ธนาคารของเยอรมนีหลายราย ประกาศแผนการเลิกใช้ระบบยืนยันตัวตนแบบ OTP ผ่าน SMS เนื่องจากเป็นวิธีการยืนยันตัวตนที่ "ไม่ปลอดภัย" ซะแล้ว
การขยับตัวของธนาคารในเยอรมนี เป็นผลมาจากกฎหมาย Payment Services Directive (PSD) ของสหภาพยุโรปที่ออกในปี 2015 และมีผลบังคับใช้ในวันที่ 14 กันยายนปีนี้ ซึ่งกฎหมายระบุว่าธนาคารต้องใช้วิธีการยืนยันตัวตนที่ผ่านมาตรฐาน strong customer authentication (SCA) ที่แข็งแกร่งเพียงพอ
ตัวอย่างวิธีการยืนยันตัวตนที่ผ่านมาตรฐาน SCA คือ การใช้รหัสผ่าน, PIN, passphrase, การตอบคำถามที่อิงกับความรู้, การลากนิ้วเป็นเส้น
ส่วนวิธีการยืนยันตัวตนที่ไม่ผ่านมาตรฐานคือ การใช้ user name, email address, ข้อมูลบนบัตรเครดิต/เดบิต และการใช้รหัส OTP ที่ส่งผ่าน SMS
ภาพจาก Android Messages
เหตุผลที่การใช้รหัส OTP ผ่าน SMS ไม่ปลอดภัย เป็นเพราะที่ผ่านมา มีการขโมย SMS ผ่านเทคนิคต่างๆ เช่น SIM Swapping หรือวิธีพื้นฐานอย่าง social engineering โดยมาตรฐานการยืนยันตัวตนของ NIST ฝั่งอเมริกาก็จัดการยืนยันตัวตนผ่าน SMS อยู่ในกลุ่ม restricted ที่จำกัดการใช้งานเช่นกัน
ธนาคารที่ประกาศเรื่องนี้แล้วคือ Postbank, Raiffeisen Bank, Volksbank, Deutsche Bank, Commerzbank, Consorsbank โดยส่วนใหญ่จะย้ายไปใช้ระบบ token generator ที่ทำงานได้แบบออฟไลน์แทน
ที่มา - ZDNet
Comments
enginerring => engineering
ไม่ปลอดภัยเพียงพอ => ปลอดภัยไม่เพียงพอ
ถามจริงๆการขโมย SMS มีของ iOS บ้างมั้ยผมเห็นทดสอบแต่ละทีก็ทดสอบ Andriod ที่ส่ง SMS เผลอกด link ปุ๊บ โดนทันที
การขโมยข้อความ SMS ไม่จำเป็นต้องขึ้นกับ OS ครับ โดน SIM Swapping หรือช่องโหว่ SS7 ก็ทำให้ขโมย SMS ได้แล้ว
SIM Swapping นั่นในไทยก็มีแล้ว ที่ขอแจ้งทำซิมใหม่กับ true ดื้อๆเลย เจ้าของร้านประดับยนมั้ง
แต่ที่ผมจะถามคือไอ้แบบ กด sms แล้วโดนเลยต่างหาก อย่างในรายการ TheHacker ก็เทสแต่ android ทำไมไม่เอา iOS เครื่อง android เครื่อง มันเลยทำให้ผมคิดว่าระดับง่ายสุด Android มีโอกาสโดนมากกว่าน่ะสิครับ อันนี้เอาแค่ขั้นตอนที่มีแค่ hacker กับ เหลือก็พอครับ ไอ้ที่ต้องเกี่ยวของกับ Operator กับ ธนาคารตัดไปก่อน เพราะต้องติดต่อกับส่วนอื่นด้วยมันยากกว่า
https://www.youtube.com/watch?v=4hwMZ59IOsw
PS. ถ้าจะคุยมากกว่านี้ช่วย คุยใน facebook ของข่าวนี้ได้มั้ย ผมจะได้ไปตอบในนั้น ไม่ก็ยกตัวอย่างแนวๆนี้ แบบผู้ใช้ต้องกด link จาก sms แล้วติดเลย ของฝั่ง iOS ครับ
อันนั้นไม่เรียกว่า "กด SMS แล้วโดนเลย" นะครับ สิ่งที่เกิดขึ้นคือ
จริงๆ ก็เคยมีนะครับ ผู้ใช้ iOS พึงระวัง Masque Attack หากโดนหลอกให้ลงแอพแล้วอาจถูกล้วงทุกอย่างใน iPhone
ถ้ากดลิ้งก์แล้วโดนเลย ไม่น่าเกี่ยวกับ SMS แล้วครับ เข้าเว็บกดลิ้งก์ก็โดนได้เหมือนกัน
มีคนตอบไปข้างบนแล้วว่าการติดตั้งแอปโดยที่ผู้ใช้งานไม่รู้ตัวนี่ไม่น่าจะมี เอาจริงๆ แต่ตัวผู้ใช้งานรู้ตัวเพียงแต่ตอบคำถามใน pop-up ที่โผล่ขึ้นมาโดยไม่อ่าน แล้วนำไปสู่การติดตั้งอันนี้เจอกันเป็นประจำอยู่แล้ว โดยเว็บที่ไม่พึ่งประสงค์
โดยหากอ้างอิงจากย่อหน้าก่อน ประเด็นเรื่องกด link แล้วโดนติดตั้งแอป แล้วมีหน้ายืนยันอีก 1-2 ขั้นตอน ฝั่ง iOS มีเคสตัวอย่างก็คือการทำ jailbreak ผ่าน Safari ซึ่งอาศัย exploit บน Safari นั่นแหละครับ แน่นอนว่าสุดท้ายก็โดนปิดช่องทางนี้ในอัพเดทถัดไป (ซึ่งเป็นข้อดีที่ iOS ทำไว้ คือสามารถอัพเดทได้รวดเร็ว) แต่เคสนี้ก็แสดงให้เห็นว่าเพราะมันนำไปสู่การติดตั้งแอปนอก Store ได้ (เคส AppSnapp ที่ใช้การ jailbreak ในการติดตั้ง)
จากเคสในย่อหน้าที่สอง นั่นหมายความว่า การกด link ใดๆ ผ่านช่อง SMS ก็สามารถถูกติดตั้งแอปได้เช่นกับบน iOS ได้ หากไม่อ่านข้อมูลให้ดีๆ แบบเดียวกับ Android เพียงแต่ทำได้ยากกว่าและการอัพเดทเพื่อแก้ปัญหาดังกล่าวทำได้รวดเร็วกว่า Android (exploit ใหม่ๆ ที่ยังไม่เจออีกก็อาจจะนำไปสู่การทำแบบนี้ได้เช่นกัน)
แต่ทั้งหมดที่กล่าวมา การใช้วิธีส่ง link ผ่าน SMS แล้วแฮกเพื่อติดตั้งแอปใดๆ เป็นวิธีการขั้นสูง ที่ใช้ทรัพยากรในการแฮกสูงกว่าการทำ SIM Swapping นะ ในไทยคิดว่าการทำ SIM Swapping โดยความประมาทของผู้ให้บริการน่าจะเป็นเคสที่สร้างความเสียหายได้เยอะและหาทางป้องกันได้ยากกว่า เพราะผู้ใช้บริการไม่สามารถปกกันได้ด้วยตัวเอง แต่ต้องพึ่งพาหน่วยงานกำกับดูแล และผู้ให้บริการ
คิดถึงกระทู้นี้
จขกท หายไปเลย
ข้อดีสุดๆอย่างนึงของการใช้เบอร์โทรศัพท์ คือ เมื่อซิมหายแล้วก็ไปขอใหม่ได้
ยังไม่เคยเห็นวิธีไหนเลยที่มีฟีเจอร์แบบนี้
(ก็อาจจะมีเคสหน้าไม่เหมือนไปขอซิมใหม่บ้าง แต่ก็เป็นการโจมตีที่ต้องใช้ความพยายามพอสมควร)
ถ้ามองในแง่ความสะดวก (บางคนไม่ถนัดไอทีนะ เช่น กว่าอาม่าจะกด OTP เสร็จ เกิน 30 วิ รหัสเปลี่ยน, หรือดันลืม hardware key ไว้ที่บ้าน) เบอร์โทรศัพท์ก็ยังดูดีกว่าวิธีอื่น แค่ต้องเปลี่ยนจาก SMS เป็นอะไรสักอย่าง
RCS แบบข้ารหัส E2E แล้ว?
ข้อดีมันมาพร้อมข้อเสียใหญ่เลย เพราะจุดอ่อนของเบอร์โทรศัพท์อยู่ที่ผู้ให้บริการโทรศัพท์เนี่ยแหละ ถ้าตรวจสอบข้อมูลของผู้มาออก SIM ใหม่ไม่ดี จะกลายเป็น SIM Swapping ซึ่งมีเคสในไทยเริ่มเยอะขึ้นเรื่อยๆ
solution ทั้ง security key, hardware Timer OTP หรือแม้แต่ push confirm (หรือ powerless sign-in) เป็นการตัดตัวกลางที่คาดว่าจะมีช่องโหว่ออกไป 1 ตัวคือผู้ให้บริการตรงกลางซึ่งในกรณี SMS คือผู้ให้บริการโทรศัพท์ ซึ่งสามารถถูกฉ่อโกงจาก SIM Swapping, การร้องขอโดยรัฐในการดักฟังโดยรัฐเอง หรือช่องโหว่ดักฟัง SS7 เป็นต้น การเหลือเพียงผู้ให้บริการปลายทางและผู้ใช้บริการเพียง 2 จุด จะลดช่องว่างจุดนี้ไปได้เยอะมาก
otp มีทั้งแบบ time based และ counter based ครับ ฝั่ง time based เองก็ตั้งได้ว่าจะใช้ interval เท่าไหร่ รวมถึงปกติมันจะมีการเผื่อความผิดพลาดไว้ด้วย เช่น code เก่าอาจจะใช้ได้ไปอีก 1-2 นาทีอะไรแบบนี้
ปัญหาหลักของไทย คือไม่มีโทษทางอาญาฯ สำหรับผู้ให้บริการที่เลินเล่อในการออกซิม มีแค่ฟ้องทางแพ่งกรณีเกิดความเสียหาย
เรื่องเงินก็เรื่องนึง แต่ถ้าการสวมรอย swapping sim ไปใช้ในทางผิดกฎหมายในคดีร้ายแรง เช่นก่อการร้าย หรือ 112 แล้วเจ้าของซิมที่แท้จริงโดนคดีเหล่านี้ จนจบคดีความสมมติรอดมาได้ แต่ก็ต้องจำคุกในระหว่างกระบวนการ จะฟ้องผู้ให้บริการให้มีโทษทางอาญาฯได้ไหม?
มันย้อนแย้งในตัวเองว่า ซิม สามารถเป็นหลักฐานสำคัญในคดีอาญาฯที่มีบทลงโทษร้ายแรง แต่ไม่มีบทลงโทษกับผู้ให้บริการที่ออกซิม กรณีเลินเล่อหรือจงใจมีส่วนร่วม?
ที่สิงคโปร์ปีที่แล้วใช้ hardware token
ปีนี้เปลี่ยนมาใช้ SMS หรือ Software token เป็นหลัก