ต้นเดือนพฤศจิกายน 2568 ผู้ใช้งานอีเมลทั่วประเทศต่างได้รับข้อความชวนลงลทุนในสินทรัพย์ดิจิทัล ที่ดูเหมือนส่งมาจากหน่วยงานชื่อดัง เช่น ตลาดหลักทรัพย์แห่งประเทศไทย (SET), Finansia Syrus, ธนาคารกรุงศรีอยุธยา และ บางกอกแอร์เวย์ส (Bangkok Airways)
อีเมลปลอมเหล่านี้ถูกส่งจากโดเมนจริงขององค์กรผ่านระบบ ซึ่งถูกแฮกเกอร์ใช้เป็นเครื่องมือส่ง Phishing Scam ครั้งใหญ่ที่สุดครั้งหนึ่งของไทย
จุดอ่อนที่นำไปสู่การโจมตีของเหตุการณ์นี้
จากการรายงานของสำนักงาน PDPC (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล), NCSC (คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ) และ SecNia พบว่าผู้ไม่หวังดีสามารถเข้าถึงบัญชีผู้ใช้บนระบบได้ ผ่านช่องโหว่ของระบบยืนยันตัวตน (2FA) 
ช่องโหว่ที่พบ
- รหัส OTP มีอายุยาวเกินไป (24 ชั่วโมง) ทำให้ถูกนำไปใช้ซ้ำได้
- ไม่มีการจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบ (Brute Force Protection)
- ระบบแจ้งเตือนการเข้าสู่ระบบผิดปกติ ไม่ทำงานเต็มประสิทธิภาพ
หลังจากเข้าควบคุมบัญชีผู้ใช้ได้สำเร็จ แฮกเกอร์ได้สร้างแคมเปญอีเมลใหม่ โดยใช้โดเมนจริงขององค์กรลูกค้า เพื่อส่งข้อความปลอมเชิญชวนให้ลงทุนใน $FINANSIA Token และสินทรัพย์ดิจิทัลอื่นๆ
แล้วทำไมระบบกรองสแปมถึงปล่อยผ่าน ?
เพราะอีเมลถูกส่งจาก โดเมนจริง (Official Domain) ขององค์กร ไม่ใช่โดเมนปลอม ระบบ Spam Filler และ Firewall ส่วนใหญ่จึงตรวจจับไม่ได้ และข้อความถูกส่งตรงไปยังกล่องข้อความเข้า (Inbox) ของผู้รับ
ผลกระทบที่เกิดขึ้น จากความเชื่อมั่นสู่วิกฤตความน่าเชื่อถือ
เหตุการณ์นี้ไม่ได้กระทบแค่ผู้ใช้งานอีเมลทั่วไป แต่ยังส่งแรงสั่นสะเทือนไปทั่งวงการธุรกิจไทย
ด้านความมั่นคงไซเบอร์ (Cybersecurity)
- ระบบ SaaS ที่องค์กรจำนวนมากใช้ ถูกพิสูจน์แล้วว่าอาจเป็นจุดรวมความเสี่ยง หากขาดการควบคุมด้าน Security
- ภาครัฐต้องเข้ามามีบทความตรวจสอบทันที โดย PDPC เรียกแพลตฟอร์มรายนี้เข้าชี้แจงข้อเท็จจริงเกี่ยวกับ การรั่วไหลข้อมูลส่วนบุคคล (Data Breach)
- หน่วยงานความมั่นคง (NCSC) และ ETDA ต้องบล็อค URL อันตรายมากกว่า 100 ลิงก์ เพื่อหยุดการแพร่กระจายของอีเมลปลอม
ด้านชื่อเสียงองค์กร
องค์กรที่ถูกแอบอ้าง เช่น SET, Finansia Syrus, ธนาคารกรุงศรีฯ และ Bangkok Airways ต้องออกแถลงการณ์ชี้แจงต่อสาธารณะทันที เพื่อยืนยันว่าไม่ได้มีส่วนเกี่ยวข้องกับแคมเปญดังกล่าว การสื่อสารในภาวะฉุกเฉินจึงการเป็นภารกิจด่วนของฝ่ายสื่อสารองค์กร
ด้านความเชื่อมั่นในผู้ให้บริการ SaaS ไทย
กรณีนี้สร้างคำถามสำคัญในแวดวงเทคโนโลยีว่า “แพลตฟอร์ม SaaS ไทย มีมาตรฐานความปลอดภัยเพียงพอหรือยัง?” เมื่อผู้ให้บริการรายใหญ่ถูกโจมตี ภาพลักษณ์ของอุตสาหกรรม Cloud และ Marketing Tech โดยรวมก็ถูกสั่นคลอนตามไปด้วย
ความปลอดภัยของข้อมูลไม่ใช่ต้นทุน แต่คือสินทรัพย์
ในยุคดิจิทัลความเชื่อมั่นของลูกค้า ถูกสร้างจากความปลอดภัยของข้อมูล มากพอๆ กับคุณภาพของบริการ ซึ่งการที่ผู้ให้บริการต้องหยุดระบบบางส่วนชั่วคราวเพื่อสอบสวน ทำให้ลูกค้าธุรกิจจำนวนมากต้องหยุดแคมเปญการสื่อสารโดยปริยาย
ธุรกิจได้รับผลกระทบใน 3 มิติหลัก
1. Operation Disruption ระบบส่งอีเมลหยุดชะงัก ทำให้แคมเปญการตลาด และการแจ้งลูกค้าล่าช้า
2. Brand Impact ลูกค้าเสียความเชื่อมั่นต่อแพลตฟอร์ม และองค์กรถูกแอบอ้าง
3. Regulatory Risk หากพบว่ามีข้อมูลส่วนบุคคลรั่วไหล อาจต้องรับโทษตาม PDPA
ข่าวนี้สรุปประเด็นร้อนที่แฮกเกอร์ “ใช้บัญชีส่งเมล” บนแพลตฟอร์ม “Taximail” ซึ่งเป็นบริการส่งอีเมลการตลาด (Mass Email) โดยแฮกเกอร์เจาะพาสเวิร์ดและเข้ายึดโดเมนเนมของ 4 บริษัท เพื่อใช้ส่ง Email สแกมเมอร์แนบลิงก์หลอกลวง ชักชวนให้ลงทุนในคริปโทเคอร์เรนซี
ข้อเท็จจริงที่สำคัญ:
- ไม่ได้เกิดจากการแฮกระบบของ 4 บริษัทโดยตรง: รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ชี้แจงว่า เหตุการณ์นี้ไม่ได้เกิดจากการแฮกระบบหลักของทั้ง 4 บริษัท และไม่มีข้อมูลประชาชนรั่วไหล
- ช่องโหว่ที่คาดการณ์: การตรวจสอบเบื้องต้นพบว่า ช่องทางการแฮกอาจเกิดจาก “ช่องว่างของกระบวนการยืนยันตัวตนแบบ Two-Factor Authentication (2FA) ผ่าน Email”
- ปัญหาของ 2FA: ระบบ 2FA ดังกล่าวมีการกำหนดอายุการใช้งานของรหัส OTP “ค่อนข้างนาน (ประมาณ 24 ชั่วโมง)” และรหัส OTP เป็น “ตัวเลข 6 หลัก” ทำให้แฮกเกอร์สามารถใช้วิธีโจมตีแบบ brute-force (การสุ่มรหัสผ่าน) ได้
- ผลกระทบ: พบว่ามีผู้คลิกลิงก์หลอกลวงประมาณ 3,000 ราย และมี 1 รายที่กดยืนยันตัวตนผ่านลิงก์ปลอม (แต่ยังไม่มีรายงานความเสียหายเพิ่มเติม)
การดำเนินการของหน่วยงานที่เกี่ยวข้อง:
- สกมช. (NCSA): ดำเนินการบล็อกลิงก์ที่ใช้หลอกลวงประมาณ 100 ลิงก์
- สคส. (PDPC): เรียกบริษัทผู้ใช้บริการ (ที่ถูกแฮกบัญชี) มาหารือเพื่อพิจารณาว่ามีข้อมูลส่วนบุคคลรั่วไหลหรือไม่
- สพธอ. (ETDA): แจ้งผู้ให้บริการ Mass Email ในไทย ให้เฝ้าระวังและยกระดับความปลอดภัย
ข้อแนะนำสำหรับองค์กร:
- เปิดระบบ 2FA เป็นแบบ Authenticator/App-based (หรืออย่างน้อย ลดอายุ OTP ให้สั้นลง ≤ 5 นาที และเพิ่มความซับซ้อนของรหัส)
- Reset รหัสผ่านบัญชีที่ใช้แพลตฟอร์ม Mass Email
- เปิดระบบแจ้งเตือนกิจกรรมผิดปกติ
- สื่อสารย้ำเตือนลูกค้าและผู้เกี่ยวข้องถึงเหตุการณ์ที่เกิดขึ้น
