพจะโน้มน้าวผู้ให้บริการรายนั้นๆ จนผู้ให้บริการรายใหม่ยอมออกซิมการ์ดให้ หรือ
  3. ติดสินบนพนักงานของผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่ให้ทำการเปลี่ยนแปลงปลายทางของหมายเลขโทรศัพท์ของคุณไปยังซิมของมิจฉาชีพ

ในทุกกรณี มิจฉาชีพจะได้รับซิมการ์ดที่จะได้รับ SMS รวมถึงสายโทรเข้าสำหรับหมายเลขโทรศัพท์ของคุณ ในขณะที่โทรศัพท์ที่คุณใช้งานอยู่หยุดทำงาน

ฉันจะป้องกันไม่ให้ตนเองถูกโจมตีด้วยการสวมซิมได้อย่างไร

โดยทั่วไปแล้ว ในปัจจุบันยังไม่มีวิธีป้องกันไม่ให้ถูกโจมตีด้วยการสวมซิม เนื่องจากมีบุคคลที่สามเข้ามาเกี่ยวข้อง วิธีเดียวที่จะสามารถปกป้องตัวเองจากผลลัพธ์ที่เป็นอันตรายได้ก็คือเลิกใช้ข้อความ SMS ในการตรวจสอบสิทธิ์แบบ 2 ขั้นตอน

ตราบใดที่คุณยังใช้งาน SMS ในการตรวจสอบสิทธิ์แบบ 2 ขั้นตอน บัญชีของคุณก็จะยังคงตกอยู่ในความเสี่ยง คุณควรใช้งานวิธีอื่นในการตรวจสอบสิทธิ์แบบ 2 ขั้นตอน เช่น แอปตรวจสอบสิทธิ์หรือคีย์ความปลอดภัยแบบฮาร์ดแวร์ แล้วจึงเลิกใช้ SMS