การโจมตีด้วยการสวมซิมจะปรับเปลี่ยนกระบวนการโอนย้ายหมายเลขโทรศัพท์ระหว่างเครือข่ายของผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่กับโมดูลระบุผู้สมัครใช้บริการ (ซิม) เพื่อให้ระบบส่งข้อความที่เดิมทีตั้งใจจะส่งให้ผู้ตกเป็นเหยื่อไปยังมิจฉาชีพแทน หากคุณใช้ SMS ในการตรวจสอบสิทธิ์แบบ 2 ขั้นตอนใน Stripe มิจฉาชีพก็อาจใช้วิธีนี้ในการรับรหัสตรวจสอบยืนยัน จนทำให้เข้าถึงบัญชีของคุณได้

ซิมการ์ดมีหลักการทำงานอย่างไร

ผู้ให้บริการจะแจกจ่ายซิมการ์ดให้ลูกค้าที่ใช้โทรศัพท์มือถือทุกคน และจะต้องเสียบเข้าไปในโทรศัพท์เพื่อใช้ระบุตัวตนของลูกค้ารายนั้นๆ โดยหมายเลขโทรศัพท์แต่ละหมายเลขจะชี้ไปยังปลายทางที่ซิมเดียวเท่านั้น เมื่อไม่นานมานี้ มีการเปิดตัวซิมอิเล็กทรอนิกส์ (eSIM) เพื่อให้ไม่ต้องใช้ซิมการ์ดจริงแต่ก็ยังใช้งานได้เหมือนเดิม

ซึ่งผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่สามารถเปลี่ยนปลายทางของหมายเลขโทรศัพท์มือถือได้ ความสามารถนี้เป็นสิ่งจำเป็น เพื่อให้คุณสามารถใช้หมายเลขโทรศัพท์เดิมต่อไปได้ในกรณีที่คุณทำโทรศัพท์ของตนเองหาย หรือกรณีที่ซิมการ์ดเสียหายหรือไม่สามารถใช้งานได้ ซึ่งหมายความว่าพนักงานของผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่ก็จะมีอำนาจในการทำการเปลี่ยนแปลงนี้ด้วย

นอกจากนี้ ในหลายๆ ประเทศ กฎหมายก็ยังกำหนดด้วยว่าลูกค้าสามารถเปลี่ยนผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่ได้อย่างอิสระ การดำเนินการนี้ช่วยส่งเสริมการแข่งขันที่ส่งผลดีต่อผู้บริโภค แต่ก็หมายความว่าผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่จะตรวจสอบยืนยันโดยใช้ขั้นตอนที่น้อยที่สุดก่อนจะอนุญาตให้หมายเลขโทรศัพท์ย้ายไปใช้ผู้ให้บริการรายอื่น ซึ่งตามปกติแล้วจะออกซิมใหม่ให้

การโจมตีด้วยการสวมซิมมีหลักการอย่างไร

การโจมตีนี้สามารถทำได้หลายวิธีดังต่อไปนี้ ซึ่งล้วนมีผลลัพธ์สุดท้ายเช่นเดียวกัน

1. มิจฉาชีพแสร้งว่าเป็นคุณและติดต่อผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่ของคุณ จากนั้นบอกว่าคุณทำโทรศัพท์หาย มิจฉาชีพโน้มน้าวผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่ให้เชื่อว่าเป็นคุณ และขอให้ผู้ให้บริการรายดังกล่าวออกซิมการ์ดใหม่ให้
2. มิจฉาชีพแสร้งว่าเป็นคุณและติดต่อผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่รายอื่น จากนั้นบอกว่าคุณต้องการเปลี่ยนไปใช้บริการของผู้ให้บริการรายใหม่ ผู้ให้บริการรายใหม่จะขอให้ผู้ให้บริการรายเดิมยืนยันการย้ายค่าย และมิจฉาชีพจะโน้มน้าวผู้ให้บริการทั้งสองรายนั้น จนผู้ให้บริการรายใหม่ยอมออกซิมการ์ดให้ หรือ
3. ติดสินบนพนักงานของผู้ให้บริการเครือข่ายอุปกรณ์เคลื่อนที่ให้เปลี่ยนแปลงปลายทางของหมายเลขโทรศัพท์ของคุณไปยังซิมของมิจฉาชีพ

ไม่ว่าจะในกรณีใด มิจฉาชีพจะได้รับซิมการ์ดที่จะได้รับ SMS รวมถึงสายโทรเข้าสำหรับหมายเลขโทรศัพท์ของคุณ ในขณะที่โทรศัพท์ที่คุณใช้งานอยู่ก็จะใช้งานไม่ได้

ฉันจะป้องกันไม่ให้ตนเองถูกโจมตีด้วยการสวมซิมได้อย่างไร

โดยทั่วไปแล้ว ในปัจจุบันยังไม่มีวิธีป้องกันไม่ให้ถูกโจมตีด้วยการสวมซิม เนื่องจากมีบุคคลที่สามเข้ามาเกี่ยวข้อง วิธีเดียวที่จะปกป้องตัวเองจากผลลัพธ์ที่เป็นอันตรายได้ก็คือเลิกใช้ข้อความ SMS ในการตรวจสอบสิทธิ์แบบ 2 ขั้นตอน

ตราบใดที่คุณยังเปิดใช้งาน SMS ในการตรวจสอบสิทธิ์แบบ 2 ขั้นตอน บัญชีของคุณก็จะยังคงตกอยู่ในความเสี่ยง คุณควรใช้งานวิธีอื่นในการตรวจสอบสิทธิ์แบบ 2 ขั้นตอน เช่น แอปตรวจสอบสิทธิ์ หรือคีย์ความปลอดภัยแบบฮาร์ดแวร์ แล้วจึงปิดใช้งาน SMS