เจาะช่องโหว่ Taximail สะเทือน 4 องค์กรยักษ์ใหญ่ ถูกแฮกส่งเมลปลอม

เกิดเหตุการณ์สั่นสะเทือนความเชื่อมั่นทางเศรษฐกิจดิจิทัลครั้งใหญ่ เมื่อ 4 องค์กรชั้นนำของไทย ทั้งตลาดหลักทรัพย์ฯ, ฟินันเซีย, กรุงศรี และบางกอกแอร์เวย์ส ถูกแอบอ้างชื่อส่งอีเมล Phishing หลอกลงทุนคริปโตฯ จำนวนนับแสนฉบับ TheReporterAsia เจาะลึกต้นตอ พบการโจมตีไม่ได้เกิดที่ระบบหลักของ 4 องค์กร แต่เป็นการเจาะผ่านช่องโหว่ “Taximail” ผู้ให้บริการ Email Marketing สะท้อนวิกฤตความปลอดภัย “Supply Chain Attack” ที่ธุรกิจไทยต้องตระหนัก ร้อนถึงกระทรวงดีอี สั่งล้อมคอก PDPC เรียกสอบด่วน

วิกฤตศรัทธาดิจิทัล: เมื่ออีเมลจริงกลายเป็นอาวุธแฮกเกอร์

ในช่วงสุดสัปดาห์ที่ผ่านมา (ประมาณวันที่ 8 พฤศจิกายน 2568) ผู้ใช้งานอีเมลจำนวนมากในประเทศไทยต่างได้รับข้อความที่ดูน่าเชื่อถืออย่างยิ่ง โดยเป็นการส่งจากโดเมนอีเมลจริง (Official Domain) ของ 4 องค์กรขนาดใหญ่ที่มีความสำคัญต่อระบบเศรษฐกิจและการบริการของประเทศ ได้แก่:

1. ตลาดหลักทรัพย์แห่งประเทศไทย (SET)
2. บริษัทหลักทรัพย์ ฟินันเซีย ไซรัส จำกัด (มหาชน) (Finansia Syrus)
3. ธนาคารกรุงศรีอยุธยา (Bank of Ayudhya)
4. สายการบินบางกอกแอร์เวย์ส (Bangkok Airways)

เนื้อหาของอีเมลดังกล่าว มีลักษณะเป็นการหลอกลวง (Phishing Scam) โดยมุ่งเป้าไปที่การชักชวนให้ลงทุนในสินทรัพย์ดิจิทัลและคริปโตเคอร์เรนซีปลอม เช่น การอ้างถึง $FINANSIA Token หรือการเสนอขาย IPO บนระบบบล็อกเชน โดยใช้ชื่อเสียงและความน่าเชื่อถือขององค์กรเหล่านี้เป็นเครื่องมือสร้างความชอบธรรม

เหตุการณ์นี้สร้างความตื่นตระหนกในวงกว้าง เนื่องจากแฮกเกอร์สามารถใช้ “โดเมนจริง” ขององค์กรในการส่งอีเมล ซึ่งโดยปกติแล้ว ระบบคัดกรองอีเมลขยะ (Spam Filter) จะให้ความเชื่อถือและปล่อยผ่านไปยังกล่องจดหมายของผู้รับได้โดยง่าย ทำให้เหยื่อแยกแยะได้ยากมากว่าอีเมลใดจริงหรือปลอม

จากการตรวจสอบเบื้องต้นโดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) และหน่วยงานที่เกี่ยวข้อง พบว่ามีอีเมลหลอกลวงถูกส่งออกไป มากกว่า 100,000 ฉบับ มีผู้ที่หลงเชื่อคลิกลิงก์อันตรายไปแล้วประมาณ 3,000 ครั้ง และมีรายงานผู้เสียหายที่ยืนยันแล้วว่าเกิดความเสียหายทางการเงินจริง 1 ราย

Taximail คืออะไร? และกลายเป็น “ประตูหลัง” สู่การโจมตีได้อย่างไร

คำถามสำคัญที่เกิดขึ้นคือ แฮกเกอร์สามารถเจาะระบบของ 4 องค์กรยักษ์ใหญ่เหล่านี้พร้อมกันได้อย่างไร?

คำตอบที่น่าตกใจคือ แฮกเกอร์ไม่ได้เจาะระบบหลักของทั้ง 4 องค์กร

นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดีอี ได้ออกมาชี้แจงข้อเท็จจริงว่า การโจมตีครั้งนี้เกิดขึ้นที่ “Taximail” (บริษัท แท็กซี่เมล จำกัด ภายใต้การควบรวมของ บริษัท โอริสมา เทคโนโลยี จำกัด) ซึ่งเป็นแพลตฟอร์มผู้ให้บริการด้าน Email Marketing Automation หรือบริการส่งอีเมลการตลาดแบบอัตโนมัติ (Mass Email) ที่องค์กรธุรกิจจำนวนมากในไทยเลือกใช้เป็น “บุคคลที่สาม” (Third-Party) ในการสื่อสารกับลูกค้า

Taximail คือเครื่องมือสำคัญสำหรับนักการตลาดดิจิทัล ใช้ในการส่งจดหมายข่าว โปรโมชัน หรือข้อความอัตโนมัติไปยังฐานลูกค้าจำนวนมาก โดยมีจุดเด่นคือการบริหารจัดการที่ง่ายดาย และความสามารถในการปรับแต่งเนื้อหาให้เข้ากับผู้รับแต่ละคน (Personalization)

ลำดับเหตุการณ์การโจมตี (Attack Vector):

1. ได้มาซึ่ง Username: แฮกเกอร์ (ซึ่งตรวจสอบพบ IP Address มาจากต่างประเทศ) สามารถได้มาซึ่ง “Username” (ชื่อผู้ใช้งาน) ของบัญชีที่ทั้ง 4 องค์กรใช้ล็อกอินเข้าสู่ระบบของ Taximail (ยังไม่ทราบแน่ชัดว่าได้มาอย่างไร)
2. ช่องโหว่ 2FA: แฮกเกอร์อาศัยช่องโหว่ในกระบวนการยืนยันตัวตนแบบ Two-Factor Authentication (2FA) ของ Taximail ซึ่งในขณะนั้น มีจุดอ่อนร้ายแรงคือ:
   • รหัส OTP (One-Time Password) ที่ส่งทางอีเมล มีอายุการใช้งานนานเกินไป (สูงถึง 24 ชั่วโมง)
   • รหัส OTP เป็นเพียงตัวเลข 6 หลัก
3. การโจมตีแบบ Brute Force: ด้วยช่องโหว่ดังกล่าว แฮกเกอร์จึงใช้วิธีการ “Brute Force” (การสุ่มรหัสผ่านและ OTP ที่เป็นไปได้ทั้งหมด) เพื่อพยายามล็อกอินเข้าสู่ระบบของ Taximail ในนามของ 4 องค์กร จนกระทั่งทำสำเร็จ
4. ยึดบัญชีและส่งอีเมลปลอม: เมื่อแฮกเกอร์สามารถ “ยึดบัญชี” (Account Takeover) ของ 4 องค์กรบนแพลตฟอร์ม Taximail ได้สำเร็จ พวกเขาจึงใช้สิทธิ์ของบัญชีเหล่านั้น (ซึ่งได้รับอนุญาตให้ส่งอีเมลในนามโดเมนจริง) เพื่อส่งอีเมล Phishing หลอกลงทุนไปยังฐานข้อมูลอีเมลที่แฮกเกอร์เตรียมมาเอง

ประเด็นสำคัญที่ช่วยบรรเทาความเสียหายในครั้งนี้ คือ แฮกเกอร์ “ไม่ได้ขโมยฐานข้อมูลลูกค้ารายย่อย” ของทั้ง 4 องค์กรออกจากระบบ แต่แฮกเกอร์ใช้ “ฐานข้อมูลอีเมลเหยื่อ” ที่ตนเองมีอยู่แล้ว (ซึ่งอาจรั่วไหลมาจากเหตุการณ์อื่น) แล้วใช้ “โดเมนจริง” ของ 4 องค์กรเป็นเครื่องมือสร้างความน่าเชื่อถือในการส่งสแกม

หายนะจาก “Supply Chain Attack” และบทเรียนราคาแพงของ PDPA

ในฐานะนักข่าวเศรษฐกิจ TheReporterAsia วิเคราะห์ว่าเหตุการณ์ Taximail ครั้งนี้ ไม่ใช่แค่การแฮกข้อมูลธรรมดา แต่คือภาพสะท้อนของความเสี่ยงทางไซเบอร์ที่รุนแรงที่สุดในยุคเศรษฐกิจดิจิทัล นั่นคือ “Supply Chain Attack” (การโจมตีผ่านห่วงโซ่อุปทาน)

ในอดีต องค์กรขนาดใหญ่จะทุ่มงบประมาณมหาศาลเพื่อสร้าง “กำแพง” (Firewall) ปกป้องระบบภายในของตนเอง แต่ในปัจจุบัน ธุรกิจไม่สามารถดำเนินการได้โดยลำพัง องค์กรต่างพึ่งพาบริการจาก “บุคคลที่สาม” (Third-Party Vendors) หรือผู้ให้บริการ SaaS (Software-as-a-Service) มากมาย ไม่ว่าจะเป็นระบบ Cloud, ระบบ CRM, ระบบบัญชี หรือในกรณีนี้คือระบบ Email Marketing

“ความปลอดภัยขององค์กรท่าน…อ่อนแอเท่ากับความปลอดภัยของคู่ค้าที่อ่อนแอที่สุด”

Taximail คือหนึ่งในห่วงโซ่อุปทาน (Supply Chain) ด้านการบริการดิจิทัลของ 4 องค์กรนั้น เมื่อ Taximail ถูกเจาะ จึงเปรียบเสมือนการที่แฮกเกอร์พัง “ประตูหลังบ้าน” ขององค์กรเหล่านั้นได้สำเร็จ แม้ว่า “ประตูหน้าบ้าน” (ระบบหลักของ SET หรือธนาคาร) จะยังคงแข็งแกร่งก็ตาม

ผลกระทบเชิงเศรษฐกิจและความเชื่อมั่น:

1. การกัดเซาะความน่าเชื่อถือ (Erosion of Trust): ความเสียหายที่แท้จริงอาจไม่ใช่ตัวเลข 1 รายที่สูญเสียเงิน แต่คือ “ความเชื่อมั่น” ของประชาชนต่อการสื่อสารดิจิทัลจากสถาบันการเงินและตลาดทุน เมื่อแม้แต่อีเมลจาก @set.or.th หรือ @krungsri.com ยังไม่อาจไว้วางใจได้ 100% ย่อมส่งผลกระทบต่อความเชื่อมั่นในการทำธุรกรรมออนไลน์ทั้งหมด
2. ต้นทุนการปฏิบัติตาม PDPA: เหตุการณ์นี้จุดประเด็นร้อนด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)
   • Taximail ในฐานะ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) กำลังถูกตั้งคำถามอย่างหนักถึงมาตรการรักษาความปลอดภัยของระบบ (ตามมาตรา 40) โดยเฉพาะการปล่อยให้มีช่องโหว่ 2FA ที่หละหลวม จนนำไปสู่การละเมิด
   • 4 องค์กร ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) แม้ข้อมูลลูกค้าจะไม่รั่วไหลในครั้งนี้ แต่ก็มีหน้าที่ตามกฎหมาย (มาตรา 40 วรรค 2) ในการ “จัดให้มีมาตรการ” ตรวจสอบและกำกับดูแลผู้ประมวลผล (Taximail) ให้เป็นไปตามมาตรฐานที่กำหนด คำถามคือ พวกเขาได้ตรวจสอบความปลอดภัยของ Taximail อย่างเพียงพอแล้วหรือไม่?

“ดีอี” ล้อมคอก สั่ง PDPC สอบ Taximail ชง ครม. “เลิกแนบลิงก์”

หลังเกิดเหตุ รัฐบาลได้เคลื่อนไหวอย่างรวดเร็วเพื่อควบคุมสถานการณ์และป้องกันเหตุซ้ำรอย

นายไชยชนก ชิดชอบ รมว.ดีอี ได้เรียกประชุมหน่วยงานที่เกี่ยวข้องทั้งหมด ทั้ง สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.), ตลาดหลักทรัพย์ฯ (ตลท.), ธนาคารแห่งประเทศไทย (ธปท.), และสมาคมธนาคารไทย โดยมีมาตรการเร่งด่วนดังนี้:

1. การระงับเหตุ (Incident Response): สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ดำเนินการตรวจสอบและบล็อกลิงก์หลอกลวงที่เกี่ยวข้องไปแล้วประมาณ 100 ลิงก์
2. การสอบสวนทางกฎหมาย (PDPA): สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ได้ออกคำสั่งเรียก Taximail เข้าชี้แจงด่วนถึงมาตรการรักษาความปลอดภัยที่บกพร่อง และเรียก 4 องค์กรที่ถูกแอบอ้างเข้าหารือเพื่อประเมินผลกระทบและการรั่วไหลของข้อมูลส่วนบุคคล (หากมี)
3. การป้องกันระยะยาว (The “No Link” Policy): รมว.ดีอี เตรียมเสนอมาตรการขั้นเด็ดขาดต่อที่ประชุมคณะรัฐมนตรี (ครม.) เพื่อพิจารณา “ยกเลิกการแนบลิงก์ใน SMS และ อีเมล” ที่ส่งจากหน่วยงานภาครัฐและสถาบันการเงิน เพื่อตัดวงจรการหลอกลวงแบบ Phishing ในระยะยาว

มาตรการ “ไม่แนบลิงก์” ถือเป็นยาแรงที่อาจส่งผลกระทบต่อความสะดวกในการสื่อสารยุคดิจิทัล แต่ก็สะท้อนว่าปัญหาสแกมเมอร์และ Phishing ในไทยได้ทวีความรุนแรงจนถึงจุดที่ต้องใช้การผ่าตัดใหญ่

เหตุการณ์ Taximail ถือเป็นกรณีศึกษาครั้งสำคัญของเศรษฐกิจดิจิทัลไทย มันตอกย้ำว่า “ความปลอดภัยทางไซเบอร์” ไม่ใช่เรื่องของฝ่ายไอทีอีกต่อไป แต่เป็นวาระสำคัญระดับ “ความเสี่ยงทางธุรกิจ” (Business Risk) ที่ส่งผลกระทบโดยตรงต่อความน่าเชื่อถือ ต้นทุน และอนาคตขององค์กรในยุคที่ทุกสิ่งเชื่อมต่อกันผ่านห่วงโซ่อุปทานดิจิทัล

#Taximail #แฮก #Phishing #หลอกลงทุน #กระทรวงดีอี #PDPA #ข้อมูลรั่วไหล #SupplyChainAttack #CyberSecurity #เศรษฐกิจดิจิทัล #TheReporterAsia