ผู้เขียนต้นฉบับ: แอนดรูว์ อดัมส์, Coindesk

การรวบรวมต้นฉบับ: Wu Shuo Blockchain

บทความนี้แนะนำคำฟ้องที่ประกาศเมื่อเร็วๆ นี้โดยกระทรวงยุติธรรมของสหรัฐอเมริกาเกี่ยวกับคดีขโมยซิมการ์ด และเชื่อว่าจำเลยในคดีนี้ ได้แก่ พาวเวลล์และคนอื่นๆ ไม่ใช่ผู้โจมตีเหตุการณ์การแฮ็กข้อมูล FTX ในเวลาเดียวกัน บทความนี้ยังแนะนำความเสี่ยงทางธุรกิจของการขโมยซิมการ์ด และความกดดันด้านกฎระเบียบที่อาจเกิดขึ้นกับอุตสาหกรรมการเข้ารหัส Wu กล่าวว่าเขาเคยตีพิมพ์บทความที่เกี่ยวข้องกับการขโมยซิมการ์ดมาก่อนไม่สามารถป้องกันได้: เหตุใดบัญชี Twitter ที่เข้ารหัสจำนวนมากจึงถูกขโมยและโพสต์ลิงก์ฟิชชิ่ง จะป้องกันได้อย่างไรมีการแนะนำหลักการโจมตีและมาตรการป้องกัน

เมื่อเร็ว ๆ นี้ กระทรวงยุติธรรมของสหรัฐอเมริกาได้เปิดผนึกคำฟ้องอย่างเงียบ ๆ สื่อกระแสหลักและสื่อดิจิทัลบางแห่งรายงานเรื่องนี้อย่างรวดเร็วโดยกล่าวว่า แก้ไข ความลึกลับของการโจรกรรมสกุลเงินดิจิทัลมูลค่า 400 ล้านดอลลาร์ที่เคยถูกขโมยไปจาก FTX ซึ่งเป็นบริษัทแลกเปลี่ยนสกุลเงินดิจิทัลที่ล่มสลายยังคงอยู่

อย่างไรก็ตาม คำฟ้องไม่ใช่กุญแจสำคัญในการยุติความลึกลับ โดยเน้นย้ำถึงความจริงที่ว่าบริษัทสกุลเงินดิจิทัลทั้งในและต่างประเทศ เผชิญกับความกังวลด้านกฎระเบียบและเศรษฐกิจที่เพิ่มมากขึ้น โดยเฉพาะอย่างยิ่งเหตุการณ์ฉ้อโกง การขโมยซิมการ์ด กับ FTX ในเดือนพฤศจิกายน 2565 แทบจะถือได้ว่าเป็นวิธีการ แฮ็ก ขั้นพื้นฐานที่สุด วิธีนี้อาศัยการขโมยข้อมูลประจำตัวและการแอบอ้างเป็นผู้ถือบัญชีการเงิน โดยส่วนใหญ่เป็นบริษัทโจมตีที่เสนอลูกค้าและผู้ถือบัญชี การปกป้องความเป็นส่วนตัวที่ล้าสมัยมากขึ้น เช่น การตรวจสอบสิทธิ์แบบสองปัจจัยหรือหลายปัจจัย (เช่น “2FA” และ “MFA”)

หน่วยงานกำกับดูแลของรัฐบาลกลางในสหรัฐอเมริกามีความกังวลมากขึ้นเกี่ยวกับอันตรายที่อาจเกิดขึ้นกับระบบที่ต้องอาศัยโปรแกรมป้องกันความเป็นส่วนตัวที่เสี่ยงต่อการถูกโจมตีด้วยการแย่งชิงซิมการ์ด คณะกรรมการกลางกำกับดูแลกิจการสื่อสารกำลังพัฒนากฎเกณฑ์ใหม่และกฎระเบียบด้านความปลอดภัยทางไซเบอร์ล่าสุดจากสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกา (SEC) มีแนวโน้มที่จะบังคับให้บริษัทต่างๆ ปรับปรุงการป้องกันความเป็นส่วนตัวจากภัยคุกคามนี้โดยเฉพาะ โดยเฉพาะอย่างยิ่งหลังจากที่ ก.ล.ต. เองประสบเหตุการณ์จี้ซิมการ์ดเมื่อไม่นานมานี้ ก็อาจมีความมุ่งมั่นในการเสริมสร้างกฎระเบียบในด้านนี้มากขึ้น

ข้อกล่าวหาใหม่และแฮกเกอร์ FTX

เมื่อวันที่ 24 มกราคม พ.ศ. 2567 สำนักงานอัยการสหรัฐฯ ประจำเขตโคลัมเบียได้เปิดผนึกคำฟ้องในหัวข้อ United States v. Powell และคณะ ว่ากันว่าRobert Powellคาร์เตอร์ โรห์น และเอมิลี่ เฮอร์นันเดซร่วมมือกันขโมยข้อมูลส่วนบุคคล (PII) ของเหยื่อกว่า 50 ราย

จากนั้นทั้งสามคนใช้ข้อมูลที่ถูกขโมยนี้เพื่อสร้างรหัสปลอมโดยมีเป้าหมายเพื่อฉ้อโกงผู้ให้บริการโทรคมนาคมในการโอนหมายเลขบัญชีโทรศัพท์มือถือของเหยื่อที่ถูกขโมยข้อมูลประจำตัวไปยังอุปกรณ์ใหม่ในความครอบครองของจำเลยหรือ ผู้สมรู้ร่วมคิด ที่ไม่มีชื่อ จำเลยทั้งสามได้ขาย PII ที่ขโมยมาให้เขา

โครงการนี้อาศัยการกำหนดหมายเลขโทรศัพท์ของเหยื่อใหม่ให้กับโทรศัพท์ทางกายภาพที่ควบคุมโดยอาชญากร ซึ่งจำเป็นต้องมีการโอนหรือย้ายหมายเลขของเหยื่อ (โดยพื้นฐานแล้วคือข้อมูลประจำตัว) ไปยังโมดูลข้อมูลประจำตัวสมาชิก (หรือ ซิม) บัตรจะถูกบันทึกไว้จริง ๆ บนอุปกรณ์เครื่องใหม่ของอาชญากร ซึ่งเรียกว่า แผนการขโมยซิม

โดยใช้แผนการขโมยซิมการ์ดที่อธิบายไว้ใน United States v. Powell จำเลยและผู้สมรู้ร่วมคิดที่ไม่ระบุชื่อหลอกลวงผู้ให้บริการโทรคมนาคมไร้สายให้โอนหมายเลขโทรศัพท์มือถือจากซิมการ์ดของผู้ใช้ที่ถูกต้องตามกฎหมายให้กับผู้ที่ควบคุมโดยจำเลยหรือซิมการ์ดของผู้สมรู้ร่วมคิดที่ไม่ระบุชื่อ การขโมยซิมการ์ดทำให้ทั้งสามพาวเวลล์และคนอื่นๆ สามารถเข้าถึงบัญชีอิเล็กทรอนิกส์ของเหยื่อที่สถาบันการเงินต่างๆ และขโมยเงินจากบัญชีเหล่านั้นได้

ประโยชน์หลักของการขโมยซิมสำหรับจำเลยคือความสามารถในการสกัดกั้นข้อความจากบัญชีการเงินเหล่านั้นบนอุปกรณ์ใหม่ที่ฉ้อโกงซึ่งออกแบบมาเพื่อตรวจสอบว่าบุคคลที่เข้าถึงบัญชีเป็นเจ้าของบัญชีที่ถูกต้องตามกฎหมาย โดยทั่วไป หากไม่มีการฉ้อโกง การรับรองความถูกต้องนี้จะส่งผลให้มีการส่งข้อความ SMS หรือข้อความอื่น ๆ ถูกส่งไปยังผู้ใช้ที่ถูกต้องตามกฎหมาย ซึ่งจะตรวจสอบความพยายามในการเข้าถึงบัญชีโดยการให้รหัสที่มีอยู่ในข้อความหรือข้อความ อย่างไรก็ตาม ในกรณีนี้ รหัสลับจะถูกส่งไปยังผู้หลอกลวงโดยตรง ซึ่งใช้รหัสดังกล่าวเพื่อแอบอ้างเป็นเจ้าของบัญชีและถอนเงิน

แม้ว่าคำฟ้องของ Powell ไม่ได้ระบุชื่อ FTX ว่าเป็นเหยื่อ แต่ข้อกล่าวหาเกี่ยวกับเหตุการณ์ฉ้อโกง SIM ที่ใหญ่ที่สุดที่อธิบายไว้ในคำฟ้องดูเหมือนจะอ้างถึงเหตุการณ์ แฮ็ก ที่เกิดขึ้นที่ FTX ในช่วงเวลาที่บริษัทประกาศล้มละลายต่อสาธารณะ - วันที่ เวลา และจำนวนตรงกับการแฮ็กที่รายงานต่อสาธารณะ และรายงานของสื่อได้รวมคำยืนยันจากบุคคลที่อยู่ในการสืบสวนว่า FTX คือ บริษัทเหยื่อ-1 ที่พาวเวลล์บรรยายไว้ เมื่อการแฮ็ก FTX เกิดขึ้น มีการคาดเดามากมายเกี่ยวกับผู้กระทำผิด: คนวงใน หน่วยงานกำกับดูแลของรัฐบาลที่ทำงานเบื้องหลัง?

พาดหัวข่าวของบทความหลายบทความที่รายงานคำฟ้องของพาวเวลล์อ้างว่าปริศนาได้รับการแก้ไขแล้ว: จำเลยสามคนดำเนินการแฮ็ก FTX แต่แท้จริงแล้วเนื้อหาของคำฟ้องกลับแสดงตรงกันข้าม แม้ว่าคำฟ้องจะระบุชื่อจำเลยทั้งสามอย่างชัดเจนและให้รายละเอียดการโจรกรรมข้อมูลส่วนบุคคล (PII) ที่ถูกกล่าวหา การโอนหมายเลขโทรศัพท์ไปยังซิมการ์ดที่ได้มาโดยฉ้อโกง และการขายรหัสการเข้าถึง FTX ที่ถูกขโมย แต่คำฟ้องกลับละเว้นการกล่าวถึงสิ่งเหล่านี้อย่างชัดเจน จำเลยทั้งสามเมื่อกล่าวถึงการโจรกรรมกองทุน FTX ที่เกิดขึ้นจริง

แต่ระบุว่า ผู้สมคบคิดได้รับการเข้าถึงบัญชี FTX โดยไม่ได้รับอนุญาต และ ผู้สมรู้ร่วมคิดโอนเงินเสมือนจริงมากกว่า 400 ล้านดอลลาร์จากกระเป๋าเงินสกุลเงินเสมือนของ FTX ไปยังกระเป๋าเงินสกุลเงินเสมือนที่ควบคุมโดยผู้สมรู้ร่วมคิด คำร้องคือการกล่าวถึงชื่อของจำเลยที่เกี่ยวข้องกับการกระทำของจำเลย นี่คือ ผู้สมรู้ร่วมคิด ที่ไม่เปิดเผยชื่อซึ่งได้ดำเนินการขั้นตอนสุดท้ายและสำคัญที่สุด ความลึกลับว่าใครคือ ผู้สมรู้ร่วมคิด เหล่านี้ที่อาจยังคงอยู่ และมีแนวโน้มว่าจะดำเนินต่อไปจนกว่าข้อกล่าวหาใหม่จะเกิดขึ้นหรือการพิจารณาคดีจะเปิดเผยข้อเท็จจริงเพิ่มเติม

หน่วยงานกำกับดูแลและความเสี่ยงทางธุรกิจ

กรณี FTX ตอกย้ำถึงความตระหนักที่เพิ่มขึ้นในหมู่อัยการและหน่วยงานกำกับดูแลถึงความเรียบง่ายและความแพร่หลายของแผนการขโมยซิมการ์ด การอ่านคำฟ้องของพาวเวลล์ไม่ต่างจากการอ่านคำฟ้องของรัฐบาลกลางและการอ่านข้อหาโจรกรรมบัตรเครดิตหนึ่งในหลายร้อยคดีที่ดำเนินการโดยอัยการของรัฐบาลกลางและอัยการของรัฐในแต่ละปี ในส่วนของการฉ้อโกง การขโมยซิมการ์ดนั้นมีราคาถูก เทคโนโลยีต่ำ และเป็นทางการ อย่างไรก็ตาม หากคุณเป็นอาชญากร วิธีนี้ใช้ได้ผล

ซิมการ์ดประสิทธิภาพของการไฮแจ็กส่วนใหญ่เป็นผลมาจากช่องโหว่ในโปรโตคอลป้องกันการฉ้อโกงและการตรวจสอบความถูกต้องทางโทรคมนาคม และขั้นตอนการป้องกันการฉ้อโกงและการตรวจสอบความถูกต้องที่ค่อนข้างอ่อนแอซึ่งผู้ให้บริการออนไลน์หลายรายใช้โดยค่าเริ่มต้น รวมถึงบริษัทผู้ให้บริการทางการเงิน ล่าสุดในเดือนธันวาคม 2023 คณะกรรมการกลางกำกับดูแลกิจการสื่อสาร (Federal Communications Commission) ได้ออกรายงานและสั่งให้ดำเนินการตามขั้นตอนต่างๆ ที่มุ่งแก้ไขช่องโหว่ในการขโมยซิมการ์ดของผู้ให้บริการระบบไร้สาย รายงานและคำสั่งดังกล่าวรวมถึงการกำหนดให้ผู้ให้บริการระบบไร้สายใช้วิธีการรับรองความถูกต้องของลูกค้าที่ปลอดภัยก่อนดำเนินการสลับซิมตามที่อธิบายไว้ในคำฟ้องของพาวเวลล์ ขณะเดียวกันก็พยายามรักษาความสะดวกสบายที่ลูกค้าจะได้รับเมื่อเปลี่ยนหมายเลขโทรศัพท์บนอุปกรณ์ของพวกเขาอย่างถูกกฎหมาย เมื่อต้องเผชิญกับผู้ลักลอบใช้ซิมการ์ดใช้ประโยชน์จากการตรวจสอบสิทธิ์แบบหลายปัจจัยขั้นพื้นฐาน (MFA) และการตระหนักรู้ที่เพิ่มขึ้นเกี่ยวกับความสะดวกสบายของการตรวจสอบสิทธิ์แบบสองปัจจัยที่มีความปลอดภัยน้อยกว่า (2FA) โดยเฉพาะอย่างยิ่งผ่านช่องทางการส่งข้อความ SMS ที่ไม่ปลอดภัย การกระทำที่สมดุลนี้จะยังคงสร้างความท้าทายให้กับบริษัทโทรคมนาคมและผู้ให้บริการที่พึ่งพาพวกเขา รวมถึงบริษัทเข้ารหัส) นำมาซึ่งความท้าทาย

ปลอดภัยด้วยการเข้ารหัส

ผู้ให้บริการอุปกรณ์ไร้สายไม่ใช่กลุ่มเดียวที่ต้องเผชิญกับการตรวจสอบอย่างละเอียดมากขึ้นเกี่ยวกับข้อกล่าวหาของพาวเวลล์ กรณีนี้ยังมีบทเรียนและคำเตือนสำหรับอุตสาหกรรม crypto อีกด้วย

แม้ว่าจำเลยในคดี Powell จะไม่ใช่ผู้ที่เข้าถึงและระบายกระเป๋าเงิน FTX จริง ๆ แต่พวกเขาถูกกล่าวหาว่าให้รหัสรับรองความถูกต้องเพื่อดำเนินการดังกล่าว ซึ่งได้มาจากแผนการขโมยซิมการ์ดที่ค่อนข้างพื้นฐาน ในบริบทของระบอบความปลอดภัยทางไซเบอร์ที่เกิดขึ้นใหม่ของ SEC กรณีนี้เน้นย้ำถึงความจำเป็นสำหรับการแลกเปลี่ยนที่ดำเนินการในสหรัฐอเมริกาเพื่อพัฒนากระบวนการในการประเมินและจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ รวมถึง การแฮ็ก ที่กระทำในคดี FTX เนื่องจากเมื่อเร็ว ๆ นี้ ก.ล.ต. เองก็ตกเป็นเหยื่อของการโจมตีด้วยการแจ็ค SIM เราจึงสามารถคาดหวังได้ว่าหน่วยงานบังคับใช้จะให้ความสำคัญกับการโจมตีด้วยการแจ็ค SIM ต่อการแลกเปลี่ยนมากขึ้น

สิ่งนี้อาจทำให้การแลกเปลี่ยนในต่างประเทศที่หลีกเลี่ยงการกำกับดูแลของ ก.ล.ต. หรือหน่วยงานกำกับดูแลอื่น ๆ เสียเปรียบ ข้อกำหนดของ SEC สำหรับการเปิดเผยข้อมูลต่อสาธารณะเป็นประจำเกี่ยวกับการบริหารความเสี่ยง กลยุทธ์ และการกำกับดูแลด้านความปลอดภัยทางไซเบอร์ ควบคู่ไปกับการตรวจสอบภายนอก ช่วยให้มั่นใจได้ว่าลูกค้าและคู่ค้าเข้าใจขั้นตอนที่บริษัทเหล่านี้ดำเนินการเพื่อลดความเสี่ยงของเหตุการณ์เช่น FTX บริษัทนอกอาณาเขตอาจใช้แนวทางที่โปร่งใสในทำนองเดียวกันในการเปิดเผยข้อมูลความปลอดภัยทางไซเบอร์ แต่จะต้องอาศัยความเต็มใจจากบริษัทเหล่านี้เพื่อให้โปร่งใส และบริษัทเหล่านี้อาจค่อนข้างต่อต้านแนวคิดเรื่องความโปร่งใส ดังที่ FTX ได้แสดงไว้ บริษัทและโครงการ Crypto สามารถคาดหวังที่จะเผชิญกับแรงกดดันที่มากขึ้นจากหน่วยงานกำกับดูแลและตลาดในการปรับใช้ เปิดเผย สาธิต และรักษาความปลอดภัยที่มากกว่าการป้องกันผู้ฉ้อโกงที่ซ่อนอยู่ (เช่นจำเลยที่อธิบายไว้ในคดี Powell) จากการถือครองระดับไซเบอร์นับล้าน แนวทางปฏิบัติด้านความปลอดภัยที่เงินดอลลาร์หลบหนี

ลิงค์เดิม