ดีอีเผยผลสอบกรณีสแกมเมอร์ใช้โดเมนอีเมล์จริงของตลาดหลักทรัพย์ฯ, บลจ.ฟินันเซีย ธนาคารกรุงศรี และบางกอกแอร์เวย์ส ส่งอีเมล์ฟิชชิ่ง ลิงก์ดูดเงินกว่าแสนฉบับถึงลูกค้า-ประชาชน โดยเป็นการแฮกผ่าน Taximail พบมีคนกด 3,000 ราย เสียหายเบื้องต้น 1 ราย “ไชยชนก” เตรียมชง ครม.สั่งระงับแนบลิงก์ทั้งหมด
ผู้สื่อข่าวรายงานว่า จากเหตุการณ์ช่วงสุดสัปดาห์ที่ผ่านมา ที่มีอีเมล์แนบลิงก์ฟิชชิ่ง หรือลิงก์ที่แนบไฟล์อันตรายสำหรับคุมเครื่องที่อาจนำไปสู่การดูดเงินกว่าแสนฉบับถึงประชาชน โดยอีเมล์เหล่านั้นส่งจากโดเมนจริงของ 4 องค์กรใหญ่ ได้แก่ ตลาดหลักทรัพย์แห่งประเทศไทย (SET), บลจ.ฟินันเซีย ไซรัส, ธนาคารกรุงศรีอยุธยา และสายการบินบางกอกแอร์เวย์ส ทำให้ต้องมีการแจ้งเตือนและเร่งระงับอีเมล์ดังกล่าว
นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า ในวันนี้ได้มีการหารือกับหน่วยงานที่เกี่ยวข้องและสอบสวนกรณีที่เกิดขึ้น พบว่าการส่งอีเมล์ฟิชชิ่งดังกล่าวมีการใช้วิธีแฮกที่ซับซ้อนขึ้น โดยแฮกเกอร์สามารถเข้าใช้อีเมล์จริงจาก 4 องค์กรใหญ่ข้างต้น ผ่านแพลตฟอร์ม Thrid Party ที่ชื่อ Taximail
โดย Taximail เป็นผู้ให้บริการส่งข้อความและอีเมล์เกี่ยวกับแคมเปญการตลาดแบบอัตโนมัติ เพื่อส่งข้อความถึงฐานผู้ใช้ในวงกว้าง
สแกมเมอร์สามารถหา Username ของบุคคลในองค์กรที่มีสิทธิใช้งาน Taximail ได้ โดยในเบื้องต้นยังไม่ทราบว่าหามาได้อย่างไร
จากนั้นในวันที่ 4-5 พ.ย.ที่ผ่านมา พบ IP Address จากต่างประเทศ 4 IP พยายามใช้ Username ของทั้ง 4 องค์กรข้างต้น แฮกเข้าสู่ระบบของ Taximail โดยใช้วิธีการ “สุ่ม” หา Password รหัสผ่านไปเรื่อย ๆ หรือเรียกว่าวิธี Brute Force (การที่แฮกเกอร์ใช้โปรแกรมลองผิดลองถูกด้วยการเดารหัสผ่านที่เป็นไปได้ทีละตัวอักษร เพื่อเข้าสู่ระบบโดยไม่ได้รับอนุญาต) และพบว่าสามารถเข้าสู่ระบบและส่งอีเมล์แนบลิงก์ฟิชชิ่งกว่าแสนฉบับในวันที่ 8 พ.ย. โดยอาศัยฐานข้อมูลและระบบอัตโนมัติของ Taximail
นายไชยชนกกล่าวว่า ตอนนี้ทุกฝ่ายให้ความร่วมมือเป็นอย่างดีในการให้ข้อมูลสอบสวนต่อ โดยเฉพาะ Taximail ได้บอกว่าในเบื้องต้นช่องโหว่ในระบบยืนยันตัวตนคือ รหัส OTP ไม่มีระบบจำกัดการกรอกผิด ระยะเวลาในการกรอกรหัส OTP นานถึง 24 ชั่วโมง กล่าวคือ กระบวนการป้องกันเมื่อเข้ารหัสผิดซ้ำ ๆ ไม่ดีพอ
ในเบื้องต้นพบผู้เสียหายที่คลิกลิงก์จนถึงการยืนยันตัวตนผ่านลิงก์ฟิชชิ่งแล้ว 1 ราย อยู่ในระหว่างการรวบรวมข้อมูลเพิ่มเติม และอาจพบผู้เสียหายมากขึ้น โดยลิงก์เหล่านี้อาจเข้าไปดูดข้อมูลเกี่ยวกับการเงินและรหัสกระเป๋าสินทรัพย์ดิจิทัลได้ แต่ตอนนี้ยังไม่มีรายงานความเสียหาย
“ครั้งนี้เป็นครั้งแรกที่เราพบว่าสแกมเมอร์สามารถใช้วิธีซับซ้อนเพื่อใช้อีเมล์จริงขององค์กรที่มีความน่าเชื่อถือ ส่งลิงก์หลอกลวงประชาชน”
และว่าจะมีการเสนอให้คณะรัฐมนตรีพิจารณา สั่งให้องค์กรต่าง ๆ ยกเลิกการแนบลิงก์ไปกับอีเมล์ ซึ่งขณะนี้หลายองค์กร อย่างเช่น ธนาคาร กรมการขนส่งทางบก ฯลฯ ได้ยกเลิกไปก่อนแล้ว
อย่างไรก็ตาม แม้ความผิดพลาดครั้งนี้ไม่ได้เกิดขึ้นจาก 4 องค์กรใหญ่โดยตรง แต่เป็นการใช้ช่องโหว่จากผู้ให้บริการอื่น แต่ผลเสียหายเกิดขึ้นกับประชาชนแล้วก็ต้องมีผู้รับผิดชอบ ซึ่งจะมีการสืบสวนข้อมูลต่อ ด้วยว่าข้อกฎหมาย ณ ปัจจุบันหากพบว่า 4 องค์กรรู้ว่าใช้บริการหน่วยภายนอกที่ไม่มีการป้องกันไซเบอร์ที่ดี เช่น ระบบ OTP 2factor หรือการหน่วงเวลาที่เหมาะสม แต่ก็ยังใช้บริการก็ถือว่าต้องร่วมรับผิดชอบความเสียหาย
แต่เพื่อความเป็นธรรม ต้องยอมรับว่านี่เป็นการแฮกโดยสแกมเมอร์ไม่ใช่เจตนาขององค์กรต่าง ๆ ที่ทำให้ข้อมูลและระบบรั่วไหล
“การใช้ข้อมูล Username สำหรับเข้าระบบ Taximail ในนาม 4 บริษัท เพื่อนำไปใช้ในการส่งข้อความ Mass Email หรือการส่งอีเมล์ข่าวสาร โปรโมชั่น แนบลิงก์หลอกลวงจำนวนมากไปยังประชาชน แต่ไม่ใช่การแฮกระบบของทั้ง 4 บริษัทตามที่เป็นข่าว รวมทั้งไม่มีการแฮกข้อมูลของประชาชน”
มาตรการรับมือและการป้องกัน หลังจากนี้จะมีการประสานความร่วมมือระหว่างหน่วยงานรัฐและเอกชนเพื่อยกระดับมาตรฐานความปลอดภัยไซเบอร์ให้เหมือนกัน เพราะที่ผ่านมาแต่ละหน่วยงานใช้มาตรฐานต่างกัน อย่างแบงก์ก็มีมาตรฐานของตนซึ่งอยู่ในระดับสูง
นอกจากนี้ การรณรงค์ให้เลิกใช้ลิงก์ผ่าน SMS และอีเมล์ ซึ่งจะเสนอ ครม.เร่งด่วนที่สุด