U.S. Securities and Exchange Commission (SEC) หรือ ก.ล.ต.สหรัฐฯ ออกมายืนยันว่า บัญชี X หรือเดิมคือ Twitter ของหน่วยงานถูกแฮ็กด้วยวิธี Sim Swap นอกจากนี้หน่วยงานยังชี้แจงว่า บัญชี X ไม่มีการเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) 

งานนี้คงต้องย้อนกลับไปเมื่อวันที่ 9 มกราคมที่ผ่านมา เมื่อมีแฮ็กเกอร์รายหนึ่งทำการแฮ็กเข้าบัญชี @SECGov บน X ของ ก.ล.ต.สหรัฐฯ จากนั้นจึงทำการโพสต์ว่า หน่วยงานได้อนุมัติ Spot BitcoinETF เพื่อปั่นราคา Bitcoin 

หลังจากถูกแฮ็กบัญชีในครั้งนั้น 2 วันต่อมา SEC จึงเริ่มหาสาเหตุของการโดนเจาะระบบในครั้งนี้ ซึ่งสรุปออกมาได้ว่า อาจเป็นการโจมตีแบบ “Sim Swap” โดยให้รายละเอียดในแถลงการณ์ไว้ว่า มิจฉาชีพทำการหลอกล่อฝ่ายบริการลูกค้าให้โอนหมายเลขโทรศัพท์ไปที่มือถือเครื่องใหม่ เมื่อได้เบอร์โทรศัพท์แล้วจึงทำการรีเซ็ตรหัสผ่าน ของบัญชี @SECGov” อีกทั้งบัญชีบน X ก็ไม่ได้เปิดใช้งานการยืนยันแบบ MFA 

การโจมตีแบบ Sim Swap  คือ การที่มิจฉาชีพทำการล่อลวงให้ผู้ให้บริการเครือข่ายมือถือ ส่งซิมการ์ดอันใหม่มาให้ โดยใช้ข้อมูลส่วนตัวของเหยื่อและเมื่อได้รับซิมการ์ดแล้วก็จะเริ่มทำการเข้าถึงแอปต่าง ๆ ที่เหยื่อลงทะเบียนด้วยเบอร์โทรศัพท์ รวมไปถึงระบบยืนยันตัวตนต่าง ๆ ที่มีการทำธุรกรรมไว้ 

แน่นอนว่ามีผู้เสียหายจากการโดนโจมตีด้วย Sim Swap จำนวนมาก และยังมีบุคคลที่มีชื่อเสียง เช่น  Vitalik Buterin ผู้สร้างเหรียญ Etheruem โดนแฮ็กเข้าบัญชี X และโพสต์ลิงก์สำหรับแฮ็กแบบฟิชชิ่ง ขโมยสินทรัพย์มูลค่ากว่า 6.9 แสนดอลลาร์ จากผู้ที่หลงเชื่อ 

อย่างไรก็ตามการแฮ็กบัญชีของ ก.ล.ต สหรัฐฯ ในครั้งนี้ ก็สร้างข้อถกเถียงให้กับผู้คนจำนวนมาก ไม่เว้นแม้แต่เจ้าของแพลตฟอร์ม X คนปัจจุบันอย่าง Elon Musk ที่ทำการรีทวิตโพสต์จาก Twitter Safety ล้อเลียน SEC หลังเหตุการณ์ดังกล่าว และระบุว่า “มันไม่ได้เกิดจากระบบของ X”

ความคิดเห็นของผู้คนบางกลุ่มมองว่า เป็นเพราะ SEC ไม่เปิดการใช้งาน MFA เอง ทำให้ปัญหาดังกล่าวเกิดขึ้น และไม่ได้ผิดที่เครือข่ายมือถือแต่อย่างใด เพราะก่อนหน้านี้ ก.ล.ต สหรัฐฯ เคยขอให้ทางแพลตฟอร์มปิดใช้งานการยืนยันตัวตนแบบ MFA ในเดือนกรกฎาคมปี 2023 เนื่องจากเจ้าหน้าที่ไม่สามารถเข้าถึงบัญชีบน X ได้ โดยให้เหตุผลว่า “ขั้นตอนซับซ้อนเกินไป”  แต่หลังจากแก้ไขปัญหาแล้วไม่เปิดใช้งาน MFA ใหม่ จนกระทั่งเกิดเหตุการณ์โจมตี

ทั้งนี้ ก.ล.ต สหรัฐฯ ยังคงดำเนินงานร่วมมือกับหน่วยงานผู้บังคับใช้กฎหมาย เช่น FBI, กระทรวงยุติธรรม และหน่วยงานอื่น ๆ ต่อไป

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]

บทความที่น่าสนใจ

• รู้จักระบบป้องกันภัยโทรศัพท์ค่ายยักษ์ใหญ่
• 4 วิธี องค์กรรับมือภัยไซเบอร์ ปี 2024
• Apple ยังโดน แฮ็กเกอร์ซุ่มพัฒนามัลแวร์โจมตี macOS