‘False Base Station’ จากเครื่องมือสืบสวนอาชญากรรม สู่อุปกรณ์ก่อเหตุ‘SMSดูดเงิน’ของมิจฉาชีพ
By : Zhang Taehun
เมื่อเร็วๆ นี้ บทความเตือนภัยมิจฉาชีพส่ง SMS ตีเนียนเป็นธนาคารหลอกให้คลิก Link ของผู้เขียนเพิ่งได้รับการเผยแพร่ทางเว็บไซต์ cofact.org ซึ่งรวบรวมคำเตือนของผู้รู้ทั้ง อ.ปริญญา หอมเอนก กรรมการผู้ทรงคุณวุฒิ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) รวมถึง พล.อ.ต.อมร ชมเชย เลขาธิการสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ว่าด้วยอุปกรณ์ “False Base Station (FBS)” ที่สามารถส่ง SMS ปลอมเป็นใครก็ได้เข้าเครื่องโทรศัพท์มือถือของผู้ที่เข้ามาอยู่ในรัศมีทำการ โดยไม่ต้องอาศัยผู้ให้บริการเครือข่ายโทรศัพท์ (เช่น AIS , DTAC , True) อีกทั้งเครื่องนี้สามารถติดตั้งในห้องพักหรือแม้แต่ในรถยนต์ มีขนาดไม่ใหญ่และง่ายต่อการเคลื่อนย้าย จึงยากต่อการเฝ้าระวัง
บทความที่แล้วผู้เขียนยังอ้างถึงรายงานข่าวในต่างประเทศ ซึ่งย้อนไปในปี 2557 ที่ประเทศจีนมีการกวาดล้างอุปกรณ์ FBS ครั้งใหญ่ เนื่องจากมีรายงานมิจฉาชีพนำเครื่องติดตั้งไว้ในรถแล้วขับตระเวนไปในสถานที่ที่มีคนพลุกพล่าน แล้วยิง SMS ปลอมเป็นธนาคารหรือหน่วยงานของรัฐ กระทั่งในที่สุด เมื่อวันที่ 25 พ.ค. 2566 ที่ผ่านมา ก็มีหลักฐานยืนยันได้ว่า อุปกรณ์ FBS ได้ถูกมิจฉาชีพนำมาใช้ในประเทศไทยแล้ว หลังมีการรายงานข่าวเรื่องนี้ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) จับกุมผู้ต้องหา 6 ราย พร้อมของกลางเป็นอุปกรณ์ FBS ที่ติดตั้งในรถยนต์ ขับตระเวนก่อเหตุในพื้นที่กรุงเทพฯ-ปริมณฑล
เว็บไซต์ firstpoint-mg.com ของ FirstPoint บริษัทซอฟท์แวร์รักษาความปลอดภัยสำหรับโทรศัพท์มือถือในอิสราเอล อธิบายการทำงานของ False Base Station ซึ่งยังมีอีกหลายชื่อเรียก เช่น Fake Base Station , IMSI catchers , Rogue Base Station , Stingray , Fake Cellular Tower ว่าเป็นการแทรกแซงการเชื่อมต่อระหว่างอุปกรณ์ (โทรศัพท์มือถือ) กับเสาส่งสัญญาณ (เสาจริง) การโจมตีสามารถทำได้ภายใต้รัศมีทำงานของอุปกรณ์ และแฮ็กเกอร์สามารถรับข้อมูลที่ละเอียดอ่อนของอุปกรณ์ ติดตามตำแหน่งของโทรศัพท์มือถือ หรือโจมตีระบบ DoS ที่บล็อกหรือครอบงำการเชื่อมต่อสัญญาณทั้งหมดนี้สามารถทำได้โดยไม่มีการทิ้งร่องรอยใด ๆ
ฮาซีบ อาวาน (Haseeb Awan) ซีอีโอของ Efani บริษัทซอฟท์แวร์รักษาความปลอดภัยระบบโทรศัพท์มือถือ ซึ่งมีสำนักงานใหญ่ในเมืองซานฟรานซิสโก สหรัฐอเมริกา เขียนบทความ “How to Protect Your Device from IMSI Catchers?” เผยแพร่เมื่อวันที่ 30 ม.ค. 2565 ระบุว่า ในอดีต อุปกรณ์ IMSI Catchers ใช้กันเฉพาะหน่วยงานบังคับใช้กฎหมาย เพื่อค้นหาข้อมูลระบุตัวตนผู้ใช้บริการโทรศัพท์เคลื่อนที่ระหว่างประเทศ (IMSI) ที่เชื่อมโยงกับซิมการ์ดของผู้ต้องสงสัยในการสืบสวนคดีอาชญากรรม แต่ปัจจุบันอุปกรณ์ดังกล่าวสามารถหาซื้อได้อย่างแพร่หลาย กลายเป็นภัยที่ทุกคนต้องระวัง
IMSI Catcher ใช้การโจมตีแบบ “ตัวกลาง (MITM)” พร้อมกัน ฝั่งหนึ่งทำงานด้วยการปลอมเป็นตัวเครื่องโทรศัพท์มือถือเพื่อแสดงกับเสาสัญญาณโทรศัพท์จริง ส่วนอีกฝั่งก็ปลอมเป็นเสาสัญญาณโทรศัพท์เพื่อแสดงกับตัวเครื่องโทรศัพท์มือถือจริงที่มีผู้ใช้งานกันทั่วไป อุปกรณ์สามารถระบุการรับส่งข้อมูล (traffic)บนเครือข่ายมือถือ และกำหนดเป้าหมายสำหรับการสกัดกั้นและการวิเคราะห์ โดยสามารถใช้งานได้หลากหลาย ขึ้นอยู่กับว่าผู้ผลิต IMSI Catchers จะให้ฟังก์ชั่นอะไรมาให้ใช้งานบ้าง ดังนี้
1.ติดตามตำแหน่งที่อยู่ (Location Tracking) IMSI Catchers สามารถบังคับเครื่องโทรศัพท์มือถือเป้าหมายให้ตอบสนองด้วยตำแหน่งเฉพาะโดยใช้ GPS หรือความเข้มของสัญญาณของเสาสัญญาณโทรศัพท์ที่อยู่ติดกัน ทำให้สามารถจำลองสัญญาณตามตำแหน่งที่รู้จักของเสาสัญญาณเหล่านี้ได้ ซึ่งผู้ใช้งานก็จะสามารถเฝ้าจับตาเพิ่มเติมในรายละเอียด เช่น จุดที่อยู่แน่นอนหากเป้าหมายอยู่ในอาคาร หรือสถานที่ที่เป้าหมายมักเดินทางไปบ่อยๆ เป็นการตีวงจำกัดพื้นที่ให้แคบลงในการติดตามพฤติกรรมของเป้าหมาย
2.แทรกแซงการเชื่อมต่อ (Data Interception) IMSI Catchers บางชนิดสามารถเปลี่ยนเส้นทางการโทรศัพท์และส่งข้อความ เปลี่ยนแปลงการสื่อสาร รวมถึงปลอมแปลงตัวตนในการโทรศัพท์และส่งข้อความ
3.ส่งสปายแวร์ (Spyware Delivery) IMSI Catchers บางชนิดตั้งราคาขายไว้ค่อนข้างแพงเพราะอ้างว่าสามารถส่งสปายแวร์ (Spyware-โปรแกรมจารกรรมข้อมูล) ไปยังโทรศัพท์มือถือเป้าหมายได้ โดยสปายแวร์สามารถเชื่อมตำแหน่งของเป้าหมายโดยไม่ต้องใช้ตัวจับ IMSI และรวบรวมภาพและเสียงผ่านกล้องและไมโครโฟนของเครื่องโทรศัพท์มือถือของเป้าหมาย
4.ดักรับข้อมูล (Data extraction) IMSI Catchers ยังอาจรวบรวมข้อมูลอภิพันธุ์ (metadata) เช่น หมายเลขโทรศัพท์ที่ติดต่อ ระยะเวลาการโทร และเนื้อหาของการสนทนาทางโทรศัพท์และข้อความที่ไม่ได้เข้ารหัส ตลอดจนรูปแบบการใช้ข้อมูลบางรูปแบบ (เช่น เว็บไซต์ที่เยี่ยมชม)
“IMSI catchers ที่มีความสามารถขั้นสูงสามารถแทรกแซงข้อความและฟังการสนทนาทางโทรศัพท์ได้ นอกจากนี้ยังอาจดักรับ-ส่งข้อมูล เช่น หมายเลขโทรศัพท์ที่โทรออก หน้าเว็บที่เรียกดู และข้อมูลอื่นๆ IMSI catchers มักจะติดตั้งเทคโนโลยีการรบกวน (เพื่อทำให้โทรศัพท์ 3G และ 4G เชื่อมต่อด้วยความเร็ว 2G) และคุณสมบัติการปฏิเสธการให้บริการอื่นๆ IMSI catchers บางตัวอาจสามารถดึงข้อมูลต่างๆ เช่น รูปภาพและ SMS จากโทรศัพท์เป้าหมายได้” ฮาซีบ อาวานกล่าว
ด้านเว็บไซต์ simoniot.com ของบริษัท Simon IoT ผู้ให้บริการเทคโนโลยีอินเตอร์เน็ตของทุกสรรพสิ่ง (Internet of Things) ที่มีสำนักงานใหญ่ในเมืองนิวยอร์กของสหรัฐฯ อธิบายความหมายของ IMSI ไว้ในบทความ “What Is an IMSI? /iˈmˈsē/” เมื่อวันที่ 21 พ.ค. 2564 ว่า IMSI (International Mobile Subscriber Identity) คือรหัสเลข 15 หลัก สำหรับซิมการ์ดของระบบโทรศัพท์มือถือ GSM แบ่งเป็น 3 ส่วน ดังนี้
1.รหัสประเทศ (Mobile Country Code : MCC) คือเลขชุด 2 ตัว หรือ 3 ตัวแรก ระบุประเทศของผู้ใช้งาน (เช่น รหัส MCC ของไทยคือ 520)
2.รหัสผู้ให้บริการ Mobile Network Code : MNC) คือเลขชุด 1-3 ตัวถัดไปจาก MCC ระบุเครือข่ายผู้ให้บริการโทรศัพท์มือถือที่เชื่อมโยงกับซิมการ์ด (เช่น ในประเทศไทยคือ AIS , DTAC , True)
3.หมายเลขประจำตัวของผู้ใช้งานโทรศัพท์มือถือ (Mobile Subscription Identification Number) คือเลขชุด 9 หรือ 10 ตัวสุดท้ายของ IMSI โดยเป็นชุดตัวเลขที่ไม่ซ้ำกันเพื่อระบุผู้ใช้ซิมการ์ด
หมายเหตุ : ผู้สนใจสามารถดูเลข MCC ของแต่ละประเทศ และเลข MNC ของผู้ให้บริการเครือข่ายมือถือได้ที่เว็บไซต์ mcc-mnc.com หรือเว็บไซต์ mcc-mnc-list.com/list
ทั้งนี้ต้องบอกว่า การป้องกันภัยจาก IMSI Catchers หรือ False Base Station ไม่ใช่เรื่องง่าย บุคคลทั่วไปไม่มีทางรู้เว้นแต่จะติดตั้งซอฟท์แวร์ตรวจจับในเครื่องโทรศัพท์มือถือ (ซึ่งในต่างประเทศมีจำหน่ายหลายยี่ห้อ แต่ความคุ้มค่าในการลงทุนน่าจะเหมาะกับบุคคลระดับ VIP หรือองค์กรที่ต้องรักษาข้อมูลสำคัญจำนวนมากและเป็นข้อมูลที่มีมูลค่าสูงเสียมากกว่า) “สำหรับบุคคลทั่วไป ในเบื้องต้นหากเป็น SMS แนบ Link อ้างว่ามาจากธนาคาร ให้สันนิษฐานไว้ก่อนว่าปลอมแน่ๆ ลบทิ้งได้เลยไม่ต้องกดเข้าไป เพราะธนาคารเกือบทุกเจ้าที่ให้บริการในไทยได้ยกเลิกการส่ง SMS ลักษณะนี้แล้ว ตามนโยบายของธนาคารแห่งประเทศไทย (ธปท.) เพื่อป้องกันมิจฉาชีพสวมรอย” ส่วนหากเป็นหน่วยงานอื่นๆ ส่งมาแล้วไม่มั่นใจ ขอให้ท่านหาหมายเลขโทรศัพท์ที่ถูกต้องของหน่วยงานนั้นๆ แล้วโทรไปสอบถามก่อนจะดีที่สุด!!!
-/-/-/-/-/-/-/-/-/-/-
ขอบคุณและรับชมคลิปประกอบเรื่องจาก รายการข่าวสามมิติ
อ้างอิง
https://blog.cofact.org/special-report0566/ (‘SMSปลอม’ ตีเนียนแทรกซึมในชื่อธนาคารจริง มิจฉาชีพทำได้อย่างไร? : Cofact 22 พ.ค. 2566)
https://www.matichon.co.th/news-monitor/news_3996985 (ทลายรังโจรสวมรอย ‘ไอโมบาย แบงกิ้ง’ ส่ง SMS ลิงก์ปลอมแบงก์-สรรพากร-ไฟฟ้า หลอกดูดเงินเหยื่อ : มติชน 25 พ.ค. 2566)
https://www.firstpoint-mg.com/imsi-catcher-protection/ (FirstPoint IMSI Catcher Detector & Protector Military-grade, patented protection against rogue base stations Ensure Nothing is Standing Between Cellular Devices and Secure Communications : FirstPoint)
https://www.efani.com/blog/how-to-protect-your-device-from-imsi-catchers (How to Protect Your Device from IMSI Catchers? : Efani 30 มี.ค. 2565)
https://www.simoniot.com/what-is-an-imsi/ (What Is an IMSI? /iˈmˈsē/ : Simon IoT 21 พ.ค. 2564)