Michael Terpin นักลงทุนด้านโทเค็นคริปโต และผู้ก่อตั้ง Transform Group บริษัทประชาสัมพันธ์ให้กับกลุ่ม ICO ต่างๆ ได้ยื่นฟ้อง AT&T ผู้ให้บริการโทรศัพท์ในสหรัฐฯ ที่ออกซิมใหม่ให้คนร้าย จนทำให้คนร้ายสามารถเข้าถึงบัญชีเงินคริปโตของเขาและขโมยโทเค็นออกไปได้มูลค่า 23.8 ล้านดอลลาร์ หรือประมาณ 800 ล้านบาท
คำฟ้องของ Terpin ระบุว่าเขาถูกขโมยหมายเลขโทรศัพท์ด้วยการออกซิมใหม่ถึงสองครั้งในระยะเวลาเพียง 7 เดือน โดยระบุว่าต้องมีพนักงานภายในรู้เห็นเพราะสามารถออกซิมใหม่ได้โดยไม่ตรวจบัตรประจำตัวหรือให้รหัสผ่านที่ถูกต้อง โดยเรียกค่าเสียหายจากการขโมย 23.8 ล้าดอลลาร์ และอีก 200 ล้านดอลลาร์สำหรับการลงโทษที่ AT&T ละเลยหน้าที่
คำฟ้องระบุถึงการขโมยเลขหมายสองครั้ง ครั้งแรกวันที่ 11 มิถุนายน 2017 คนร้ายสามารถเปลี่ยนรหัสผ่าน AT&T ของ Terpin ได้สำเร็จหลังพยายามเปลี่ยนรหัสผ่านในร้านถึง 11 ครั้ง หลังจากนั้นเขาได้พบกับเจ้าหน้าที่ของ AT&T ที่สัญญาว่าจะเพิ่มระดับความปลอดภัยให้เป็นพิเศษ โดยต้องระบุหมายเลขรหัส 6 หลักให้ถูกต้องเสมอแต่หลังจากนั้น เมื่อวันที่ 7 มกราคมที่ผ่านมา หมายเลขของ Terpin ก็ถูกขโมยอีกครั้งโดยพนักงานไม่ได้ตรวจสอบรหัสก่อนออกซิมใหม่ให้คนร้าย
อย่างไรก็ดี คำฟ้องไม่ได้ระบุว่าเข้าใช้บริการใดในการเก็บเงินคริปโต ที่ทำให้คนร้ายได้เพียงแค่หมายเลขโทรศัพท์ไปก็สามารถล็อกอินเข้าไปขโมยเงินได้ และไม่ระบุว่าเงินคริปโตหรือโทเค็นที่ถูกขโมยไปนั้นเป็นสกุลใดและปริมาณมากน้อยเพียงใด
การขโมย SMS สำหรับการยืนยันตัวตนด้วยการหลอกผู้ให้บริการโทรศัพท์ หรือร่วมมือกับพนักงานของบริษัทโทรศัพท์เองเพื่อออกซิมของเป้าหมายให้ (SIM fraud) เป็นภัยอย่างหนึ่งที่หนักขึ้นเรื่อยๆ ในช่วงหลัง นอกเหนือไปจากช่องโหว่ SS7 ของเครือข่ายโทรศัพท์มือถือที่เปิดช่องให้คนร้ายสามารถขโมย SMS จากระยะไกลได้ ประเทศไทยเองกรณี SIM fraud ก็เคยเกิดขึ้นมาแล้วเมื่อครั้งที่ลูกค้าธนาคารกสิกรไทยถูกขโมยเงินเมื่อปี 2016 โดยใช้บัตรประชาชนปลอมไปหลอกศูนย์บริการทรู
ตั้งแต่ปลายปีที่แล้ว กูเกิลเริ่มเป็นหัวหอกในการเปิดทางเลือกให้ไม่สามารถกู้คืนบัญชีด้วยหมายเลขโทรศัพท์อีกต่อไป โดย Advanced Protection Program จะให้กู้คืนบัญชีด้วยกุญแจ U2F ที่ต้องลงทะเบียนไว้อย่างน้อยสองตัวเท่านั้น
ที่มา - ThreatPost, US News
