การนำหมายเลขโทรศัพท์มาใช้ซ้ำ.....การสร้างตัวตนแฝงที่เป็นอันตราย

เพื่อตอบสนองความต้องการใช้หมายเลขโทรศัพท์ที่เพิ่มขึ้น ผู้ให้บริการโทรคมนาคมจึงได้หันมาใช้วิธีการรีไซเคิลหมายเลขที่ไม่ได้ใช้งานหรือที่นำเบอร์โทรศัพท์กลับมาใช้ใหม่ ในประเทศไทยจะมีช่วงระยะรอคอยประมาณ 45 วัน ซึ่งเป็นแนวทางที่ใช้กันตามปกติเนื่องจากมีการใช้งานโทรศัพท์มือถือที่เพิ่มขึ้นอย่างรวดเร็ว โดยมีการใช้งานเชื่อมต่อมือถือมากกว่า 97.81 ล้านครั้งในต้นปี 2567 คิดเป็น 136.1% ของจำนวนประชากรทั้งหมด สะท้อนให้เห็นถึงแนวโน้มที่คนส่วนมากสามารถเป็นเจ้าของอุปกรณ์ได้หลายเครื่อง ถึงแม้ว่าวิธีนี้จะช่วยแก้ปัญหาการขาดแคลนหมายเลขโทรศัพท์ได้อย่างมีประสิทธิภาพ แต่ในขณะเดียวกันก็ได้สร้างความท้าทายด้านความปลอดภัยทางไซเบอร์เพิ่มขึ้น

23 ก.ย. 2567 – Raghav Iyer, Product consultant, ManageEngine ระบุว่า ประเด็นที่น่ากังวลมากก็คือ ข้อมูลที่ตกค้างอยู่ในหมายเลขที่ถูกนำมาใช้ใหม่ อาจมีข้อมูลที่สำคัญที่เจ้าของเก่าทิ้งไว้ ข้อมูลดังกล่าวอาจมีการยืนยันตัวตนและผูกบัญชีส่วนบุคคล ซึ่งผู้ไม่ประสงค์ดีสามารถถือโอกาสขโมยข้อมูลส่วนตัวไปใช้และมีโอากาสโดนโจมตีแบบฟิชชิ่งได้ นอกจากนี้ การสื่อสารกับเจ้าของหมายเลขคนเก่าอาจก่อให้เกิดข้อกังวลเกี่ยวกับความเป็นส่วนตัวและบ่อนทำลายความเชื่อมั่นในช่องทางการสื่อสารได้อีกด้วย

ในยุคเทคโนโลยีนี้ หมายเลขโทรศัพท์มือถือได้กลายเป็น digital identity ของหลาย ๆคน จากที่เคยเป็นเพียงช่องทางการสื่อสารธรรมดา ได้กลายเป็นเครื่องมือสำคัญสำหรับการยืนยันตัวตนหรือ multi-factor authentication (MFA) และ account recovery  หมายเลขโทรศัพท์มือถือจึงมีความสำคัญอย่างมากในการยืนยันตัวตน

อย่างไรก็ตาม การนำหมายเลขเก่ามาใช้งานใหม่กับผู้ใช้รายใหม่นั้นได้สร้าง security vulnerabilities ที่น่ากังวลอย่างยิ่ง บทความนี้จะวิเคราะห์ความเสี่ยงด้าน ความปลอดภัยและการละเมิดความเป็นส่วนตัวที่เกิดจากการนำหมายเลขโทรศัพท์เก่ามาใช้ซ้ำและแสดงวิธีการแก้ปัญหาที่มีความเป็นไปได้

ดาบสองคมของการนำหมายเลขโทรศัพท์มาใช้ซ้ำ

ความต้องการใช้หมายเลขโทรศัพท์มือถือเพิ่มสูงขึ้นทำให้ผู้ให้บริการจำเป็นต้องหานวัตกรรมที่จะช่วยแก้ปัญหา วิธีการหนึ่งคือการนำหมายเลขมาใช้ใหม่หลังจากระยะเวลารอคอยที่นานเพียงพอ แม้ว่าวิธีนี้จะช่วยแก้ปัญหาการขาดแคลนได้อย่างมีประสิทธิภาพ แต่ก็ได้สร้างปัญหาทางไซเบอร์ที่ซับซ้อนมากมาย

เนื่องจากหมายเลขโทรศัพท์มีบทบาทสำคัญในฐานะตัวตนดิจิทัล(digital identities) ความเสี่ยงด้านความปลอดภัยทางไซเบอร์เหล่านี้ หากไม่ได้รับการจัดการอย่างเหมาะสม อาจเอื้อให้เกิดการขโมยข้อมูลส่วนบุคคลได้ ผู้ไม่หวังดีสามารถใช้หมายเลขที่นำกลับมาใช้ใหม่เพื่อเป็นวิธีปกปิดตัวตนและก่อเหตุโจมตีทางไซเบอร์ต่างๆ

วิธีที่ผู้โจมตีค้นหาหมายเลขที่ถูกนำกลับมาใช้ซ้ำ

ผู้โจมตีสามารถค้นหาหมายเลขที่ถูกนำกลับมาใช้ซ้ำได้ด้วยวิธีการต่าง ๆ โดยใช้ช่องโหว่ในการนำกลับมาใช้ของซ้ำหมายเลขโทรศัพท์ โดยจะใช้วิธีการดังต่อไปนี้

การสังเกตแพลตฟอร์มออนไลน์: ผู้โจมตีสังเกตแพลตฟอร์มต่างๆ เช่น เว็บไซต์โซเชียลมีเดียและบริการออนไลน์ เมื่อผู้โจมตีพบว่าผู้ใช้งานมีการเปลี่ยนแปลงหมายเลขโทรศัพท์ พวกเขาจะพยายามใช้ข้อมูลนี้เพื่อเริ่มการโจมตี

การใช้ลิสหมายเลขโทรศัพท์ที่จัดสรรใหม่: ผู้ให้บริการอาจเผยแพร่ลิสหมายเลขโทรศัพท์ที่จัดสรรใหม่สู่สาธารณะ หรืออาจจะมีการรั่วไหลโดยไม่ตั้งใจ ผู้โจมตีใช้ข้อมูลนี้เพื่อโจมตีแต่ละบุคคล

การซื้อข้อมูล: ผู้โจมตีบางครั้งซื้อข้อมูลจากนายหน้าขายข้อมูลหรือเว็บไซต์ที่เก็บรวบรวมข้อมูลและตรวจสอบการปรับเปลี่ยนที่ที่เกี่ยวข้องกับหมายเลขโทรศัพท์เพื่อดูว่าหมายเลขใดที่ได้รับการจัดสรรใหม่

การโทรสุ่ม: ผู้โจมตียังใช้ระบบอัตโนมัติเพื่อโทรสุ่มไปยังหมายเลขต่างๆ พวกเขาอาจตรวจเช็คโดยการดูการตอบสนองของเจ้าของหมายเลข

การใช้ประโยชน์จากข้อมูลที่หลงเหลืออยู่

เรามาลองพิจารณาสถานการณ์นี้กันดู คุณใช้หมายเลขโทรศัพท์ในการสร้างบัญชี Lazada ต่อมาคุณเปลี่ยนหมายเลขและสร้างบัญชีใหม่ เมื่อเวลาผ่านไป หมายเลขเก่าของคุณถูกนำไปใช้กับคนอื่น บุคคลนี้พยายามสร้างบัญชี Lazada โดยใช้หมายเลขเดิมของคุณ แต่พบว่ามีการแจ้งเตือนว่ามีผู้ใช้อยู่แล้ว จากนั้นพวกเขาพยายามรีเซ็ตรหัสผ่าน

หากคุณเปิดใช้งาน MFA คุณจะได้รับการแจ้งเตือนหลายครั้ง อย่างไรก็ตาม หากคุณไม่ได้เปิดใช้งาน MFA บุคคลนั้นอาจสามารถรีเซ็ตรหัสผ่านและเข้าถึงบัญชีของคุณที่ผูกไว้กับเบอร์เดิมได้ รวมถึงประวัติการซื้อ ข้อมูลส่วนตัว และรายละเอียดบัตรเครดิต

นี่เป็นเพียงตัวอย่างหนึ่งของอันตรายจากการนำเลขโทรศัพท์มาใช้ซ้ำ เมื่อหมายเลขถูกมาใช้ซ้ำ มันยังคงมีdigital footprintที่สามารถถูกนำไปใช้โดยผู้ไม่หวังดีได้ เนื่องจาก verification codes การรีเซ็ตรหัสผ่าน และโทเค็น MFA มักถูกส่งไปยังอุปกรณ์เดิม ผู้โจมตีสามารถใช้ข้อมูลนี้สำหรับการฟิชชิ่ง การปลอมแปลงตัวตน และการเข้าถึงบัญชีได้โดยไม่ได้รับอนุญาต

ความท้าทายด้านความปลอดภัยที่หลากหลาย

นอกเหนือจากปัญหาความเป็นส่วนตัวแล้ว การนำหมายเลขโทรศัพท์กลับมาใช้ใหม่สามารถนำมาซึ่งความท้าทายด้านความปลอดภัยมากมาย ได้แก่

การยึดบัญชี : ความท้าทายสำคัญประการหนึ่งที่เกิดจากการนำหมายเลขโทรศัพท์มาใช้ซ้ำคือการโดนยึดบัญชี ดังที่กล่าวไว้แล้วก่อนหน้านี้ว่า verification codes และ  account recovery มักจะถูกส่งไปยังหมายเลขโทรศัพท์มือถือเดิม หากหมายเลขนั้นถูกใช้ร่วมกับผู้ใช้รายอื่น อาจนำไปสู่การถูกยึดบัญชีได้ (hijacking)

การรั่วไหลของข้อมูล : เจ้าของใหม่ที่ใช้งานเบอร์โทรศัพท์ อาจจะได้รับข้อมูลการโทรและข้อความที่เจ้าของเก่าเคยใช้เช่น การแจ้งเตือนจากธนาคาร การแจ้งเตือนทางการแพทย์ หรือข้อความส่วนตัว อาจมีข้อมูลที่ละเอียดอ่อนเกี่ยวกับเจ้าของเดิม ซึ่งไม่เพียงทำลายความเป็นส่วนตัวของเจ้าของเดิม แต่ยังทำให้เจ้าของใหม่เกิดความไม่สบายใจ

การได้รับการบริการที่ไม่ต่อเนื่อง: หากหมายเลขโทรศัพท์ใหม่ที่ใช้งานอยู่ยังถูกผูกกับข้อมูลของเจ้าของเดิมเจ้าของเดิมอาจจะไม่ได้รับการอัปเดตหรือแจ้งเตือนที่สำคัญ ทำให้เกิดการได้รับบริการที่ไม่ต่อเนื่อง หรือแม้แต่เจ้าของใหม่อาจเผชิญกับและความสับสนเนื่องจากได้รับข้อความที่ไม่เกี่ยวข้องและบางครั้งอาจจะก่อให้เกิดความสับสน

การโจมตีฟิชชิ่งและการโจมตีแบบ Engineering Attack : ผู้โจมตีสามารถใช้หมายเลขที่ถูกมาใช้ซ้ำในการทำการโจมตีฟิชชิ่งหรือ Engineering Attack หากพวกเขารู้ว่าหมายเลขถูกจัดสรรใหม่สามารถกำหนดเป้าหมายเจ้าของใหม่ด้วยข้อความหลอกและการโทรหลอก ที่มิจฉาชีพจะแสดงตัวเป็นเจ้าหน้าที่หน่วยงานที่มีรายละเอียดถูกต้องเพื่อขอข้อมูลส่วนตัวที่สำคัญ ผู้โจมตีสามารถใช้ความสับสนเกี่ยวกับหมายเลขที่ถูกจัดสรรใหม่ในการหลอกลวงเจ้าของใหม่ได้ด้วย

กลยุทธ์การบรรเทาความเสี่ยง

ในการรับมือกับความท้าทายด้านความปลอดภัยที่เกิดจากการนำหมายเลขโทรศัพท์มาใช้ซ้ำอย่างมีประสิทธิภาพ จำเป็นต้องมีการดำเนินการที่หลากหลาย ผู้ให้บริการโทรคมนาคมต้องนำโปรโตคอลที่มีความปลอดภัยสูงมาใช้ รวมถึงการกำจัดข้อมูลอย่างเข้มงวด เพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลที่เชื่อมโยงกับหมายเลขที่นำมารีไซเคิลนั้นถูกลบออกอย่างสมบูรณ์

นอกจากนี้ การแยกตัวตนของผู้ใช้ออกจากหมายเลขโทรศัพท์เป็นสิ่งสำคัญ ซึ่งสามารถทำได้โดยการนำหมายเลขเสมือนหรือรหัสชั่วคราวสำหรับบริการออนไลน์มาใช้ โดยการลดการพึ่งพาหมายเลขโทรศัพท์เป็นวิธีการยืนยันหลัก จะสามารถลดความเสี่ยงของการละเมิดข้อมูลสามารถลดลงได้อย่างมีนัยสำคัญ

สุดท้ายนี้ การตระหนักรู้และความระมัดระวังของผู้ใช้มีความสำคัญอย่างยิ่ง ผู้ใช้ควรใช้ความระมัดระวังเมื่อแชร์ข้อมูลส่วนตัวทางออนไลน์และให้ความสำคัญกับการใช้รหัสผ่านที่ซับซ้อน การเปิดใช้งานการยืนยันตัวตนสองขั้นตอนหรือ MFAและหลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยเป็นขั้นตอนที่สำคัญในการป้องกันการโจมตีแบบฟิชชิ่ง

การบริหารจัดการให้สมดุลเป็นปัจจัยสำคัญ

เมื่อความต้องการหมายเลขโทรศัพท์เพิ่มสูงขึ้น ผู้ให้บริการย่อมหันมานำหมายเลขมาใช้ซ้ำเป็นวิธีแก้ปัญหาอย่างหลีกเลี่ยงไม่ได้ อย่างไรก็ตาม การปฏิบัตินี้ต้องได้รับการจัดการอย่างระมัดระวังโดยคำนึงถึงความเป็นส่วนตัวของข้อมูล ความกังวลเกี่ยวกับข้อมูลที่หลงเหลืออยู่ การละเมิดความเป็นส่วนตัว

สิ่งสำคัญในการลดความเสี่ยงดังกล่าวได้ก็คือต้องผสานความร่วมมือระหว่างบริษัทโทรคมนาคม ผู้ให้บริการเทคโนโลยี และบุคคลทั่วไป พร้อมทั้งต้องมีแนวทางสำหรับการล้างข้อมูลที่เข้มงวด การสำรวจวิธีการระบุตัวตนทางเลือก และการส่งเสริมการรับรู้ด้านความปลอดภัยทางไซเบอร์ เราจึงจะสามารถลดผลกระทบจากการนำหมายเลขโทรศัพท์มาใช้ซ้ำและปกป้องความเป็นส่วนตัวของผู้ใช้ได้