กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) ลั่นกลองรบสงครามอาชญากรรมไซเบอร์ครั้งใหญ่ หลังเกิดเหตุการณ์สะเทือนขวัญความเชื่อมั่นทางเศรษฐกิจ เมื่อ 4 องค์กรชั้นนำถูกแฮกเกอร์ใช้ “โดเมนจริง” ส่งอีเมลหลอกลวงประชาชนลงทุนในสินทรัพย์ดิจิทัล
นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดีอี ประกาศในที่ประชุมเร่งด่วนร่วมกับ ก.ล.ต., ตลท., ธปท., และสมาคมธนาคารไทย เตรียมผลักดันนโยบาย “No Link Policy” อย่างจริงจัง เล็งสั่งห้ามภาครัฐและเอกชนใช้ “ลิงก์” ในการสื่อสารผ่าน SMS และอีเมล เพื่อตัดวงจรการหลอกลวง และจี้อุดช่องโหว่ผู้ให้บริการ Third Party ที่มีระบบ OTP สุดหละหลวม จนเป็นเหตุแห่งโศกนาฏกรรม
“ดีอี” นำทัพถกวิกฤตความเชื่อมั่น “No Link Policy” สู่จุดเปลี่ยนประเทศ
ณ ที่ทำการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม บรรยากาศการประชุมหารือแนวทางการดำเนินการและมาตรการในการป้องกันปราบปรามการใช้ e-mail ปลอมแอบอ้างหน่วยงานเพื่อหลอกลงทุนสินทรัพย์ดิจิทัล เป็นไปอย่างตึงเครียด นำโดย นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดีอี พร้อมด้วย นายพชร อนันตศิลป์ ปลัดกระทรวงฯ และผู้บริหารจากทุกหน่วยงานที่เกี่ยวข้องกับการเงินและเศรษฐกิจดิจิทัลของประเทศ
วาระเร่งด่วนนี้มีผู้เข้าร่วมประชุมที่เป็นหัวใจสำคัญของภาคการเงินและตลาดทุน ทั้งตัวแทนจากสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.), ตลาดหลักทรัพย์แห่งประเทศไทย (SET), สมาคมผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลไทย (TDO), ธนาคารแห่งประเทศไทย (ธปท.) และสมาคมธนาคารไทย (TBA) การรวมตัวครั้งประวัติศาสตร์นี้ สะท้อนให้เห็นว่าปัญหาที่เกิดขึ้นไม่ใช่แค่ “อีเมลหลอกลวง” แต่เป็นวิกฤตความเชื่อมั่นที่สั่นสะเทือนรากฐานของเศรษฐกิจดิจิทัลไทย
ประเด็นหลักของการหารือคือการถอดบทเรียนและหามาตรการรับมือจากเหตุการณ์ “อัปยศ” ที่เกิดขึ้นเมื่อวันเสาร์ที่ผ่านมา เมื่อประชาชนจำนวนมากได้รับอีเมลหลอกลวงให้ลงทุนในสินทรัพย์ดิจิทัล โดยอีเมลเหล่านั้น ถูกส่งจาก “โดเมนจริง” ของ 4 องค์กรขนาดใหญ่ ได้แก่ ตลาดหลักทรัพย์แห่งประเทศไทย (SET), ธนาคารกรุงศรีอยุธยา, บริษัทหลักทรัพย์ ฟินันเซีย และสายการบินบางกอกแอร์เวย์ส
เจาะลึกปฏิบัติการแฮก: ไม่ใช่ “อีเมลปลอม” แต่คือ “โดเมนจริง” ที่ถูกยึด
สิ่งที่ รมว.ไชยชนก และที่ประชุมตระหนักและต้องชี้แจงให้ประชาชนเข้าใจอย่างเร่งด่วน คือนี่ไม่ใช่การ “ปลอมแปลง” (Spoofing) อีเมลที่มิจฉาชีพทั่วไปใช้ แต่นี่คือสถานการณ์ที่เลวร้ายกว่ามาก นั่นคือแฮกเกอร์สามารถ “ยึด” บัญชีผู้ใช้งานของผู้ให้บริการภายนอก (Third Party) และใช้บัญชีนั้นส่งอีเมลผ่าน “โดเมนจริง” ขององค์กรได้สำเร็จ
ต้นตอของหายนะ: “Taximail”
จากการตรวจสอบอย่างเข้มข้นพบว่า ช่องโหว่ไม่ได้เกิดจากระบบหลักของ 4 องค์กร แต่เกิดจากผู้ให้บริการภายนอกที่ชื่อ “Taximail” ซึ่งเป็นบริษัทที่ให้บริการส่งอีเมลจำนวนมาก (Mass Email Service)
ลำดับเหตุการณ์การโจมตีที่ถูกเปิดเผยในที่ประชุม มีดังนี้:
- การเจาะระบบ Taximail: แฮกเกอร์พยายามเจาะระบบของ Taximail ตั้งแต่วันที่ 4-5 แต่ยังไม่สำเร็จ
- ยึดบัญชีลูกค้า: ในที่สุด แฮกเกอร์สามารถเจาะระบบและ “ยึดบัญชีล็อกอิน” ของลูกค้าที่ใช้บริการ Taximail ซึ่งรวมถึง 4 องค์กรดังกล่าวได้สำเร็จในวันที่ 8
- ส่งอีเมลสแกม: แฮกเกอร์ใช้บัญชีที่ยึดได้ (ซึ่งมีสิทธิ์ในการส่งอีเมลในนาม “โดเมนจริง” ขององค์กร) เพื่อส่งอีเมลหลอกลวงไปยังเหยื่อ
ข่าวดีในข่าวร้ายที่พอจะทำให้ที่ประชุมเบาใจได้บ้าง คือจากการตรวจสอบเบื้องต้น แฮกเกอร์ไม่ได้ขโมยฐานข้อมูลลูกค้ารายย่อยของทั้ง 4 องค์กร แต่แฮกเกอร์ใช้ “ฐานข้อมูลอีเมลเหยื่อ” ที่ตนเองมีอยู่แล้ว (ซึ่งอาจรั่วไหลมาจากที่อื่น) แล้วใช้ “โดเมนจริง” ของ 4 องค์กรเป็นเครื่องมือสร้างความน่าเชื่อถือในการส่งอีเมลสแกม
จุดตาย: ช่องโหว่ 2FA มรณะ กับ OTP อายุ 24 ชั่วโมง
คำถามสำคัญที่ถูกตั้งขึ้นในที่ประชุมคือ “ระบบความปลอดภัยระดับ 2FA (Two-Factor Authentication) ไม่สามารถช่วยอะไรได้เลยหรือ?”
คำตอบที่ได้จากากรตรวจสอบนั้นน่าตกใจอย่างยิ่ง ระบบ 2FA ของ Taximail มีช่องโหว่ร้ายแรง 2 ประการที่เปิดทางให้แฮกเกอร์ใช้วิธี “Brute Force Attack” (การสุ่มรหัสผ่านหรือรหัส OTP ไปเรื่อยๆ จนกว่าจะถูก) ได้สำเร็จ
- ไม่จำกัดจำนวนครั้งในการกรอกรหัสผิด: ระบบไม่ได้ตั้งค่าให้ระงับบัญชีหรือล็อก เมื่อมีการกรอกรหัส OTP ผิดซ้ำๆ
- OTP มีอายุการใช้งาน 24 ชั่วโมง: นี่คือ “จุดตาย” ที่แท้จริง การที่รหัส OTP หนึ่งตัวมีอายุการใช้งานนานถึง 24 ชั่วโมง ทำให้แฮกเกอร์มีเวลาเหลือเฟือในการใช้ซอฟต์แวร์ “รันตัวเลข” สุ่มรหัสไปเรื่อยๆ จนกว่าจะเจอรหัสที่ถูกต้อง เปรียบเสมือนการเปิดประตูบ้านทิ้งไว้ 24 ชั่วโมง แล้วปล่อยให้โจรลองไขกุญแจทุกดอกที่มีในโลก
เหตุการณ์นี้ชี้ให้เห็นถึง “ความเสี่ยงจากผู้ให้บริการภายนอก” (Third-Party Risk) ที่ชัดเจนที่สุดครั้งหนึ่งในประวัติศาสตร์เศรษฐกิจดิจิทัลไทย แม้ 4 องค์กรจะมีระบบภายในที่เข้มแข็งเพียงใด แต่เมื่อ “คู่ค้า” หรือ “Supply Chain” ทางดิจิทัลหละหลวม ก็สามารถสร้างความเสียหายย้อนกลับมาได้อย่างมหาศาล
ผลกระทบและความเสียหาย: 3,000 คลิก และ 1 เหยื่อยืนยัน
แม้ว่าระบบจะถูกระงับอย่างรวดเร็วหลังตรวจพบ แต่ความเสียหายก็ได้เกิดขึ้นแล้ว จากรายงานเบื้องต้นในที่ประชุม:
- มีประชาชน “กดลิงก์” ที่แนบไปในอีเมลหลอกลวงนั้นประมาณ 3,000 ครั้ง (3,000 เมล)
- ณ ขณะนี้ มีการยืนยันผู้เสียหายที่เกิดความสูญเสียทางการเงินแล้ว 1 ราย
ตัวเลขนี้แม้จะดูน้อย แต่ในที่ประชุมกลับมองว่านี่คือ “ยอดภูเขาน้ำแข็ง” และยังคงอยู่ในกระบวนการตรวจสอบอย่างละเอียด โดยจะมีการรายงานฉบับสมบูรณ์จากทั้ง 4 องค์กรอีกครั้ง
อย่างไรก็ตาม ความเสียหายที่แท้จริงและประเมินค่าไม่ได้ คือ “ความเชื่อมั่น” ของประชาชน โดยเฉพาะอย่างยิ่งการที่มิจฉาชีพพุ่งเป้าไปที่ “การหลอกลงทุนในสินทรัพย์ดิจิทัล” ซึ่งส่งผลกระทบโดยตรงต่อผู้ประกอบการใน สมาคม TDO, ก.ล.ต. และ ตลท. ที่กำลังพยายามสร้างระบบนิเวศการลงทุนที่โปร่งใสและน่าเชื่อถือ การโจมตีครั้งนี้เป็นการบ่อนทำลายความพยายามทั้งหมด และอาจทำให้นักลงทุนรายย่อยเกิดความหวาดกลัวต่ออุตสาหกรรมนี้
มาตรการขั้นเด็ดขาด: สู่ยุค “No Link Policy” เลิกส่งลิงก์ถาวร
จากวิกฤตที่เกิดขึ้น รมว.ไชยชนก และที่ประชุม ได้ข้อสรุปที่ถือเป็นมาตรการเชิงนโยบายที่เด็ดขาดและจะเปลี่ยนภูมิทัศน์การสื่อสารดิจิทัลของไทยไปตลอดกาล นั่นคือ “นโยบายเลิกใช้ลิงก์” (No Link Policy)
แนวคิดนี้ตั้งอยู่บนพื้นฐานที่ว่า เป็นไปไม่ได้ที่จะสอนประชาชน 70 ล้านคนให้เป็นผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ แต่สิ่งที่ทำได้คือการ “เปลี่ยนสภาพแวดล้อม” ให้ปลอดภัย
“ทุกวันนี้ ช่องทางหลักที่สแกมเมอร์ใช้หลอกลวงคือการส่ง ‘ลิงก์’ ผ่าน SMS และ อีเมล” ที่ประชุมสรุป “ดังนั้น เพื่อตัดปัญหาที่ต้นตอ และทำให้ประชาชนแยกแยะได้ง่ายที่สุด เราจะรณรงค์และผลักดันให้ทั้งภาครัฐและเอกชน ‘เลิกส่งลิงก์’ ให้ประชาชน”
เป้าหมายสูงสุดคือการสร้างสามัญสำนึกใหม่ให้คนไทย:
“หากท่านได้รับ SMS หรือ อีเมล แม้จะมาจากหน่วยงานที่น่าเชื่อถือ แต่หากมีลิงก์แนบมา ให้สันนิษฐานไว้ก่อนเลยว่า… โกงแน่นอน มิจฉาชีพแน่นอน อย่าไปกด อย่าไปคลิก”
ในปัจจุบัน องค์กรขนาดใหญ่ไม่จำเป็นต้องพึ่งพาสะพานเชื่อมอย่าง “ลิงก์” อีกต่อไป ธนาคารมี Mobile Application ของตนเอง, ตลท. มีแอป Streaming และทุกองค์กรมีช่องทาง Social Media ที่เป็นทางการ ซึ่งปลอดภัยกว่ามาก
ในที่ประชุม กระทรวงดีอีได้ขอความร่วมมือไปยังหน่วยงานกำกับดูแล (Regulator) ทั้ง ธปท., สมาคมธนาคารไทย, ก.ล.ต. และ ตลท. ให้กลับไปสื่อสาร “ขอความร่วมมือ” (และอาจนำไปสู่การบังคับในอนาคต) กับผู้ที่อยู่ภายใต้การกำกับดูแลของตน (เช่น ธนาคารพาณิชย์, บริษัทหลักทรัพย์, ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล) ให้เริ่มปรับเปลี่ยนพฤติกรรมการสื่อสารนี้โดยเร็วที่สุด โดยจะให้ภาครัฐเริ่มดำเนินการเป็นตัวอย่างก่อน
อุดช่องโหว่ระยะยาว: จี้ “EDDA-PDPC” คุมเข้มผู้ให้บริการ
นอกจากการแก้ปัญหาที่ปลายทาง (No Link Policy) ที่ประชุมยังมองไปถึงการแก้ปัญหาที่ “ต้นตอ” คือผู้ให้บริการ Third Party ที่หละหลวม
รมว.ไชยชนก ได้สั่งการให้วางแนวทางแก้ไขทั้งระยะสั้นและระยะยาว:
- มาตรการระยะสั้น: กระทรวงดีอีจะ “เชิญ” (Summon) ผู้ประกอบการที่ให้บริการในลักษณะเดียวกับ Taximail ทั้งหมดในประเทศไทย เข้ามาพูดคุยและ “ขอความร่วมมือ” ให้ยกระดับมาตรฐานความปลอดภัยของตนเองโดยทันที โดยเฉพาะการแก้ไขระบบ 2FA/OTP ให้ได้มาตรฐานสากล (เช่น จำกัดจำนวนครั้งที่กรอกผิด, จำกัดเวลา OTP ให้สั้นที่สุด) นี่คือการส่งสัญญาณเตือนที่ชัดเจนไปยังทั้งอุตสาหกรรม
- มาตรการระยะยาว: มอบหมายให้หน่วยงานในสังกัดอย่าง สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (EDDA) และ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ไปเร่งหาแนวทางในการออกกฎระเบียบ (Regulation) เพื่อ “กำกับดูแล” ธุรกิจกลุ่มนี้อย่างจริงจัง ในอนาคต บริษัทที่ให้บริการจัดการข้อมูลขนาดใหญ่ (Mass Data) หรือส่งอีเมลจำนวนมาก จะไม่สามารถดำเนินงานโดยไร้การควบคุมมาตรฐานความปลอดภัยอีกต่อไป
บทสรุปจากการประชุมครั้งนี้ชัดเจน วิกฤตการณ์ “Taximail” ไม่ใช่แค่การแฮก แต่เป็นจุดเปลี่ยนที่บังคับให้ประเทศไทยต้อง “ผ่าตัดใหญ่” ระบบนิเวศดิจิทัลทั้งหมด การประกาศนโยบาย “No Link” และการลากผู้ให้บริการ Third Party เข้าสู่ระบบการกำกับดูแล คือก้าวแรกที่เจ็บปวดแต่จำเป็น เพื่อปกป้องอธิปไตยและความเชื่อมั่นทางเศรษฐกิจดิจิทัลของประเทศในระยะยาว
#TheReporterAsia #ข่าวเศรษฐกิจ #ไชยชนกชิดชอบ #กระทรวงดีอี #NoLinkPolicy #แบนลิงก์ #อีเมลหลอกลวง #Taximail #สินทรัพย์ดิจิทัล #แฮก #ความปลอดภัยไซเบอร์ #กยศ #ตลท #ธปท #สมาคมธนาคารไทย #PDPA #EDDA #OTP
