กระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคม เผยผลสอบกรณีมิจฉาชีพได้ส่งอีเมลปลอมแนบลิงก์ Phishing จำนวนมากกว่า 100,000 ฉบับไปยังประชาชน โดยแอบอ้าง และใช้โดเมนอีเมลจริงของ 4 องค์กรขนาดใหญ่ที่มีความน่าเชื่อถือ ได้แก่
- ตลาดหลักทรัพย์แห่งประเทศไทย (ตลท. หรือ SET)
- บริษัทหลักทรัพย์จัดการกองทุน (บลจ.) ฟินันเซีย ไซรัส
- ธนาคารกรุงศรีอยุธยา (Krungsri)
- สายการบินบางกอกแอร์เวย์ส (Bangkok Airways)
โดยสรุปว่าเหตุการณ์นี้ไม่ใช่การแฮ็กระบบเครือข่ายหลัก หรือฐานข้อมูลประชาชนของทั้ง 4 องค์กรโดยตรง แต่เป็นการเจาะระบบของผู้ให้บริการภายนอก (Third-party) ที่องค์กรเหล่านี้ใช้บริการ
จากการตรวจสอบโดยกระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคม และหน่วยงานที่เกี่ยวข้อง พบว่าช่องทางการโจมตีเกิดขึ้นผ่านแพลตฟอร์มที่ชื่อว่า "Taximail" ซึ่งเป็นผู้ให้บริการส่งข้อความ และอีเมลในรูปแบบ Mass Email Marketing (เช่น การส่งข่าวสาร โปรโมชั่น) ที่ทั้ง 4 องค์กรเป็นลูกค้าอยู่
ขั้นตอนการโจมตี
- การได้มาซึ่ง Username : แฮ็กเกอร์มีข้อมูล Username ของบุคคลในทั้ง 4 องค์กร ที่มีสิทธิ์ในการเข้าใช้งานระบบของ Taximail (ข่าวจากประชาชาติธุรกิจระบุว่า ยังไม่ทราบแน่ชัดว่าแฮ็กเกอร์ได้ Username เหล่านี้มาอย่างไร)
- การโจมตีแบบ Brute Force : ในช่วงวันที่ 4-5 พฤศจิกายน 2025 ตรวจพบ IP Address จากต่างประเทศ 4 IP พยายามล็อกอินเข้าระบบของ Taximail โดยใช้ Username ที่ได้มา และใช้วิธีการสุ่มรหัสผ่านไปเรื่อย ๆ หรือที่เรียกว่า Brute Force Attack
- การเจาะผ่านช่องโหว่ 2FA : การโจมตีนี้สำเร็จได้เนื่องจากกระบวนการยืนยันตัวตนของ Taximail มีช่องโหว่ ได้แก่:
- กระบวนการยืนยันตัวตนแบบ Two-Factor Authentication (2FA) ไม่เข้มงวด : แม้จะมีระบบ OTP (One-Time Password) แต่กลับไม่เข้มงวดมาก เนื่องจากมีการกำหนดอายุของ OTP นานเกินไป โดยรหัส OTP ที่ส่งไปทางอีเมล มีอายุการใช้งานนานถึง 24 ชั่วโมง (ตามข้อมูลจากประชาไท/ประชาชาติ) ซึ่งเป็นช่องว่างให้แฮ็กเกอร์มีเวลาในการสุ่มรหัส
- รูปแบบ OTP คาดเดาง่าย : รหัส OTP เป็นเพียงตัวเลข 6 หลัก (ตามข้อมูลจากประชาไท) ทำให้การ Brute-force OTP สามารถทำได้ง่ายขึ้น
- ขาดการจำกัดจำนวนครั้ง : ระบบของ Taximail ไม่มีระบบจำกัดการกรอกรหัสผิดซ้ำ ๆ (No Rate Limiting) หรือกระบวนการป้องกันเมื่อกรอกรหัสผิดซ้ำ ๆ ไม่ดีพอ (ตามข้อมูลจากประชาชาติ)
- การส่งอีเมล Phishing : เมื่อแฮ็กเกอร์สามารถเจาะเข้าระบบ Taximail ได้สำเร็จในวันที่ 8 พฤศจิกายน 2025 (ตามข้อมูลจากประชาชาติ) จึงได้ใช้ระบบอัตโนมัติ และฐานข้อมูลของ Taximail เพื่อส่งอีเมล Phishing จำนวนมหาศาลในนามของ 4 องค์กรดังกล่าว
ผลกระทบที่เกิดขึ้น
- สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ดำเนินการบล็อกลิงก์หลอกลวงที่เกี่ยวข้องไปแล้วประมาณ 100 ลิงก์
- มีประชาชนที่กดลิงก์หลอกลวงดังกล่าวประมาณ 3,000 อีเมล
- พบผู้เสียหายแล้ว 1 ราย (ที่กดยืนยันตัวตนผ่านลิงก์) และกำลังรวบรวมข้อมูลเพิ่มเติม
- ลิงก์เหล่านี้อาจนำไปสู่การขโมยข้อมูลทางการเงิน หรือรหัสกระเป๋าสินทรัพย์ดิจิทัล
- ยืนยันว่าไม่มีการแฮ็กข้อมูลของประชาชนจากระบบของ 4 องค์กรหลัก
มาตรการป้องกันในอนาคต
- รมว.ดีอี จะนำเรื่องนี้เสนอต่อที่ประชุมคณะรัฐมนตรี (ครม.) โดยด่วน เพื่อพิจารณากำหนดมาตรการให้หน่วยงานราชการ และองค์กรอื่น ๆ ยกเลิกการส่งอีเมลแนบลิงก์ โดยเฉพาะการขอข้อมูลส่วนบุคคล หรือการทำธุรกรรม
- เรียกร้องให้ผู้ให้บริการ และแพลตฟอร์มต่าง ๆ ยกระดับมาตรฐานความปลอดภัยไซเบอร์ให้ทัดเทียมกัน (เช่น ปัจจุบันสถาบันการเงินมีมาตรฐานสูง แต่หน่วยงานอื่นอาจยังไม่เพียงพอ)
แม้ความผิดพลาดครั้งนี้จะเกิดจากช่องโหว่ของผู้ให้บริการภายนอก (Taximail) ไม่ใช่ 4 องค์กรโดยตรง แต่ความเสียหายได้เกิดขึ้นกับประชาชนแล้ว
เหตุการณ์นี้จึงถือเป็นกรณีศึกษาสำคัญที่แสดงให้เห็นถึงความเสี่ยงในลักษณะ Supply Chain Attack (การโจมตีผ่านคู่ค้า หรือผู้ให้บริการ) และเน้นย้ำถึงความจำเป็นที่องค์กรต่าง ๆ จะต้องตรวจสอบมาตรฐานความปลอดภัยของผู้ให้บริการภายนอก (Third-party) ที่ตนเองใช้บริการอย่างเข้มงวด
ที่มา : prachatai, prachachat
You must be logged in to post a comment.