เปิดสาเหตุ ‘หน่วยงานการเงินไทย’ ถูกแฮกส่งเมลหลอกลงทุน ดีอีรณรงค์เลิกแนบลิงก์ใน SMS และอีเมล

เมื่อวันที่ 10 พ.ย. กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ได้จัดการประชุมหารือแนวทางการดำเนินการและมาตรการในการป้องกันปราบปรามการใช้ อีเมลพร้อมแอบอ้างหน่วยงานเพื่อหลอกลงทุนสินทรัพย์ดิจิทัล ภายหลังเกิดเหตุหน่วยงานการเงินขนาดใหญ่ในไทยหลายรายส่งเมลหลอกลงทุนไปถึงผู้รับ โดยที่ต้นขั้วที่ส่งเมลออกไปนั้นเป็นโดเมลของบริษัทจริง ๆ

ข้อเท็จจริงของเหตุการณ์ที่เกิดขึ้น

จากการชี้แจง พบว่ากรณีที่เกิดขึ้น ไม่ใช่การปลอมแปลงอีเมล (Spoofing) แต่เป็นการส่งอีเมลผ่านโดเมนจริงของทุกหน่วยงานที่ถูกกล่าวอ้าง โดยสาเหตุหลักมาจากการที่ Taxi Mail ซึ่งเป็นผู้ให้บริการอีเมลแบบ Third-Party ได้ ถูกแฮกเกอร์เจาะเข้าระบบของลูกค้าได้

หลังจากแฮกเกอร์เข้าถึงข้อมูลแล้ว พวกเขาได้ใช้ล็อกอินของผู้ใช้บริการเพื่อส่งอีเมลออกไป โดยหน่วยงานที่ถูกกล่าวอ้างและใช้บัญชีในการส่งอีเมล ได้แก่ ฟินันเซีย (Finansia), ธนาคารกรุงศรี, ตลาดหลักทรัพย์แห่งประเทศไทย (SET), และ บางกอกแอร์เวย์ส (Bangkok Airways)

จากการตรวจสอบเบื้องต้น พบว่าอีเมลที่ถูกส่งไปถึงเหยื่อนั้น ไม่ได้มาจากฐานข้อมูลอีเมลของหน่วยงานทั้งสี่ แต่แฮกเกอร์ได้ใช้ฐานข้อมูลอีเมลที่พวกเขามีอยู่แล้วแยกต่างหาก สรุปคือ เป็นการแฮกเอาโดเมนจริงมาใช้ ร่วมกับฐานข้อมูลอีเมลที่แฮกเกอร์มีอยู่แล้ว เพื่อดำเนินการหลอกลวง (Scam)

ช่องโหว่ที่แฮกเกอร์ใช้

จากการสอบสวนเพิ่มเติม พบว่าเหตุผลที่ผู้ไม่หวังดีสามารถเข้าถึงระบบได้นั้น มาจากช่องโหว่ในระบบ OTP (One-Time Password) หรือ Two-Factor Authentication (2FA) ที่มีมาตรการไม่เข้มงวดเพียงพอ คือ

1. ไม่มีระบบห้ามกรอกรหัสผิด: ระบบไม่ได้ระงับการขอรหัสทันที หากมีการกรอกรหัส OTP ผิดติดต่อกัน 2, 3, หรือ 4 ครั้ง
2. ระยะเวลาในการกรอกรหัสนานเกินไป: ระบบเปิดระยะเวลาให้กรอกรหัสที่ถูกต้องไว้ถึง 24 ชั่วโมง

ช่องว่าง 24 ชั่วโมงนี้ ทำให้แฮกเกอร์สามารถใช้วิธี “Brute Force” ในการสุ่มรันตัวเลขจนกว่าจะเจอตัวเลขรหัสที่ถูกต้อง และเข้าถึงการล็อกอินได้สำเร็จ

หลังจากเกิดเหตุการณ์ขึ้น หน่วยงานทั้งสี่ได้แจ้งไปยัง Taxi Mail และเร่งระงับการดำเนินการอย่างรวดเร็ว ในภาพรวม พบว่ามีเพียง 3,000 อีเมล เท่านั้นที่ประชาชนมีการกดใช้ลิงก์ต่อจริง และในเบื้องต้นที่อยู่ภายใต้การตรวจสอบนั้น พบว่ามีความเสียหายเกิดขึ้น เพียงเคสเดียว หน่วยงานที่เกี่ยวข้องกำลังเร่งรวบรวมข้อมูลเพิ่มเติม และจะมีการรายงานอย่างเป็นทางการจากทั้ง 4 หน่วยงานในวันพรุ่งนี้ (หลังการแถลงข่าว) เวลา 16:00 น.

มาตรการยกระดับมาตรฐานและแนวทางในระยะยาว

นอกเหนือจากการแก้ไขกรณีที่เกิดขึ้นกับ Third-Party ในครั้งนี้ หน่วยงานต่างๆ ได้มีการหารือถึงมาตรการที่จะต้องยกระดับมาตรฐานให้สูงขึ้น โดยเฉพาะอย่างยิ่งสำหรับหน่วยงานที่เก็บข้อมูลขนาดใหญ่และข้อมูลส่วนบุคคล (M Data, PDPA Data)

มาตรการสำคัญที่ได้มีการพูดคุยและเห็นพ้องต้องกัน:

1. ยกระดับผู้ให้บริการ Third-Party:
   • สกมช. (สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ) และ PDPC (คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) จะร่วมกันหาแนวทางเพื่อนำกลุ่มบริษัทที่ให้บริการลักษณะนี้เข้ามาอยู่ภายใต้เกณฑ์และกฎระเบียบ (Regulation)
   • เนื่องจากการจัดทำกฎหมายและระเบียบใช้เวลานาน (Long Term) จึงจะมีการเชิญบริษัทผู้ให้บริการในรูปแบบดังกล่าวมาพูดคุยเพื่อขอความร่วมมือและกำหนด Policy ร่วมกันเพื่อยกระดับมาตรฐานให้เร็วที่สุด ในทุกรูปแบบ
2. การยุติการใช้ลิงก์ในสื่อสารสาธารณะ (Link-Free Communication):
   • มีการหารือแนวทางในการลดช่องทางการหลอกลวงที่สำคัญของมิจฉาชีพ โดยจะรณรงค์ให้ทั้งหน่วยงานภาครัฐและเอกชน เลิกใช้การแนบลิงก์ต่างๆ ไม่ว่าจะเป็นผ่าน SMS หรือ อีเมล
   • แนวคิดนี้เกิดขึ้นเนื่องจากปัจจุบันองค์กรสามารถใช้ช่องทางที่ปลอดภัยกว่า เช่น Social Media, แอปพลิเคชัน, หรือฟังก์ชันภายในแอปพลิเคชันของตนเองในการโปรโมทหรือให้ข้อมูลแก่ผู้ใช้งาน
   • การยุติการใช้ลิงก์ถือเป็นการ ลดช่องทางหลักช่องทางหนึ่งของสแกมเมอร์ ในการหลอกลวงประชาชน
   • หน่วยงาน Regulator (เช่น ก.ล.ต.) จะนำแนวโน้มนี้ไปขอความร่วมมือกับผู้ที่อยู่ภายใต้การกำกับดูแล และจะเริ่มต้นจาก ภาครัฐ เป็นตัวอย่างก่อน

คำเตือนและคำแนะนำต่อประชาชน

ในระหว่างที่หน่วยงานกำลังประกอบร่างโครงการนี้เพื่อให้เกิดขึ้นพร้อมกันทั่วประเทศ ทางหน่วยงานขอให้ประชาชน ตระหนักถึงความเสี่ยง และให้ถือเป็นแนวปฏิบัติเบื้องต้นว่า:

หากมี SMS หรืออีเมลใดๆ ที่มีลิงก์แนบเข้ามา ไม่ว่าจะมาจากหน่วยงานใด ให้สันนิษฐานไว้ก่อนว่าเป็น การโกงแน่นอน (มิจฉาชีพแน่นอน) และ ขอให้ “อย่าไปกด” หรือ “อย่าไปคลิก” ลิงก์ดังกล่าว

อ้างอิง: กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม