อินเตอร์โพล ทลาย 1,209 อาชญากรไซเบอร์ ยึดทรัพย์ 97 ล้านดอลลาร์

INTERPOL เผยผลสรุป “Operation Summary” ใน งานประชุมสุดยอดนักวิเคราะห์ความปลอดภัย (SAS 2025) ของ Kaspersky ยืนยันจับกุมผู้ต้องหา 1,209 ราย จาก 19 ประเทศ หลังปฏิบัติการกวาดล้างเครือข่ายอาชญากรรมไซเบอร์ในแอฟริกา สร้างความเสียหายทางเศรษฐกิจเกือบ 185 ล้านดอลลาร์สหรัฐ พร้อมอายัดทรัพย์สินคืนเหยื่อได้กว่า 97 ล้านดอลลาร์ ตอกย้ำความสำเร็จจากความร่วมมือ 9 พันธมิตรภาคเอกชน

เขาหลัก, ประเทศไทย – ภูมิทัศน์เศรษฐกิจโลกในยุคดิจิทัลกำลังเผชิญกับความท้าทายที่รุนแรงและซับซ้อนที่สุดครั้งหนึ่งในประวัติศาสตร์ นั่นคือ “อาชญากรรมไซเบอร์” ซึ่งไม่ได้เป็นเพียงปัญหาทางเทคนิคอีกต่อไป แต่ได้กลายพันธุ์เป็นภัยคุกคามทางเศรษฐกิจและความมั่นคงระดับโลก ที่สามารถสูบฉีดมูลค่าความเสียหายได้มหาศาลในชั่วพริบตา

ในการประชุมสุดยอดนักวิเคราะห์ความปลอดภัย (Security Analyst Summit – SAS) ประจำปี 2025 ซึ่งจัดโดย Kaspersky ยักษ์ใหญ่ด้านความมั่นคงทางไซเบอร์ระดับโลก ประเด็นการต่อสู้กับภัยคุกคามเหล่านี้ได้ถูกหยิบยกขึ้นมาเป็นวาระสำคัญ โดยหนึ่งในผู้บรรยายหลักที่ได้รับความสนใจอย่างสูงคือ นาย Paul Pajares เจ้าหน้าที่ข่าวกรองอาชญากรรมไซเบอร์ (Cybercrime Intelligence Officer) จากองค์การตำรวจสากล หรือ INTERPOL

นาย Pajares ได้ฉายภาพให้เห็นถึงการต่อสู้ในสมรภูมิไซเบอร์ในปัจจุบัน โดยเฉพาะอย่างยิ่งการเปิดเผยข้อมูลสรุปอย่างเป็นทางการ (Operation Summary) ของปฏิบัติการล่าสุดที่มุ่งเป้าไปยังทวีปแอฟริกา ซึ่งเผยให้เห็นถึงขนาดของปัญหาที่ใหญ่หลวง และในขณะเดียวกันก็แสดงให้เห็นถึงความสำเร็จที่เป็นรูปธรรมอันเกิดจาก “ความร่วมมือ”

จาก ‘นักล่ามัลแวร์’ สู่ ‘ผู้ประสานงาน’ สมรภูมิไซเบอร์ระดับโลก

ก่อนที่จะเจาะลึกถึงปฏิบัติการล่าสุด การทำความเข้าใจภูมิหลังของผู้เชี่ยวชาญท่านนี้ช่วยให้เห็นภาพความมุ่งมั่นของ INTERPOL ได้ชัดเจนยิ่งขึ้น นาย Paul Pajares สั่งสมประสบการณ์ด้านความมั่นคงทางไซเบอร์มานานกว่าทศวรรษ

จุดเริ่มต้นอาชีพของเขาคือการเป็น “นักล่า” โดยตรง เขามีความเชี่ยวชาญด้านการล่า (Hunting) และการวิเคราะห์มัลแวร์ ซึ่งเป็นทักษะที่จำเป็นอย่างยิ่งในการทำความเข้าใจพฤติกรรมของอาชญากรไซเบอร์ในระดับเทคนิค ก่อนที่เขาจะเข้ามาเป็นที่ปรึกษา (Consultant) ให้กับ INTERPOL เป็นเวลาสี่ปีเต็ม โดยให้การสนับสนุนด้านการสืบสวนสอบสวนคดีสำคัญๆ

แม้เขาจะเบนเข็มไปทำงานด้านความมั่นคงทางไซเบอร์ยานยนต์ (Automotive Cybersecurity) เป็นเวลาหนึ่งปี แต่ท้ายที่สุด ความมุ่งมั่นส่วนตัว (Personal Commitment) ที่จะสานต่อการต่อสู้เพื่อค้นหาและปราบปรามอาชญากรรมไซเบอร์ ได้ดึงเขากลับมาสู่ INTERPOL ในฐานะเจ้าหน้าที่ประจำเต็มตัว

ปัจจุบัน นาย Pajares ประจำการอยู่ที่สำนักงาน IGCI (INTERPOL Global Complex for Innovation) ในประเทศสิงคโปร์ ซึ่งเปรียบเสมือนศูนย์บัญชาการไซเบอร์ระดับโลก ทีมของเขาอยู่ภายใต้ Cyber Directorate และเรียกตัวเองว่า Cyber Threat Intelligence Team (CTI) หรือ Cyber Fusion Center (CFC)

จุดแข็งที่สำคัญที่สุดของ CFC คือ “ความหลากหลาย” ทีมนี้ประกอบด้วยบุคลากรจากหลากหลายเชื้อชาติทั่วโลก นำมาซึ่งมุมมอง ความเชี่ยวชาญ และความเข้าใจในวัฒนธรรมที่แตกต่างกัน ซึ่งเป็นกุญแจสำคัญในการรับมือกับอาชญากรไซเบอร์ที่ดำเนินงานแบบ “ข้ามชาติ” (Transnational Networks)

โมเดลการทำงานของ INTERPOL: ขับเคลื่อนด้วย “ข่าวกรอง”

นาย Pajares อธิบายว่า หัวใจสำคัญในการทำงานของ INTERPOL คือการเปลี่ยน “ข้อมูล” ให้เป็น “ข่าวกรองที่นำไปใช้ได้จริง (Actionable Intelligence)” โมเดลการดำเนินงานของพวกเขาแบ่งเป็นขั้นตอนชัดเจน:

1. การรวบรวมข้อมูล (Collection): INTERPOL ไม่สามารถทำงานเพียงลำพัง พวกเขาต้องอาศัยข้อมูลจากประเทศสมาชิก (ในปฏิบัติการนี้คือ 19 ประเทศ) และที่สำคัญคือ “พันธมิตรภาคเอกชน” (ในปฏิบัติการนี้คือ 9 องค์กร)
2. การวิเคราะห์ (Analysis): ข้อมูลดิบที่ได้รับมาจะถูกนำมาวิเคราะห์โดยทีม CTI เพื่อเชื่อมโยงจุดต่างๆ ค้นหารูปแบบ และระบุตัวตนของผู้กระทำผิด
3. การใช้เครื่องมือ (Tools): พวกเขาใช้ทั้งเครื่องมือภายในองค์กร (Inhouse Tools) และแพลตฟอร์มภายนอก เพื่อเร่งความสามารถด้านข่าวกรอง

ผลลัพธ์ที่ได้จะถูกส่งมอบใน 3 รูปแบบหลัก ได้แก่:

• Cyber Activity Report: รายงานที่ส่งตรงไปยังประเทศสมาชิกที่เกี่ยวข้อง (ในปฏิบัติการนี้มีการส่งรายงานถึง 40 ฉบับ) โดยจะระบุภาพรวมภัยคุกคาม รายละเอียดทางเทคนิค และข้อเสนอแนะที่ชัดเจน
• Cyber Threat Advisory: การแจ้งเตือนภัยคุกคามทางไซเบอร์ที่กำลังเกิดขึ้นใหม่หรือกำลังพัฒนา
• Annual Threat Assessment Report: รายงานประเมินภัยคุกคามประจำปี ซึ่งเปรียบเสมือนเข็มทิศ กำหนดทิศทางและจัดลำดับความสำคัญของปฏิบัติการต่างๆ ที่ INTERPOL จะดำเนินการในรอบปีถัดไป

สรุปผล “Operation Serengeti 2.0” ตัวเลขจริงจากสมรภูมิ

จากข้อมูลเดิมที่เน้นปฏิบัติการ “Operation Serengeti 2.0” ซึ่งมุ่งเป้าไปที่ทวีปแอฟริกา บัดนี้ INTERPOL ได้เปิดเผยตัวเลขสรุปการดำเนินงานอย่างเป็นทางการ (Operation Summary) ซึ่งแสดงให้เห็นถึงความสำเร็จครั้งใหญ่ และขอบเขตความเสียหายทางเศรษฐกิจที่แท้จริง

รายงานการประเมินภัยคุกคามประจำปีของ INTERPOL ได้ชี้ชัดว่า ภูมิภาคแอฟริกากำลังกลายเป็นเป้าหมายสำคัญ นี่จึงเป็นที่มาของปฏิบัติการครั้งนี้ ซึ่งมีเป้าหมายหลักคือการ “ทำลายโครงสร้างพื้นฐานขนาดใหญ่ (Large-Scale Infrastructure)” ของอาชญากรไซเบอร์

ภัยคุกคามหลักที่มุ่งเน้น ได้แก่ การหลอกลวงออนไลน์ (Online Scams), การประนีประนอมอีเมลธุรกิจ (Business Email Compromise – BEC), แรนซัมแวร์ (Ransomware), และการกรรโชกทางดิจิทัล (Digital Extortion)

ตัวเลขสรุปผลการดำเนินงาน (Operation Summary) ที่น่าทึ่ง มีดังนี้:

• การจับกุม (Arrests): 1,209 ราย
• มูลค่าความเสียหาย (Monetary Value Loss): $184,965,199 (ประมาณ 185 ล้านดอลลาร์สหรัฐ)
• มูลค่าที่ยึดคืนได้ (Monetary Value Recovered): $97,418,228 (ประมาณ 97.4 ล้านดอลลาร์สหรัฐ หรือคิดเป็นการอายัดทรัพย์สินคืนได้มากกว่า 52% ของความเสียหายทั้งหมด)
• จำนวนเหยื่อ (Victims): 87,858 ราย
• การทลายเครือข่ายมัลแวร์ (Malicious Network Takedowns): 11,432 เครือข่าย
• ประเทศที่เข้าร่วม (Participating Countries): 19 ประเทศ
• พันธมิตรภาคเอกชน (Private Sector Partners): 9 องค์กร (รวมถึง Kaspersky)

ตัวเลขเหล่านี้ได้ปรับแก้ความเข้าใจเดิม โดยเฉพาะมูลค่าความเสียหาย ซึ่งข้อมูลสรุปชี้ชัดที่ 185 ล้านดอลลาร์สหรัฐ และยอดการจับกุมที่สูงถึง 1,209 ราย สะท้อนถึงการปฏิบัติการกวาดล้างที่ครอบคลุมและเข้มข้นกว่าที่เป็นที่รับรู้ในตอนแรก

กุญแจสู่ความสำเร็จ: Gateway Framework และพันธมิตรทั้ง 9

นาย Pajares เน้นย้ำว่าปฏิบัติการนี้จะสำเร็จไม่ได้เลยหากขาด “ภาคเอกชน” ทั้ง 9 ราย INTERPOL ใช้กรอบการทำงานที่เรียกว่า “Gateway Framework” ซึ่งก่อตั้งมาตั้งแต่ปี 2015 (ครบรอบ 10 ปี) เพื่อเป็นช่องทางในการทำงานร่วมกับพันธมิตรอย่าง Kaspersky

ในการปฏิบัติการนี้ INTERPOL (CFC) ได้ส่ง RFI (Request for Information) หรือคำร้องขอข้อมูลไปยังพันธมิตร โดยมีการแลกเปลี่ยนข้อความ (Messages Exchanged) มากถึง 5,683 ข้อความ เพื่อสอบถามข้อมูลที่เกี่ยวข้องกับภัยคุกคามเป้าหมาย เช่น เซิร์ฟเวอร์มัลแวร์, ฟิชชิ่ง, แรนซัมแวร์ และการกรรโชกทางดิจิทัล

สิ่งที่ INTERPOL ต้องการจากภาคเอกชนนั้นมีความเฉพาะเจาะจงสูง โดยเฉพาะ “Timestamp (การประทับเวลา)” นาย Pajares อธิบายว่า “หน่วยงานบังคับใช้กฎหมายต้องการเวลาที่เกิดเหตุที่ชัดเจน เพื่อใช้ในการติดต่อ ISP (ผู้ให้บริการอินเทอร์เน็ต) หรือผู้ให้บริการโฮสติ้ง ในการขอ Log File ซึ่งเป็นหลักฐานสำคัญในการมัดตัวผู้กระทำผิด”

เจาะลึกกรณีศึกษา ภายใต้ตัวเลขสรุป

แม้ตัวเลขสรุปจะให้ภาพรวมที่ชัดเจน แต่กรณีศึกษาที่นาย Pajares หยิบยกมา ยังคงให้รายละเอียดที่น่าสนใจว่าปฏิบัติการเหล่านี้เกิดขึ้นได้อย่างไร

1. การกรรโชกทางเพศดิจิทัล (Sextortion)

หนึ่งในภัยคุกคามที่ส่งผลกระทบรุนแรงคือ การกรรโชกทางเพศ โดยอาชญากรใช้บอตเน็ตสไตล์คลาสสิก (เช่น Forfix botnet) ผสมผสานกับเทคนิควิศวกรรมสังคม (Social Engineering) เพื่อหลอกให้เหยื่อติดตั้งมัลแวร์ จากนั้นบอตเน็ตจะใช้บริการ SMTP เพื่อส่งอีเมลกรรโชกทางเพศจำนวนมหาศาล

• ผลกระทบ: ตรวจพบการกรรโชกทางเพศประมาณ 34,000 ครั้ง ทั่วโลก
• การทลายโครงสร้าง: ปฏิบัติการนี้สามารถดึง IP แอดเดรสที่ไม่ซ้ำกันเกือบ 4,000 รายการ ที่ถูกบุกรุกในภูมิภาคแอฟริกา (ใน 18 ประเทศ) ซึ่งถูกใช้เป็นฐานในการส่งอีเมลข่มขู่เหล่านี้

2. การทลายโครงสร้างพื้นฐานมัลแวร์

ความร่วมมือกับพันธมิตรอย่าง Kaspersky มีบทบาทสำคัญในการระบุเซิร์ฟเวอร์อันตรายที่ตั้งอยู่ในแอฟริกา ซึ่งเป็นส่วนหนึ่งของเครือข่ายมัลแวร์กว่า 11,432 เครือข่ายที่ถูกทลายลง ข้อมูลเชิงลึกจากพันธมิตรช่วยระบุ:

• เซิร์ฟเวอร์ที่ถูกบุกรุก (Compromised Server) ประมาณ 2,300 รายการ
• เซิร์ฟเวอร์มัลแวร์/บอตเน็ต ที่อันตราย 500 รายการ
• เซิร์ฟเวอร์เฉพาะสำหรับแรนซัมแวร์ 40 รายการ
• การเชื่อมต่อบอตเน็ตประมาณ 3,800 รายการ

3. กรณีศึกษาเด่น: แซมเบีย แองโกลา และเซเชลส์

จุดเด่นของปฏิบัติการ อยู่ที่การค้นพบขบวนการขนาดใหญ่ในหลายประเทศ ซึ่งเป็นส่วนหนึ่งของยอดจับกุม 1,209 ราย:

• แองโกลา (Angola): มีการจับกุมผู้ต้องสงสัย 25 ราย ที่เกี่ยวข้องกับโรงงานขุดคริปโตเคอร์เรนซี (Cryptocurrency Mining Facilities)
• เซเชลส์ และ แอฟริกาใต้: กลายเป็นแหล่งเพาะพันธุ์เซิร์ฟเวอร์ฟิชชิ่ง โดยพบการเกิดขึ้นของเซิร์ฟเวอร์ฟิชชิ่งถึง 5,500 ครั้ง ในเซเชลส์ และ 1,500 ครั้ง ในแอฟริกาใต้ ซึ่งเซิร์ฟเวอร์เหล่านี้ถูกใช้เพื่อขโมยข้อมูลทางการเงินและข้อมูลส่วนบุคคล
• แซมเบีย (Zambia) – แผนหลอกลวงครั้งใหญ่: ปฏิบัติการนี้สามารถทลายแผนการ “หลอกลวงการลงทุนออนไลน์ (Online Investment Scam)” ขนาดใหญ่ในแซมเบีย
  • มีเหยื่อมากถึง 65,000 ราย (ซึ่งคิดเป็นสัดส่วนเกือบ 74% ของเหยื่อทั้งหมด 87,858 รายในปฏิบัติการนี้)
  • แม้ข้อมูลเดิมจะมีการอ้างอิงมูลค่าที่สูงมาก แต่ข้อมูลสรุปชี้ชัดว่ายอดความเสียหายรวมอยู่ที่ 185 ล้านดอลลาร์ อย่างไรก็ตาม คดีนี้ถือเป็นคดีสำคัญที่มีการระบุศูนย์หลอกลวง (Scam Center) และยึดหนังสือเดินทางปลอมหลายเล่ม
  • มีการจับกุมผู้ต้องสงสัย 15 ราย ในแซมเบีย จากปฏิบัติการนี้

ความท้าทายสำคัญ: เหตุใดอาชญากรไซเบอร์จึงยังคงลอยนวล

แม้ Operation Serengeti 2.0 จะประสบความสำเร็จอย่างสูง ด้วยการจับกุมกว่า 1,200 คน และอายัดทรัพย์ได้เกือบ 100 ล้านดอลลาร์ แต่นาย Pajares ยอมรับว่านี่เป็นเพียงส่วนหนึ่งของภูเขาน้ำแข็ง การต่อสู้ครั้งนี้ยังเผชิญกับความท้าทายสำคัญ 6 ประการ:

1. ความแตกต่างของกฎหมาย (Regulatory Frameworks): นี่คือช่องโหว่ที่ใหญ่ที่สุด กฎหมายที่แตกต่างกันในแต่ละประเทศ ทำให้การประสานงานและการส่งผู้ร้ายข้ามแดนเป็นไปได้ยาก อาชญากรจึงมักย้ายฐานปฏิบัติการไปยังพื้นที่ที่มีทรัพยากรการบังคับใช้กฎหมายที่อ่อนแอกว่า
2. ข้อจำกัดด้านทรัพยากร (Resource Limitations): โดยเฉพาะในแอฟริกา 95% ของประเทศที่ถูกสัมภาษณ์ ยอมรับว่าพวกเขามีการฝึกอบรมที่ไม่เพียงพอ และการเข้าถึงเครื่องมือเฉพาะทาง เช่น ความสามารถทางนิติวิทยาศาสตร์ดิจิทัล (Digital Forensic Capacity) มีจำกัดมาก
3. เครือข่ายข้ามชาติ (Transnational Networks): อาชญากรไซเบอร์ทำงานไร้พรมแดน โครงสร้างพื้นฐานอาจอยู่อีกประเทศหนึ่ง การยักย้ายเงินทุนอยู่อีกประเทศ และการฟอกเงินอยู่อีกประเทศ ทำให้การติดตามและกู้คืนทรัพย์สินเป็นไปได้ยากอย่างยิ่ง
4. ความเร็วและขนาด (Speed and Scale): โลกดิจิทัลเคลื่อนไหวเร็วมาก แม้ว่า INTERPOL จะสั่งปิดเครือข่ายมัลแวร์ (Takedown) ได้สำเร็จวันนี้ (ซึ่งทำได้ถึง 11,432 เครือข่าย) อาชากรก็สามารถย้ายไปยังผู้ให้บริการรายอื่น หรือตั้งเซิร์ฟเวอร์ใหม่ได้ภายในเวลาไม่กี่ชั่วโมง
5. การซ่อนตัว (Anonymity): นี่คือความท้าทายที่สำคัญที่สุดในปัจจุบัน อาชญากรใช้เทคนิคที่ซับซ้อนในการซ่อนตัวตน ทั้งการใช้บริการคลาวด์เพื่อซ่อน IP แอดเดรสจริง และใช้ความเป็นส่วนตัวของโดเมน (Domain Privacy) ซึ่งมักจะทำให้การสืบสวนไปถึงทางตัน
6. การระบุตัวเหยื่อ (Victim Identification): บ่อยครั้งที่การสืบสวนต้องหยุดชะงักเพราะไม่สามารถระบุตัวตนของเหยื่อได้ INTERPOL ยังคงต้องอาศัยพันธมิตรภาคเอกชนในการให้ข้อมูลเกี่ยวกับเหยื่อ (Victimology) เพื่อให้กระบวนการสอบสวนสามารถดำเนินต่อไปได้

สงครามที่ไม่จบสิ้น และความจำเป็นของ “พันธมิตร”

การบรรยายของนาย Paul Pajares และข้อมูลสรุป “Operation Summary” ที่งาน SAS 2025 เป็นการตอกย้ำว่า อาชญากรรมไซเบอร์คือ “ปัญหาเศรษฐกิจ” ที่ร้ายแรง การทลายเครือข่ายในแอฟริกาครั้งนี้ แสดงให้เห็นถึงเม็ดเงินมหาศาลที่กำลังถูกสูบออกจากระบบเศรษฐกิจ แต่ในขณะเดียวกันก็แสดงให้เห็นถึงศักยภาพในการ “ยึดคืน” ทรัพย์สินเหล่านั้นกลับมาให้เหยื่อได้ หากมีการประสานงานที่มีประสิทธิภาพ

INTERPOL ให้ความสำคัญและชื่นชมความช่วยเหลือจากพันธมิตรภาคเอกชนทั้ง 9 ราย รวมถึง Kaspersky อย่างมหาศาล ที่ทำให้ปฏิบัติการนี้เป็นไปได้ ความร่วมมือ 10 ปี ภายใต้ Gateway Framework ได้พิสูจน์แล้วว่าเป็นกลไกที่ขาดไม่ได้

ตราบใดที่เทคโนโลยียังคงเปิดช่องให้สร้างผลกำไรทางการเงินได้ง่ายขึ้น ตราบนั้นอาชากรไซเบอร์ก็จะยังคง “ไม่หยุดหย่อน” และการต่อสู้ครั้งนี้จำเป็นต้องอาศัยความร่วมมือที่แข็งแกร่งยิ่งขึ้นระหว่างภาครัฐและภาคเอกชน เพื่อปกป้องเสถียรภาพของเศรษฐกิจดิจิทัลทั่วโลกต่อไป

#TheReporterAsia #ข่าวเศรษฐกิจ #อาชญากรรมไซเบอร์ #INTERPOL #Kaspersky #theSAS2025 #OperationSummary #จับกุม1209ราย #ยึดทรัพย์97ล้าน #ความมั่นคงทางไซเบอร์ #เศรษฐกิจดิจิทัล #PaulPajares #Cybercrime