ไชยชนก ชง ครม. หน่วยงานรัฐ-เอกชน ห้ามแนบลิงก์ผ่านอีเมล

วันนี้ (10 พ.ย.68) นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) เป็นประธานการประชุมหารือมาตรการป้องกันและปราบปราม การใช้อีเมล (e-mail) ปลอมแอบอ้างหน่วยงานเพื่อหลอกลงทุนสินทรัพย์ดิจิทัล โดยมีหน่วยงานที่เกี่ยวข้องเข้าร่วม

นายไชยชนกกล่าวว่า กรณีที่แฮกเกอร์ใช้ข้อมูลยูเซอร์เนม (Username) จาก 4 บริษัท อาทิ ธนาคารกรุงศรีอยุธยา จำกัด (มหาชน) ตลาดหลักทรัพย์แห่งประเทศไทย (SET) บางกอกแอร์เวย์ส และบริษัทหลักทรัพย์ ฟินันเซีย ไซรัส จำกัด (มหาชน) โดยได้ใช้บริการระบบแท็กซี่เมล (taximail) เป็นแพลตฟอร์มสำหรับทำการตลาดผ่านอีเมลอัตโนมัติ และให้บริการระบบส่งอีเมลจำนวนมาก

ซึ่งมิจฉาชีพได้เข้าระบบแท็กซี่เมล ที่มีข้อมูลของทั้ง 4 องค์กร ไปแฮ็กพาสเวิร์ด โดยวีธีการสุ่มรหัสเพื่อเข้าสู่ระบบโดยไม่ได้รับอนุญาต จนสามารถเข้าใช้งานระบบจริงได้ ทำให้มิจฉาชีพสามารถส่งอีเมลจากโดเมนจริง หรือแสดงชื่อผู้ส่งเป็นหน่วยงานจริง โดยได้ส่งข้อความ หรือการส่งอีเมลข่าวสาร โปรโมชัน แนบลิงก์หลอกลวงไปยังประชาชน แต่ไม่ใช่การแฮ็กระบบของทั้ง 4 บริษัทตามที่เป็นข่าว รวมทั้งไม่มีการแฮ็กข้อมูลของประชาชน

เบื้องต้นพบว่าช่องทางการแฮ็กข้อมูลนั้น เกิดจากช่องว่างของกระบวนการยืนยันตัวตนแบบการยืนยันตัวตน 2 ขั้นตอน (2FA) ผ่านอีเมล ซึ่งกำหนดอายุการใช้งานของรหัส OTP นานเกินไป (24 ชั่วโมง) และรหัส OTP เป็นรหัสตัวเลข 6 หลัก ซึ่งทำให้สามารถนำไปใช้ในการโจมตีรูปแบบสุ่มรหัส (brute-force) ได้

ล่าสุด ข้อมูลว่ามิจฉาชีพได้ส่งอีเมลแล้วนับ 100,000 อีเมล โดยมีผู้ใช้บริการทั้ง 4 องค์กรกดลิงก์จำนวน 3,000 ราย พบผู้เสียหาย 1 ราย อย่างไรก็ตาม พรุ่งนี้ (11 พ.ย.68) หน่วยงานต่างๆ จะเข้าร่วมให้ข้อมูลเพิ่มเติม และจะมีข้อสรุปในวันพรุ่งนี้ด้วย และตอนนี้อีเมล์ ถูกระงับหมดแล้ว ลิ้งก์จะไม่มีกดได้ ความเสียหายจากกรณีนี้จะไม่เกิดขึ้นแล้ว

ทั้งนี้ การประชุมคณะรัฐมนตรี (ครม.) พรุ่งนี้ (11 พ.ย.68) กระทรวงดีอีเตรียมเสนอมาตรการให้หน่วยงานกำกับภายใต้รัฐบาล และเอกชน ให้มีการส่งข้อมูลผ่านอีเมล แต่ไม่มีการแนบลิ้งก์เพื่อให้ประชาชนคลิก เพราะป้องกันการเกิดปัญหาซ้ำรอยเดิม รวมถึงป้องกันมิจฉาชีพแอบอ้างส่งอีเมลปลอม เพื่อหลอกลวงประชาชน ที่ผ่านมา ส่วนของสถาบันการเงิน ได้มีการออกกฎเกณฑ์ระบุไม่ให้มีการส่งลิ้งก์แนบกับอีเมล เพื่อให้ข้อมูลลูกค้า