วิธีป้องกันตัวเองจากการโจมตีด้วยการสลับซิม

การแลกเปลี่ยนซิมคืออะไร?

การสลับซิมคือเวลาที่แฮ็กเกอร์เกลี้ยกล่อมผู้ให้บริการโทรศัพท์มือถือของคุณให้เปลี่ยนหมายเลขโทรศัพท์ของคุณเป็นซิมอื่น ซึ่งเป็นของที่พวกเขาเป็นเจ้าของ

นี่เป็นเรื่องปกติที่พนักงานขายปลีกต้องทำ ซึ่งหมายความว่ามีคนขอแลกเปลี่ยนไม่ขึ้นสถานะสีแดง (ลองนึกภาพว่าคุณซื้อโทรศัพท์เครื่องอื่นและตอนนี้จำเป็นต้องเปลี่ยนตำแหน่งบริการมือถือของคุณ เพื่อให้คุณสามารถรับข้อความ/สายเรียกเข้าในอุปกรณ์เครื่องใหม่ของคุณต่อไปได้)  

ไม่จำเป็นต้องให้แฮ็กเกอร์มีความรู้ด้านเทคนิค เพียงแค่มีซิมการ์ดและโทรศัพท์หาผู้ให้บริการของคุณ อยากรู้ว่าง่ายแค่ไหน? ดูวิดีโอของผู้หญิงคนหนึ่งที่บุกรุกบัญชีผู้ให้บริการโทรศัพท์ของใครบางคนภายใน 2 นาที

แม้ว่าผู้ให้บริการโทรศัพท์จะตระหนักดีว่าการกระทำที่พวกเขาถูกขอให้ทำนั้นเป็นเรื่องผิดปกติ แต่บ่อยครั้งที่แฮ็กเกอร์จะติดสินบนตัวแทนฝ่ายบริการลูกค้าด้วยมูลค่าสูงถึง $100 ต่อการแลกเปลี่ยน (ซึ่งเป็นสิ่งจูงใจมหาศาลสำหรับพนักงานที่ทำเงินได้ ~$10/ชั่วโมง) รับทำ SEO

เมื่อสลับเสร็จแล้ว เป็นการย้อนกลับยากมาก เนื่องจากโทรศัพท์ของคุณจะไม่ทำงานอีกต่อไป นอกจากนี้ คุณอาจจะต้องติดต่อผู้ให้บริการของคุณด้วยตนเองเพื่อพิสูจน์ว่าการแลกเปลี่ยนนั้นไม่ถูกต้อง และคุณเป็นเจ้าของบัญชี

นอกจากนี้ แฮ็กเกอร์สามารถสกัดกั้นการโทรและข้อความทั้งหมดของคุณได้ จนกว่าคุณจะทำสิ่งนี้ได้ รวมถึงรหัสการตรวจสอบสิทธิ์ทาง SMS สำหรับ 2FA และตัวเลือกการรีเซ็ตรหัสผ่านแบบข้อความ การทำเช่นนี้อาจทำให้ผู้โจมตีเข้าถึงบัญชีออนไลน์ของคุณ หรือแบล็กเมล์คุณด้วยข้อมูลที่รวบรวมได้จากข้อความและโทรศัพท์

เคยมีการแลกเปลี่ยนซิมเกิดขึ้นมาก่อนหรือไม่?

ใช่! นักเทคโนโลยีชั้นนำของ FTC ถูกแฮ็กด้วยวิธีนี้ในปี 2016รวมถึงบัญชี Instagramจำนวนหนึ่ง มีแม้กระทั่งวงแหวนอาชญากรรมทั้งหมดที่ทุ่มเทให้กับการแลกเปลี่ยนซิมเพื่อขาย instagram handle สำหรับ bitcoin เช่นเดียวกับกิจกรรมทางอาญาอื่น ๆ

ผู้โจมตี SIM swap สามารถทำอะไรได้อีก?

ผู้เสียหายรายหนึ่งรายงานว่าภายในหนึ่งชั่วโมง ชีวิตดิจิตอลทั้งหมดของฉันถูกทำลายลง อันดับแรก บัญชี Google ของฉันถูกยึดครอง จากนั้นจึงถูกลบ ถัดไป บัญชี Twitter ของฉันถูกบุกรุก และใช้เป็นแพลตฟอร์มเพื่อเผยแพร่ข้อความเหยียดผิวและเหยียดเพศ และที่แย่ที่สุดคือบัญชี AppleID ของฉันถูกเจาะเข้าไป และแฮ็กเกอร์ของฉันใช้มันเพื่อลบข้อมูลทั้งหมดบน iPhone, iPad และ MacBook จากระยะไกล [… ]ถ้าฉันสำรองข้อมูลบน MacBook ของฉันเป็นประจำ ฉันจะไม่ต้องกังวลกับการสูญเสียภาพถ่ายที่มีอายุมากกว่าหนึ่งปี ซึ่งครอบคลุมอายุการใช้งานทั้งหมดของลูกสาวของฉัน หรือเอกสารและอีเมลที่ ฉันไม่ได้เก็บไว้ในที่อื่น

หากหมายเลขโทรศัพท์ของคุณผูกติดอยู่กับบัญชีออนไลน์ใดๆ ก็ตาม แฮ็กเกอร์สามารถรีเซ็ตรหัสผ่านของคุณผ่านข้อความได้บ่อยครั้ง ซึ่งหมายความว่าขณะนี้แฮ็กเกอร์สามารถเข้าถึงบัญชีทั้งหมดของคุณได้

พวกเขาสามารถรีเซ็ตรหัสผ่านที่อยู่อีเมลหลักของคุณได้อย่างรวดเร็ว แล้วใช้ที่อยู่อีเมลนั้นเพื่อทริกเกอร์การรีเซ็ตรหัสผ่านสำหรับบัญชีอื่นๆ เช่น Amazon, ธนาคารออนไลน์, ไซต์โซเชียลมีเดีย และอื่นๆ

นี่คือตัวอย่างหนึ่ง ,“ 

ฝ่ายสนับสนุนด้านเทคนิคของ Apple ยืนยันกับฉันสองครั้งในช่วงสุดสัปดาห์ว่าสิ่งที่คุณต้องใช้เพื่อเข้าถึง AppleID ของผู้อื่นคือที่อยู่อีเมลที่เกี่ยวข้อง หมายเลขบัตรเครดิต ที่อยู่สำหรับการเรียกเก็บเงิน และตัวเลขสี่หลักสุดท้ายของบัตรเครดิตที่บันทึกไว้ ฉันชัดเจนมากเกี่ยวกับเรื่องนี้

ในระหว่างการโทรติดต่อฝ่ายสนับสนุนด้านเทคนิคครั้งที่สองของฉันที่ AppleCare ตัวแทนได้ยืนยันสิ่งนี้กับฉัน “นั่นคือทั้งหมดที่คุณต้องยืนยันอะไรบางอย่างกับเรา” เขากล่าว

ข้อมูลทั้งหมดนี้ค่อนข้างง่ายต่อการค้นหา โจมตีได้อย่างรวดเร็วสามารถมองขึ้นไปที่อยู่ในเว็บไซต์เช่น WhitePages และ Spokeo และมีบริการค้นหาอีเมลเฉพาะ

นอกจากนี้ Apple ยังต้องการหมายเลขบัตรเครดิต ไม่จำเป็นต้องเป็นหมายเลขที่อยู่ในไฟล์ ตัวเลข 4 หลักสุดท้ายของบัตรเครดิตในไฟล์นั้นยากกว่าเล็กน้อย แต่ก็แทบจะเป็นไปไม่ได้เลย

หากผู้โจมตีได้บุกรุกอีเมลหลักของคุณโดยการรีเซ็ตรหัสผ่าน พวกเขาสามารถใช้ข้อมูลนี้เพื่อรีเซ็ตการเข้าถึงบัญชี เช่น Amazon (ซึ่งแสดงตัวเลขสี่หลักสุดท้ายของบัตรเครดิตในไฟล์) แฮ็กเกอร์สามารถใช้ข้อมูลนี้เพื่อเข้าถึง AppleID ของคุณและรีเซ็ตรหัสผ่านของคุณ เช่นเดียวกับการเข้าถึงข้อมูลทั้งหมดของคุณบน iCloud

หากคุณเป็นเหมือนหลายๆ คน และคุณเก็บรหัสผ่านหรือข้อมูลส่วนตัวไว้ในโทรศัพท์ของคุณ (ในแอปโน้ต) หรือในข้อมูลสำรอง iCloud ของคุณ แฮ็กเกอร์จะสามารถเข้าถึงข้อมูลทั้งหมดนี้ได้แล้ว พวกเขาสามารถขโมยเพื่อจุดประสงค์ในการแบล็กเมล์หรือลบมันเพื่อ ‘lulz’ โดยทั่วไปแล้วข้อมูลนี้จะไม่สามารถกู้คืนได้

แต่ฉันไม่มีอะไรต้องปิดบัง!

นี่ไม่ใช่แค่ข้อมูลเท่านั้น แม้ว่าคนส่วนใหญ่จะไม่ชอบให้ทุกข้อความ อีเมล และรูปภาพที่พวกเขาเผยแพร่สู่สาธารณะ (หรือถูกลบ!)  

หลังจากการสลับซิม แฮกเกอร์สามารถสั่งซื้อจำนวนมากในบัญชี Amazon ของคุณ เจาะเข้าไปในบัญชีธนาคาร กระเป๋าเงินดิจิตอล หรือบัญชีเกษียณอายุ และล้างข้อมูลเหล่านั้น พวกเขายังสามารถจี้ไซต์โซเชียลมีเดียของคุณเพื่อเผยแพร่ข้อมูลที่บิดเบือน หรือดูขัดแย้งกับของคุณเอง

พวกเขาสามารถทำลายชีวิตออนไลน์ของคุณ แล้วเริ่มต้นที่เพื่อนและครอบครัวของคุณ บ่อยครั้งที่ผู้โจมตีจะใช้อีเมลของคุณ (ถูกบุกรุก) เพื่อเข้าถึงและฟิชชิ่งพวกเขา

บางส่วนนี้อาจย้อนกลับได้ ส่วนใหญ่มันไม่ใช่ เมื่อข้อมูลประจำตัวออนไลน์ของคุณถูกขโมย เป็นเรื่องยากมากที่จะพิสูจน์ให้แพลตฟอร์มออนไลน์ต่างๆ เห็นว่าคุณเป็นเจ้าของที่แท้จริง สิ่งนี้จะยิ่งยากขึ้นเมื่อคุณไม่ได้ควบคุมวิธีการตรวจสอบของแพลตฟอร์ม (เช่น บัญชีอีเมลหรือหมายเลขโทรศัพท์)

แต่ไม่มีใครพุ่งเป้ามาที่ฉัน!

สิ่งที่สำคัญที่สุดที่จะจำได้ว่านี่คือมักจะไม่ใช่การโจมตีที่ตรงเป้าหมายบนคุณ ไม่น่าเป็นไปได้ที่ใครจะพูดว่า ‘โอ้ เรามากำหนดเป้าหมายเฉพาะบุคคลนี้’ อย่างไรก็ตาม แฮกเกอร์อาจกำหนดเป้าหมายบัญชีโดยไม่ทราบว่าใครเป็นเจ้าของ

ตัวอย่างเช่น เป้าหมายทั่วไป ได้แก่ บัญชีสกุลเงินดิจิทัลหรือการจัดการโซเชียลมีเดียเฉพาะ (‘ตัวจัดการ OG’ เช่น ‘@awesome’ – การจัดการที่คุณจะต้องเป็นคนแรกในแพลตฟอร์มใดแพลตฟอร์มหนึ่งจึงจะสามารถรับสิทธิ์ได้)

จากนั้นแฮ็กเกอร์จะติดตามเจ้าของ เปลี่ยนซิม และรับสิ่งที่พวกเขาต้องการ สับนี้ต้องอยู่ในระดับต่ำของความซับซ้อนทางเทคนิคที่เวลาและเงินและเป็นอย่างมาก ที่ร่ำรวย (จับ OG ขายระหว่าง $ 500 $ 5000 ในแต่ละขณะดูดธนาคารหรือเกษียณอายุบัญชีสามารถสุทธิสูงถึงหลายพันดอลลาร์) ทำให้มันเป็นที่นิยมอย่างมากในหมู่แฮกเกอร์ .

แฮ็กเกอร์หลายคนในฟอรัมที่เน้นเรื่องการสลับซิมเป็นวัยรุ่น พวกเขามักจะไม่คิดถึงผลที่ตามมาในระยะยาวของการกระทำของพวกเขา และเพียงแค่แสวงหาความสนุกสนาน พวกเขาไม่ใช่นักแสดงที่มีเหตุมีผล และมักจะไม่ต้องคิดว่าเหยื่อของพวกเขาเป็นคนที่พวกเขากำลังทำลายชีวิตเพราะพวกเขาไม่เคยโต้ตอบกับพวกเขา

นอกจากนี้ยังเป็นการแฮ็คที่ยากมากในการดำเนินคดี การระบุแหล่งที่มาเป็นเรื่องยากมากที่จะตรวจสอบการโจมตีทางไซเบอร์ และการโจมตีปริมาณมากที่เกิดขึ้นทำให้การบังคับใช้กฎหมายตามทัน (โดยเฉพาะการบังคับใช้กฎหมายในท้องถิ่นซึ่งมักจะล้าหลังในความซับซ้อนทางเทคนิคและกฎหมายที่เกี่ยวข้องกับอาชญากรรมทางคอมพิวเตอร์)

ตัวแทนบังคับใช้กฎหมายรายหนึ่งตั้งข้อสังเกตว่า“ 

สำหรับจำนวนเงินที่ถูกขโมยไปและจำนวนคนที่รับมันได้สำเร็จ ตัวเลขดังกล่าวน่าจะเป็นประวัติศาสตร์” Tarazi กล่าว “เรากำลังพูดถึงเด็กอายุระหว่าง 19 ถึง 22 ปีที่สามารถขโมยเงินดิจิทัลได้หลายล้านดอลลาร์

ฉันหมายถึง ถ้ามีคนถูกปล้นเงิน 100,000 ดอลลาร์ นั่นถือเป็นคดีใหญ่ แต่ตอนนี้เรากำลังติดต่อกับคนที่ซื้อซิมการ์ด 99 เปอร์เซ็นต์จาก eBay เสียบมันเข้ากับโทรศัพท์ราคาถูก โทรออก และขโมยเงินหลายล้านดอลลาร์ ที่น่าทึ่งมาก” –

คำแนะนำสำหรับทุกคนในการรักษาซิมของคุณให้ปลอดภัย

  • ใช้วิธีการของ 2FA อื่นที่ไม่ใช่ SMS เช่น แอป เช่น Google Authenticator หรือคีย์ฮาร์ดแวร์ เช่น YubiKey คุณควรใช้สิ่งนี้สำหรับไซต์ต่างๆ มากที่สุดเท่าที่เสนอ 2FA (อย่างน้อยที่สุด ควรใช้สำหรับที่อยู่อีเมลหลักของคุณ)
  • ใช้ตัวจัดการรหัสผ่าน
  • เพิ่ม PIN ลงในแผนโทรศัพท์มือถือของคุณ (ไม่ได้ผล 100% แต่ดีกว่าไม่ทำอะไรเลย) ผู้ให้บริการรายใหญ่ทั้งสี่รายในสหรัฐอเมริกาเสนอบริการนี้ ผู้ให้บริการหลายรายในแอฟริกา (รวมถึงในโมซัมบิก แอฟริกาใต้ เคนยา และไนจีเรีย) สหราชอาณาจักร และออสเตรเลียได้ดำเนินการป้องกันเพื่อให้ธนาคารตรวจสอบว่าลูกค้าได้เปลี่ยนซิมเมื่อทำธุรกรรมเมื่อเร็วๆ นี้หรือไม่ แลกซิมก็ปฏิเสธการทำรายการได้) สิ่งนี้จำกัดความเสียหายที่ผู้โจมตีสามารถทำได้ แต่ก็ยังฉลาดที่จะคอยระวังการโจมตีประเภทนี้
  • ดำเนินการทันทีหากคุณสังเกตเห็นว่าโทรศัพท์มือถือของคุณหยุดทำงาน โทรหาผู้ให้บริการโทรศัพท์มือถือของคุณบนอุปกรณ์อื่นและล็อกบัญชีของคุณทันที
  • ใช้บริการเช่น Privacy หรือ Blur ซึ่งมีบัตรเครดิต/เดบิตแบบใช้ครั้งเดียวสำหรับการซื้อ เพื่อหลีกเลี่ยงการเชื่อมโยงบัตรเครดิตใบเดียวกับหลายบัญชี

คำแนะนำเพิ่มเติมสำหรับเป้าหมายที่มีความเสี่ยงสูง:

  • ใช้คีย์ฮาร์ดแวร์สำหรับที่อยู่อีเมลหลักของคุณ และใช้ 2FA แบบแอปสำหรับบัญชีอื่นๆ เปิดใช้งาน 2FA สำหรับบัญชีมากที่สุดเท่าที่มีให้
  • หากคุณใช้ Gmail เป็นบัญชีอีเมลส่วนตัวหลัก ให้ลงทะเบียนในโปรแกรมการปกป้องขั้นสูง
  • อย่าเชื่อมโยงหมายเลขโทรศัพท์ของคุณกับบัญชีใด ๆ ซึ่งมักจะเปิดใช้งานการรีเซ็ตรหัสผ่านทางข้อความโดยไม่เตือนคุณ หากคุณต้องเพิ่มหมายเลขโทรศัพท์ในบัญชีของคุณ ให้ตั้งค่าหมายเลขโทรศัพท์แยกต่างหากด้วยบริการเช่น MySudo หรือ Google Voice อย่าใช้หมายเลขโทรศัพท์นั้นเพื่อสิ่งอื่นใด