'ไชยชนก' ชง ครม. พรุ่งนี้ (11 พ.ย.68) ยกเครื่องความปลอดภัย เคาะมาตรการสกัดอีเมลปลอมแนบลิงก์หลอกลงทุน สั่งบล็อก 100 ลิงก์มิจฉาชีพ ตรวจเข้มช่องโหว่ 2FA–OTP พร้อมเร่งยกระดับมาตรฐาน Mass Email ปกป้องข้อมูลประชาชนให้ปลอดภัยสูงสุด
เมื่อวันที่ 10 พ.ย.68 นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยภายหลังเป็นประธานการประชุมหารือมาตรการป้องกันและปราบปราม การใช้ e-mail ปลอมแอบอ้างหน่วยงานเพื่อหลอกลงทุนสินทรัพย์ดิจิทัล โดยมีหน่วยงานที่เกี่ยวข้องเข้าร่วม ว่า เหตุการณ์ที่เกิดขึ้นไม่ใช่การแฮกระบบของทั้ง 4 บริษัทตามที่เป็นข่าว แต่เป็นการแฮกข้อมูล Username ที่ใช้เข้าสู่ระบบของผู้ให้บริการส่งอีเมล Taximail แล้วนำไปใช้ส่งข้อความ Mass Email หลอกลวงจำนวนมาก
นายไชยชนก กล่าวว่า มิจฉาชีพได้ใช้ข้อมูลการเข้าสู่ระบบของ 4 บริษัท ได้แก่ ธนาคารกรุงศรีอยุธยา จำกัด (มหาชน), ตลาดหลักทรัพย์แห่งประเทศไทย (SET), บางกอกแอร์เวย์ส และบริษัทหลักทรัพย์ ฟินันเซีย ไซรัส จำกัด (มหาชน) เพื่อส่งอีเมลแนบลิงก์หลอกลงทุนไปยังประชาชน แต่ไม่ได้มีการแฮกระบบภายในของทั้ง 4 บริษัท และไม่มีข้อมูลส่วนบุคคลของลูกค้ารั่วไหลแต่อย่างใด
จากการตรวจสอบพบว่า ช่องโหว่ของระบบเกิดจากการตั้งค่าการยืนยันตัวตนแบบสองชั้น (Two-Factor Authentication: 2FA) ผ่านอีเมลที่มีอายุรหัส OTP นานถึง 24 ชั่วโมง อีกทั้ง OTP เป็นรหัสตัวเลข 6 หลัก จึงเปิดโอกาสให้แฮกเกอร์ใช้วิธีสุ่มรหัสแบบ Brute-Force เพื่อเจาะเข้าระบบได้สำเร็จ
"สาเหตุหลักมาจากช่องว่างของระบบยืนยันตัวตน ซึ่งไม่ได้จำกัดจำนวนครั้งในการกรอกรหัส OTP และเปิดระยะเวลาการใช้งานไว้นานเกินไป จึงกลายเป็นช่องทางให้แฮกเกอร์ สามารถสุ่มรหัสจนเจอรหัสจริงได้" นายไชยชนก กล่าว
◉ บล็อกลิงก์หลอกแล้วกว่า 100 รายการ
นายไชยชนก กล่าวว่า สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้เข้าดำเนินการอย่างเร่งด่วน โดยสามารถบล็อกลิงก์หลอกลวงได้แล้วประมาณ 100 ลิงก์ ซึ่งมิจฉาชีพใช้สลับกันในการส่งอีเมลหลอกลวง พร้อมยืนยันว่ารัฐบาลให้ความสำคัญกับการป้องกันภัยไซเบอร์ที่กระทบต่อความเชื่อมั่นของประชาชนอย่างยิ่ง
ขณะเดียวกัน ได้มอบหมายให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC เรียกบริษัทที่ถูกนำชื่อไปแอบอ้างเข้าหารือ เพื่อพิจารณาว่ามีข้อมูลส่วนบุคคลรั่วไหลหรือไม่ รวมถึงสั่งให้ สกมช. ร่วมกับ Taximail ตรวจสอบระบบกลางและเฝ้าระวังการรั่วไหลของข้อมูลส่วนบุคคลอย่างต่อเนื่อง
"เราต้องรู้ให้แน่ชัดว่ามีข้อมูลประชาชนหลุดหรือไม่ และต้องยกระดับการป้องกันข้อมูลของผู้ใช้บริการทุกบริษัทให้เร็วที่สุด" นายไชยชนก กล่าว
◉ สั่ง ETDA ตรวจเข้มผู้ให้บริการ Mass Email
นอกจากนี้ นายไชยชนก ยังมอบหมายให้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ ETDA แจ้งผู้ให้บริการ Mass Email ทั่วประเทศให้เพิ่มมาตรการเฝ้าระวัง ยกระดับการรักษาความปลอดภัย และดูแลข้อมูลส่วนบุคคลของลูกค้าอย่างเข้มงวด พร้อมทั้งรวบรวมหลักฐานทั้งหมดส่งให้ สำนักงานตำรวจแห่งชาติ (ตร.) ดำเนินคดีตามกฎหมาย
"ตอนนี้เรารู้ว่ามิจฉาชีพส่งอีเมลนับ 100,000 อีเมล มีผู้คลิกลิงก์ประมาณ 3,000 ครั้ง และพบความเสียหายจริงเพียง 1 ราย แต่ผมได้สั่งให้ตรวจสอบและช่วยเหลืออย่างเต็มที่ทันที เพื่อไม่ให้ประชาชนต้องรับความเสียหายเพิ่ม" นายไชยชนก กล่าว
◉ เสนอ ครม. ปรับวิธีส่ง e-mail ภาครัฐ เลิกแนบลิงก์เสี่ยงหลอกลวง
นายไชยชนก กล่าวว่า ได้กำหนดแนวทางป้องกันเพิ่มเติมในเชิงนโยบาย โดยจะเสนอให้ที่ประชุมคณะรัฐมนตรี (ครม.) พิจารณากำหนดมาตรฐานใหม่ของหน่วยงานรัฐในการส่งอีเมลประชาสัมพันธ์ โดยห้ามแนบลิงก์ที่เกี่ยวข้องกับการขอข้อมูลส่วนบุคคลหรือธุรกรรมทางการเงิน เพื่อปิดช่องทางที่มิจฉาชีพมักใช้ในการหลอกลวง
"ผมจะเสนอเรื่องนี้เข้า ครม. ในวันที่ 11 พ.ย.68 เพื่อให้ทุกหน่วยงานปรับวิธีการส่งอีเมลแนบลิงก์ โดยเฉพาะเรื่องการขอข้อมูลส่วนตัวหรือธุรกรรมต่างๆ ต้องยกระดับความปลอดภัยให้มากขึ้น และต้องมีระบบที่อำนวยความสะดวกควบคู่ไปด้วย เพื่อความปลอดภัยสูงสุดของประชาชน" นายไชยชนก กล่าว
ทั้งนี้ ภาครัฐต้องเป็นตัวอย่างในการใช้เทคโนโลยีอย่างปลอดภัย และควรร่วมมือกับภาคเอกชนในการกำหนดมาตรฐานกลาง เพื่อสร้างความมั่นใจให้ประชาชนในโลกดิจิทัลที่เปลี่ยนแปลงอย่างรวดเร็ว
"เราต้องทำให้ประชาชนรู้เท่าทันภัยไซเบอร์ หากได้รับข้อความหรืออีเมลที่แนบลิงก์มา อย่ากด อย่าคลิก เพราะนั่นคือประตูของมิจฉาชีพ การรู้เท่าทันคือการป้องกันที่ดีที่สุด" นายไชยชนก กล่าว
