หลังจากการโจมตีหลายครั้งที่มุ่งเป้าไปที่ผู้พัฒนาอิสระบนแพลตฟอร์มจำหน่ายเกม Steam ผู้ผลิตเกม Valve กล่าวเมื่อสัปดาห์ที่แล้วว่า จะต้องให้ผู้พัฒนาระบุหมายเลขโทรศัพท์ของตน เพื่อให้บริษัทสามารถใช้ SMS สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ได้ตั้งแต่วันที่ 24 ตุลาคม .
“ในส่วนหนึ่งของการอัปเดตความปลอดภัย การตั้งค่าบัญชี Steamworks ใด ๆ ที่สร้างขึ้นบนสาขาเริ่มต้น/สาธารณะของแอปที่เผยแพร่จะต้องมีหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชีของพวกเขา เพื่อให้ Steam สามารถส่งรหัสยืนยันถึงคุณก่อนดำเนินการต่อ” บริษัทระบุไว้ในประกาศ. “เรายังวางแผนที่จะเพิ่มข้อกำหนดนี้สำหรับการดำเนินการ Steamworks อื่น ๆ ในอนาคต”
แต่เนื่องจากการยืนยันตัวตนแบบสองปัจจัยที่ใช้ SMS สามารถหลีกเลี่ยงได้โดยผู้โจมตีแบบถาวรโดยใช้วิธีการที่หลากหลาย การเคลื่อนไหวดังกล่าวทำให้เกิดคำถาม: เหตุใดบริการออนไลน์ที่ติดต่อกับผู้บริโภคยังคงทำให้ SMS เป็นปัจจัยที่สองที่มุ่งสู่ทั้งภายในและสำหรับลูกค้า
2FA ที่ใช้ SMS: ไม่ปลอดภัยจริงๆ
การหลีกเลี่ยงการตรวจสอบสิทธิ์แบบสองปัจจัยทาง SMS กลายเป็นเรื่องสำคัญในหมู่ผู้โจมตี และแน่นอนว่ามันถูกเอาชนะโดยใช้ทุกอย่างตั้งแต่การโจมตีแบบเครื่องกลางไปจนถึงวิศวกรรมสังคม - รวมถึงในการโจมตีที่น่าอับอาย คดีละเมิด Uber ผ่านการโจมตีเมื่อยล้า 2FA.
ตัวอย่างเช่น ในปี 2022 ก โทรจันธนาคารที่เรียกว่า Xenomorph โจมตีอุปกรณ์ Android มากกว่า 50,000 เครื่อง หลังจากที่กลุ่มอาชญากรไซเบอร์ที่อยู่เบื้องหลังมัลแวร์ปลอมตัวเป็นยูทิลิตี้ประสิทธิภาพ ตามที่ Tony Anscombe หัวหน้าผู้เผยแพร่ศาสนาด้านความปลอดภัยสำหรับบริษัทรักษาความปลอดภัยดิจิทัล ESET กล่าว
“ในความเป็นจริง มันถูกขโมยข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้สำหรับธนาคาร การชำระเงิน โซเชียลมีเดีย สกุลเงินดิจิทัล และแอปอื่น ๆ ที่มีข้อมูลส่วนบุคคลอันมีค่า” เขากล่าว “มัลแวร์ละเมิดแอปมากกว่า 50 รายการ รวมถึง PayPal และ Coinbase และรวมถึงความสามารถในการสกัดกั้นข้อความและการแจ้งเตือน ทำให้อาชญากรไซเบอร์สามารถข้ามรหัสการตรวจสอบสิทธิ์แบบสองปัจจัยได้
แต่ถึงแม้จะเป็นแนวทางที่ใช้เทคโนโลยีต่ำเพียงแค่เดินเข้าไปในร้านเซลลูล่าร์ (ซิมการแลกเปลี่ยน) หรือการค้นหาช่างเทคนิคที่ทุจริตได้ผลดี David Richardson รองประธานฝ่ายอุปกรณ์ปลายทางและข่าวกรองภัยคุกคามของ Lookout แพลตฟอร์มความปลอดภัยบนคลาวด์กล่าว สิ่งเดียวที่ผู้โจมตีต้องทำคือ รู้หมายเลขโทรศัพท์ของบุคคลเป้าหมาย เพื่อโจมตีช่อง
“โดยพื้นฐานแล้วระบบทั้งหมดสร้างขึ้นบนสมมติฐานของความไว้วางใจ ฉันสามารถเดินเข้าไปในร้านค้าใดก็ได้และยกเลิกสัญญาและย้ายหมายเลขโทรศัพท์ของฉัน … ไปยังผู้ให้บริการรายใดก็ได้” เขากล่าว “โดยพื้นฐานแล้ว [ผู้โจมตีสามารถ] เข้าครอบครองหมายเลขโทรศัพท์ใดก็ได้ และเริ่มรับสาย และที่สำคัญที่สุดในกรณีเหล่านี้ ข้อความ SMS ที่ส่งไปยังหมายเลขเหล่านั้น”
และหมายเลขโทรศัพท์มือถือเป็นข้อมูลที่รั่วไหลบ่อยที่สุดบนอินเทอร์เน็ต ที่ การประนีประนอมล่าสุด ของ MGM Resorts และ Caesars Entertainment ได้เปิดเผยบันทึกของนักธุรกิจและผู้บริโภครายบุคคลหลายล้านรายการ รวมถึงหมายเลขโทรศัพท์ที่ผู้โจมตีสามารถใช้เพื่อการโจมตีเพิ่มเติม
2FA ดีกว่าไม่มีเลย
2FA ที่ใช้ SMS ยังคงเผชิญกับความไม่ปลอดภัยด้วยเหตุผลง่ายๆ ที่เป็นกลไกการรักษาความปลอดภัยที่ไม่ยุ่งยากสำหรับผู้ใช้: บริษัทเพียงต้องการทราบว่าเป็นหมายเลขโทรศัพท์ของลูกค้าเพื่อส่งข้อความรหัสผ่านแบบใช้ครั้งเดียวเพื่อตรวจสอบสิทธิ์ สำหรับบริษัทที่ต้องเผชิญกับผู้บริโภค การลดความขัดแย้งคือชื่อของเกม
ในขณะเดียวกัน การทำให้งานของผู้โจมตียากขึ้นอีกนิดจะช่วยปกป้องนักพัฒนา — และผู้เล่นเกมของพวกเขา
“MFA ใดๆ ก็ยังดีกว่าไม่มี MFA — เหมือนกับว่าเหนือกว่าอย่างมาก” Richardson จาก Lookout กล่าว “คุณจะแฮ็กได้ยากขึ้น 10 เท่าหากคุณมี MFA ที่ใช้ SMS ดังนั้น … คุณจะดีกว่าการมีการรับรองความถูกต้องแบบหลายปัจจัยบางรูปแบบ เทียบกับไม่มีการรับรองความถูกต้องแบบหลายปัจจัย”
รหัส SMS สามารถปกป้อง Benoît Freslon ซึ่งเป็นผู้พัฒนาอิสระที่อยู่เบื้องหลังเกม NanoWar: Cells VS Virus เป็นต้น Freslon ตกเป็นเหยื่อของการหลอกลวงทางวิศวกรรมสังคม เห็นได้ชัดว่าเมื่ออาชญากรไซเบอร์สวมรอยเป็นนักพัฒนารายอื่นส่งข้อความโดยตรงพร้อมเนื้อหาที่เป็นอันตรายถึงเขา ตามคำแถลงที่โพสต์เมื่อ ฟอรัมชุมชนของ Steam.
“ฉันถูกแฮ็ก บัญชีโซเชียลเน็ตเวิร์กทั้งหมดของฉันรวมถึง Discord และ Steam ถูกบุกรุก … [t] เขาแฮกเกอร์อัปโหลดมัลแวร์ด้วย [sic] บัญชีของฉัน” ผู้พัฒนาระบุในฟอรัมของ Steam “ระวังเมื่อเพื่อนขอให้คุณทดสอบเกมของเขาในข้อความส่วนตัวบน Discord … มันเป็นวันที่เครียดที่สุด [sic] ในชีวิตนักพัฒนาอินดี้ของฉัน”
Valve ได้ลบเกมออกจาก Steam เมื่อวันที่ 25 สิงหาคม หนึ่งวันหลังจากที่กลุ่มที่อยู่เบื้องหลังการแฮ็กได้เผยแพร่เวอร์ชันที่ติดไวรัสออกจากบัญชีของผู้พัฒนา ผู้พัฒนาเกม เน้น ว่าเกมเวอร์ชั่นที่ปลอดภัยนั้นวางจำหน่ายตั้งแต่วันที่ 15 กันยายน โดยอัปโหลดจาก “เครื่องที่สะอาดหมดจด”
SMS: ก้าวแรกที่ดี แต่...
บริษัทต่างๆ มุ่งเน้นไปที่ผู้บริโภคและกังวลว่าความขัดแย้งเพิ่มเติมที่เกิดจากการรักษาความปลอดภัยของ 2FA อาจใช้ปัจจัยตามแอพที่ถูกนำมาใช้อย่างกว้างขวางแล้ว เช่น ตัวตรวจสอบสิทธิ์ของ Google หรือ Microsoft Anscombe ของ ESET กล่าว
“บริษัทที่มุ่งเน้นผู้บริโภคจำนวนมากมีตัวเลือกให้ใช้แอปตรวจสอบสิทธิ์ของ Microsoft หรือ Google อยู่แล้ว ซึ่งจะช่วยลดอุปสรรคในการนำไปใช้เนื่องจากผู้บริโภคอาจติดตั้งแอปเหล่านี้แล้ว” เขากล่าว
“แอปไม่อยู่ภายใต้การโคลน SIM หรือมัลแวร์ที่ใช้ระบบการอนุญาตของระบบปฏิบัติการในการอ่านข้อความ SMS” เขากล่าว “ตัวแอปควรได้รับการปกป้องด้วยรหัสผ่านหรือไบโอเมตริกซ์เพื่อเพิ่มระดับความปลอดภัยเพิ่มเติม”
เสริมสร้างความปลอดภัยได้ กลายเป็นสิ่งสำคัญสำหรับบริษัทเกมเนื่องจากผู้ใช้มีเนื้อหาดิจิทัลในเกมมากขึ้นเก็บไว้ในบัญชีออนไลน์ที่อาชญากรไซเบอร์มุ่งหวังที่จะสร้างรายได้ และในขณะที่ผู้โกงพยายามเข้าถึงบัญชีของนักเล่นเกมรายอื่นเพื่อให้ได้เปรียบ Steam คาดว่าจะออกมาตรการรักษาความปลอดภัยเพิ่มเติมในอนาคตเพื่อปกป้องได้ดีขึ้น ไม่เพียงแต่ผู้พัฒนาเท่านั้น แต่ยังรวมถึงลูกค้าและชื่อเสียงด้วย
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/valve-2fa-mandate-game-developers-sms-stickiness
