SMS Spoofing

ช่วงนี้ถือว่าเป็นกระแสมากทีเดียว หลังจากมีผู้ใช้งานทั่วไปได้รับ SMS จากเบอร์โทร 02-777-777 ซึ่งเป็นเบอร์ Call Center ของธนาคารไทยพาณิชย์ (SCB) และทางธนาคารก็ได้มีการแจ้งเตือนผ่านทาง SCB Thailand Fan Page แล้ว

ผู้ใช้งานควรจะต้องเพิ่มความระมัดระวังให้ดีนะครับ เพราะว่าวิธีการในการปลอม SMS นั้นค่อนข้างง่าย และเครื่องเหยื่อไม่จำเป็นต้องติดตั้งโปรแกรมพิเศษใดๆเพิ่มเติม ขอแค่มีเบอร์เครื่องเหยื่อก็พอแล้วครับ
Clip ด้านล่างทางทีมงาน Incognito Lab ได้ทำ Proof-of-Concept ให้ดูว่าสามารถทำ SMS spoofing ได้โดยสังเกตว่าชื่อที่เป็น Sender นั้นไม่ได้ถูก save อยู่ใน list ของ contacts

1 ในวิธีการทำ SMS Spoofing Service ที่ทำได้ง่ายมากคือทำผ่าน SMS Service Provider ซึ่งปัจจุบันมี Service Provider เหล่านี้อยู่เยอะมาก และแต่ละ Provider ก็ให้ความสำคัญในเรื่อง Security ไม่เท่ากัน ทำให้อาจจะมีบาง Provider ที่มีช่องโหว่อยู่บ้าง (ทางทีม Incognito Lab ขอไม่เปิดเผยรายละเอียดเกี่ยวกับเรื่องนี้มากนะครับ เพราะว่าอาจจะทำให้เกิดการนำไปใช้ผิดๆมากขึ้น)

วิธีการป้องกัน SMS Spoofing นั้นแทบจะทำไม่ได้เลย เพราะว่าเป็นปัญหาระดับ Infrastructure

แต่อย่างไรก็ตามหากผู้ใช้งานมี Awareness เกี่ยวกับเรื่อง Security ก็จะช่วยลดโอกาสให้ไม่ตกเป็นเหยื่อของเหล่ามิจฉาชีพได้นะครับ