Tags:
Node Thumbnail

ธนาคารของเยอรมนีหลายราย ประกาศแผนการเลิกใช้ระบบยืนยันตัวตนแบบ OTP ผ่าน SMS เนื่องจากเป็นวิธีการยืนยันตัวตนที่ "ไม่ปลอดภัย" ซะแล้ว

การขยับตัวของธนาคารในเยอรมนี เป็นผลมาจากกฎหมาย Payment Services Directive (PSD) ของสหภาพยุโรปที่ออกในปี 2015 และมีผลบังคับใช้ในวันที่ 14 กันยายนปีนี้ ซึ่งกฎหมายระบุว่าธนาคารต้องใช้วิธีการยืนยันตัวตนที่ผ่านมาตรฐาน strong customer authentication (SCA) ที่แข็งแกร่งเพียงพอ

ตัวอย่างวิธีการยืนยันตัวตนที่ผ่านมาตรฐาน SCA คือ การใช้รหัสผ่าน, PIN, passphrase, การตอบคำถามที่อิงกับความรู้, การลากนิ้วเป็นเส้น

ส่วนวิธีการยืนยันตัวตนที่ไม่ผ่านมาตรฐานคือ การใช้ user name, email address, ข้อมูลบนบัตรเครดิต/เดบิต และการใช้รหัส OTP ที่ส่งผ่าน SMS

No Description
ภาพจาก Android Messages

เหตุผลที่การใช้รหัส OTP ผ่าน SMS ไม่ปลอดภัย เป็นเพราะที่ผ่านมา มีการขโมย SMS ผ่านเทคนิคต่างๆ เช่น SIM Swapping หรือวิธีพื้นฐานอย่าง social engineering โดยมาตรฐานการยืนยันตัวตนของ NIST ฝั่งอเมริกาก็จัดการยืนยันตัวตนผ่าน SMS อยู่ในกลุ่ม restricted ที่จำกัดการใช้งานเช่นกัน

ธนาคารที่ประกาศเรื่องนี้แล้วคือ Postbank, Raiffeisen Bank, Volksbank, Deutsche Bank, Commerzbank, Consorsbank โดยส่วนใหญ่จะย้ายไปใช้ระบบ token generator ที่ทำงานได้แบบออฟไลน์แทน

ที่มา - ZDNet

Get latest news from Blognone

Comments

By: panurat2000
ContributorSymbianUbuntuIn Love
on 13 July 2019 - 15:23 #1120027
panurat2000's picture

หรือวิธีพื้นฐานอย่าง social enginerring

enginerring => engineering

By: neenutna
ContributorAndroid
on 13 July 2019 - 19:09 #1120032 Reply to:1120027

ไม่ปลอดภัยเพียงพอ => ปลอดภัยไม่เพียงพอ

By: Bigkung
iPhoneWindows Phone
on 13 July 2019 - 19:32 #1120033
Bigkung's picture

ถามจริงๆการขโมย SMS มีของ iOS บ้างมั้ยผมเห็นทดสอบแต่ละทีก็ทดสอบ Andriod ที่ส่ง SMS เผลอกด link ปุ๊บ โดนทันที

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 13 July 2019 - 20:53 #1120036 Reply to:1120033
Ford AntiTrust's picture

การขโมยข้อความ SMS ไม่จำเป็นต้องขึ้นกับ OS ครับ โดน SIM Swapping หรือช่องโหว่ SS7 ก็ทำให้ขโมย SMS ได้แล้ว

By: Bigkung
iPhoneWindows Phone
on 14 July 2019 - 10:59 #1120055 Reply to:1120036
Bigkung's picture

SIM Swapping นั่นในไทยก็มีแล้ว ที่ขอแจ้งทำซิมใหม่กับ true ดื้อๆเลย เจ้าของร้านประดับยนมั้ง
แต่ที่ผมจะถามคือไอ้แบบ กด sms แล้วโดนเลยต่างหาก อย่างในรายการ TheHacker ก็เทสแต่ android ทำไมไม่เอา iOS เครื่อง android เครื่อง มันเลยทำให้ผมคิดว่าระดับง่ายสุด Android มีโอกาสโดนมากกว่าน่ะสิครับ อันนี้เอาแค่ขั้นตอนที่มีแค่ hacker กับ เหลือก็พอครับ ไอ้ที่ต้องเกี่ยวของกับ Operator กับ ธนาคารตัดไปก่อน เพราะต้องติดต่อกับส่วนอื่นด้วยมันยากกว่า
https://www.youtube.com/watch?v=4hwMZ59IOsw

PS. ถ้าจะคุยมากกว่านี้ช่วย คุยใน facebook ของข่าวนี้ได้มั้ย ผมจะได้ไปตอบในนั้น ไม่ก็ยกตัวอย่างแนวๆนี้ แบบผู้ใช้ต้องกด link จาก sms แล้วติดเลย ของฝั่ง iOS ครับ

By: hisoft
ContributorWindows PhoneWindows
on 14 July 2019 - 12:53 #1120060 Reply to:1120055
hisoft's picture

แต่ที่ผมจะถามคือไอ้แบบ กด sms แล้วโดนเลยต่างหาก

อันนั้นไม่เรียกว่า "กด SMS แล้วโดนเลย" นะครับ สิ่งที่เกิดขึ้นคือ

  • SMS เข้า มีลิงก์
  • กดลิงก์ เข้าเบราว์เซอร์ ดาวน์โหลดไฟล์
  • กดเปิดไฟล์ที่ดาวน์โหลดมา มีแจ้งเตือนความปลอดภัยจากการติดตั้งแอป
  • แจ้งว่าไม่สามารถติดตั้งได้เพราะความปลอดภัยไม่ยอมให้ติดตั้งแอปจากภายนอก ต้องไปตั้งค่าแยกต่างหากให้เครื่องยอมรับการติดตั้งไฟล์จากนอกสโตร์ได้ ตอนตั้งค่าขึ้นเตือนความปลอดภัยซ้ำอีกที
  • กลับมากดเปิดไฟล์อีกรอบ แจ้งเตือนความปลอดภัยอีกที

ไม่ก็ยกตัวอย่างแนวๆนี้ แบบผู้ใช้ต้องกด link จาก sms แล้วติดเลย ของฝั่ง iOS ครับ

จริงๆ ก็เคยมีนะครับ ผู้ใช้ iOS พึงระวัง Masque Attack หากโดนหลอกให้ลงแอพแล้วอาจถูกล้วงทุกอย่างใน iPhone

By: i3i4i5
ContributoriPhoneWindows
on 14 July 2019 - 13:03 #1120061 Reply to:1120055
i3i4i5's picture

ถ้ากดลิ้งก์แล้วโดนเลย ไม่น่าเกี่ยวกับ SMS แล้วครับ เข้าเว็บกดลิ้งก์ก็โดนได้เหมือนกัน


i6i7i8

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 15 July 2019 - 10:10 #1120108 Reply to:1120055
Ford AntiTrust's picture

มีคนตอบไปข้างบนแล้วว่าการติดตั้งแอปโดยที่ผู้ใช้งานไม่รู้ตัวนี่ไม่น่าจะมี เอาจริงๆ แต่ตัวผู้ใช้งานรู้ตัวเพียงแต่ตอบคำถามใน pop-up ที่โผล่ขึ้นมาโดยไม่อ่าน แล้วนำไปสู่การติดตั้งอันนี้เจอกันเป็นประจำอยู่แล้ว โดยเว็บที่ไม่พึ่งประสงค์

โดยหากอ้างอิงจากย่อหน้าก่อน ประเด็นเรื่องกด link แล้วโดนติดตั้งแอป แล้วมีหน้ายืนยันอีก 1-2 ขั้นตอน ฝั่ง iOS มีเคสตัวอย่างก็คือการทำ jailbreak ผ่าน Safari ซึ่งอาศัย exploit บน Safari นั่นแหละครับ แน่นอนว่าสุดท้ายก็โดนปิดช่องทางนี้ในอัพเดทถัดไป (ซึ่งเป็นข้อดีที่ iOS ทำไว้ คือสามารถอัพเดทได้รวดเร็ว) แต่เคสนี้ก็แสดงให้เห็นว่าเพราะมันนำไปสู่การติดตั้งแอปนอก Store ได้ (เคส AppSnapp ที่ใช้การ jailbreak ในการติดตั้ง)

จากเคสในย่อหน้าที่สอง นั่นหมายความว่า การกด link ใดๆ ผ่านช่อง SMS ก็สามารถถูกติดตั้งแอปได้เช่นกับบน iOS ได้ หากไม่อ่านข้อมูลให้ดีๆ แบบเดียวกับ Android เพียงแต่ทำได้ยากกว่าและการอัพเดทเพื่อแก้ปัญหาดังกล่าวทำได้รวดเร็วกว่า Android (exploit ใหม่ๆ ที่ยังไม่เจออีกก็อาจจะนำไปสู่การทำแบบนี้ได้เช่นกัน)

แต่ทั้งหมดที่กล่าวมา การใช้วิธีส่ง link ผ่าน SMS แล้วแฮกเพื่อติดตั้งแอปใดๆ เป็นวิธีการขั้นสูง ที่ใช้ทรัพยากรในการแฮกสูงกว่าการทำ SIM Swapping นะ ในไทยคิดว่าการทำ SIM Swapping โดยความประมาทของผู้ให้บริการน่าจะเป็นเคสที่สร้างความเสียหายได้เยอะและหาทางป้องกันได้ยากกว่า เพราะผู้ใช้บริการไม่สามารถปกกันได้ด้วยตัวเอง แต่ต้องพึ่งพาหน่วยงานกำกับดูแล และผู้ให้บริการ

By: Architec
ContributorWindows PhoneAndroidWindows
on 13 July 2019 - 20:58 #1120037

คิดถึงกระทู้นี้

https://pantip.com/topic/33856873

By: AMp
In Love
on 13 July 2019 - 21:40 #1120041 Reply to:1120037

จขกท หายไปเลย

By: PriteHome
ContributorAndroidWindows
on 13 July 2019 - 22:29 #1120046
PriteHome's picture

ข้อดีสุดๆอย่างนึงของการใช้เบอร์โทรศัพท์ คือ เมื่อซิมหายแล้วก็ไปขอใหม่ได้
ยังไม่เคยเห็นวิธีไหนเลยที่มีฟีเจอร์แบบนี้
(ก็อาจจะมีเคสหน้าไม่เหมือนไปขอซิมใหม่บ้าง แต่ก็เป็นการโจมตีที่ต้องใช้ความพยายามพอสมควร)

ถ้ามองในแง่ความสะดวก (บางคนไม่ถนัดไอทีนะ เช่น กว่าอาม่าจะกด OTP เสร็จ เกิน 30 วิ รหัสเปลี่ยน, หรือดันลืม hardware key ไว้ที่บ้าน) เบอร์โทรศัพท์ก็ยังดูดีกว่าวิธีอื่น แค่ต้องเปลี่ยนจาก SMS เป็นอะไรสักอย่าง

By: YF-01
AndroidUbuntu
on 13 July 2019 - 22:54 #1120048 Reply to:1120046

RCS แบบข้ารหัส E2E แล้ว?

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 13 July 2019 - 23:17 #1120049 Reply to:1120046
Ford AntiTrust's picture

ข้อดีมันมาพร้อมข้อเสียใหญ่เลย เพราะจุดอ่อนของเบอร์โทรศัพท์อยู่ที่ผู้ให้บริการโทรศัพท์เนี่ยแหละ ถ้าตรวจสอบข้อมูลของผู้มาออก SIM ใหม่ไม่ดี จะกลายเป็น SIM Swapping ซึ่งมีเคสในไทยเริ่มเยอะขึ้นเรื่อยๆ

solution ทั้ง security key, hardware Timer OTP หรือแม้แต่ push confirm (หรือ powerless sign-in) เป็นการตัดตัวกลางที่คาดว่าจะมีช่องโหว่ออกไป 1 ตัวคือผู้ให้บริการตรงกลางซึ่งในกรณี SMS คือผู้ให้บริการโทรศัพท์ ซึ่งสามารถถูกฉ่อโกงจาก SIM Swapping, การร้องขอโดยรัฐในการดักฟังโดยรัฐเอง หรือช่องโหว่ดักฟัง SS7 เป็นต้น การเหลือเพียงผู้ให้บริการปลายทางและผู้ใช้บริการเพียง 2 จุด จะลดช่องว่างจุดนี้ไปได้เยอะมาก

By: icez
ContributoriPhoneAndroidRed Hat
on 14 July 2019 - 19:02 #1120075 Reply to:1120046

otp มีทั้งแบบ time based และ counter based ครับ ฝั่ง time based เองก็ตั้งได้ว่าจะใช้ interval เท่าไหร่ รวมถึงปกติมันจะมีการเผื่อความผิดพลาดไว้ด้วย เช่น code เก่าอาจจะใช้ได้ไปอีก 1-2 นาทีอะไรแบบนี้

By: Fourpoint
Windows PhoneAndroidSymbian
on 14 July 2019 - 15:22 #1120071

ปัญหาหลักของไทย คือไม่มีโทษทางอาญาฯ สำหรับผู้ให้บริการที่เลินเล่อในการออกซิม มีแค่ฟ้องทางแพ่งกรณีเกิดความเสียหาย

เรื่องเงินก็เรื่องนึง แต่ถ้าการสวมรอย swapping sim ไปใช้ในทางผิดกฎหมายในคดีร้ายแรง เช่นก่อการร้าย หรือ 112 แล้วเจ้าของซิมที่แท้จริงโดนคดีเหล่านี้ จนจบคดีความสมมติรอดมาได้ แต่ก็ต้องจำคุกในระหว่างกระบวนการ จะฟ้องผู้ให้บริการให้มีโทษทางอาญาฯได้ไหม?

มันย้อนแย้งในตัวเองว่า ซิม สามารถเป็นหลักฐานสำคัญในคดีอาญาฯที่มีบทลงโทษร้ายแรง แต่ไม่มีบทลงโทษกับผู้ให้บริการที่ออกซิม กรณีเลินเล่อหรือจงใจมีส่วนร่วม?

By: parnunu
iPhoneAndroidWindows
on 15 July 2019 - 16:47 #1120166

ที่สิงคโปร์ปีที่แล้วใช้ hardware token
ปีนี้เปลี่ยนมาใช้ SMS หรือ Software token เป็นหลัก