Tags:
Node Thumbnail

Dmitry Kurbatov หัวหน้าฝ่ายความปลอดภัยการสื่อสารของ Positive Technologies ออกมาสาธิตการขโมยเงินในบัญชี Coinbase ด้วยการดักรับ SMS จากเครือข่าย SS7 แสดงให้เห็นว่าสุดท้ายแล้วบริการกระเป๋าเงินบิตคอยน์อย่าง Coinbase ก็ไปขึ้นกับ SMS ในท้ายที่สุด เมื่อแฮกเกอร์สามารถขโมย SMS ได้ก็จะสามารถขโมยบัญชีทีละอย่างจนได้เงินในกระเป๋าเงินไป

การแฮกเครือข่าย SS7 มีรายงานมาตั้งแต่ปี 2015 และจนตอนนี้ก็ยังไม่มีแนวทางแก้ไข เมื่อเดือนพฤษภาคมที่ผ่านมา O2-Telefonica รายงานว่ามีหมายเลขโทรศัพท์ของลูกค้าจำนวนหนึ่งถูกขโมย SMS เพื่อดึงเงินออกจากบัญชีธนาคาร นับเป็นการรายงานถึงการโจมตีผ่าน SS7 จริงจังครั้งแรกๆ

มาตรฐานการยืนยันตัวตน NIST SP 800-63 เวอร์ชั่นล่าสุดระบุว่าการใช้ SMS เพื่อยืนยันตัวตนจะต้องมีทางเลือกอื่นเสมอ พร้อมกับระบุความเสี่ยงให้กับผู้ใช้ ตัว Dmitry ที่สาธิตการแฮกครั้งนี้ก็ระบุว่าปัญหาของจีเมลเองคือยังไม่มีทางเลือกสำหรับผู้ใช้ ให้ไม่รับ SMS เพื่อการกู้บัญชี

ที่มา - TechCrunch

Get latest news from Blognone

Comments

By: topty
Contributor
on 19 September 2017 - 08:36 #1008423

รีเซ็ตรหัสจีเมลและบัญขีบิตคอยน์เพื่อขโมยเงิน

บัญขี => บัญชี

By: ReddevilboyZ
ContributoriPhoneAndroidWindows
on 19 September 2017 - 09:05 #1008431

ขอบคุณครับ

ผมนี่รีบเข้าไปเปลี่ยนจาก sms เป็น google authenticator แทนเลย
google prompt ก็ดูง่ายดี

https://myaccount.google.com/signinoptions/two-step-verification

By: horakung
iPhoneAndroidWindows
on 19 September 2017 - 11:44 #1008462 Reply to:1008431
horakung's picture

เข้าใจว่าปัญหาคือ ต่อให้ใช้ Auth ตอนนี้ก็ยังมีทางยังเลือกใช้ sms ได้อยู่ดี ซึ่งสำหรับในกรณีที่มือถือมีปัญหา แต่ในทางกลับกันก็โดนแฮคได้...