คนร้ายแฮกเฟซบุ๊กระบาดหนัก ขอรหัส OTP ทาง SMS จากมือถือของเหยื่อ ก่อนหลอกขอรหัส หวังยึดบัญชีทันที พบมีทั้งส่ง SMS ทั้งทักแชต อินบ็อกซ์ สวมรอยเป็นเพื่อน ขอความช่วยเหลือ ตำรวจ ปอท.ชี้ OTP จะได้รับเฉพาะตัว ไม่มีการฝากส่ง OTP ไปให้มือถือคนอื่นแน่นอน แนะอย่าตอบกลับ อย่าส่งไป หยุดการสนทนาจะได้ปลอดภัย
วันนี้ (26 ม.ค.) รายงานข่าวแจ้งว่า ขณะนี้ได้มีคนร้ายแฮกเฟซบุ๊ก โดยใช้วิธีกรอกหมายเลขโทรศัพท์ของเหยื่อ เพื่อส่งรหัสยืนยันแบบใช้ครั้งเดียว หรือ One Time Password (OTP) ที่มีอายุ 3-5 นาที ใช้สำหรับการยืนยันตัวตนแบบสองชั้น (Two-Factor Authentication) มาให้ แล้วอาศัยผู้อื่นกู้คืนบัญชีเฟซบุ๊ก เพื่อเข้าถึงข้อมูลของเหยื่อได้ สร้างความเสียหายให้แก่ผู้ใช้เฟซบุ๊ก ถูกคนร้ายแฮกเพื่อนำไปใช้ในการก่อเหตุอาชญากรรม เช่น การสวมรอยหลอกขอยืมเงินผู้อื่น แต่ให้โอนเงินเข้าบัญชีธนาคารที่ไม่ใช่ของเหยื่อ เป็นต้น
ลักษณะการก่อเหตุที่ “ทีมข่าวโซเชียลมีเดีย MGR Online” พบด้วยตัวเอง ก็คือ จะมี SMS ระบุชื่อผู้ส่ง FACEBOOK ส่งข้อความว่า “รหัสยืนยัน Facebook ของคุณ คือ FB-xxxxx” ซึ่งเป็นการขอรหัส OTP เพื่อยืนยันตัวตน ทั้งๆ ที่ผู้ใช้ไม่ได้ร้องขอใดๆ จากนั้นอีก 3 นาทีต่อมาจะมี SMS ระบุชื่อผู้ส่ง Facebook ระบุว่า “รหัสของ ... (ชื่อผู้ใช้เฟซบุ๊กคนที่ไม่รู้จัก) คือ: FB-xxxxx ไปที่ Facebook แล้วป้อนรหัสเพื่อยืนยันหรือไปที่ https://fb.me/xxxxxxxxxxxxxxx” แต่ผู้สื่อข่าวสังเกตได้ถึงความผิดปกติ เพราะชื่อเฟซบุ๊กที่กล่าวอ้างไม่เคยเป็นเพื่อนกันมาก่อน จึงตัดสินใจไม่กรอกรหัสตามที่เหยื่อส่งลิงก์มา
พ.ต.อ.ศิริวัฒน์ ดีพอ รองผู้บังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (รอง ผบก.ปอท.) ในฐานะรองโฆษกสำนักงานตำรวจแห่งชาติ เปิดเผยว่า ที่ผ่านมา ได้มีผู้มาแจ้งความร้องทุกข์และขอความช่วยเหลือกรณีถูกคนร้ายแฮก หรือเข้าถึงระบบเฟซบุ๊กโดยไม่ได้รับอนุญาต เพิ่มขึ้นเป็นจำนวนมาก โดยมีมิจฉาชีพที่เรียกว่าแฮกเกอร์ (Hacker) แอบอ้างเป็นเจ้าหน้าที่ธนาคาร สถาบันการเงิน หรือผู้ให้บริการโทรศัพท์มือถือ เพื่อหลอกขอรหัสยืนยัน SMS OTP จากเหยื่อไปกรอกเพื่อเข้าถึงข้อมูลของเหยื่อได้ โดยมีการหลอกลวงในหลายรูปแบบ
แต่ระยะหลังมีผู้เสียหายเข้าแจ้งความ และขอความช่วยเหลือเจ้าหน้าที่ตำรวจ โดยพบว่ามิจฉาชีพมีการใช้ความเป็นเพื่อนร่วมกันในเฟซบุ๊ก (Mutual Friend) มาหลอกขอ SMS OTP มากขึ้น โดยอ้างตัวเป็นครูอาจารย์ เจ้านาย เพื่ออาศัยความเกรงใจจากเหยื่อ เมื่อเหยื่อบอกรหัส SMS OTP ไปแล้ว มิจฉาชีพจะเข้าไปยึดบัญชีเฟซบุ๊กของเหยื่อได้ทันที ซึ่งปกติทางผู้ให้บริการจะให้เจ้าของมือถือกรอกรหัส SMS OTP เพื่อยืนยันตัวตนด้วยตัวเอง จะไม่มีการฝากส่งรหัส SMS OTP ของคนอื่นมาที่มือถือของเรา
“ยกตัวอย่างเช่น นายเอ เป็นเพื่อนกับเฟซบุ๊ก น.ส.บี แต่คนร้ายเข้ายึดแฮกเฟซบุ๊กของ น.ส.บี ไปแล้ว ก่อนจะส่งข้อความผ่าน Facebook Messenger แชตไปยังนายเอ ว่า เฟซบุ๊ก น.ส.บี ถูกแฮก เดี๋ยวทางเฟซบุ๊กจะส่ง OTP ไปให้นายเอ ขอให้นายเอส่งรหัส OTP กลับมาให้ด้วย จะได้กู้เฟซบุ๊กคืน แต่ความเป็นจริง น.ส.บี เป็นแฮกเกอร์สวมรอยมา อาจจะได้ข้อมูลหมายเลขโทรศัพท์นายเอ หรือข้อมูลอะไรก็ตามของนายเอ แต่ยังขาดแค่ OTP คนร้ายจึงแค่หลอกเหยื่อ คือ นายเอ ด้วยการอ้างว่าจะกู้เฟซบุ๊กคืน ให้เฟซบุ๊กส่ง OTP ไปที่นายเอ ซึ่งจะเป็นเหยื่อรายต่อไปแทน ด้วยความเป็นเพื่อนหรือความเป็นห่วง เกรงว่าเพื่อนจะลำบาก เห็นว่า น.ส.บี ถูกแฮก ก็อยากจะช่วยเพื่อนที่ถูกแฮก จึงบอกรหัส OTP ให้คนร้ายไป ก่อนที่คนร้ายจะเอารหัส OTP ไปยึดบัญชีเฟซบุ๊กของเหยื่อ คือ นายเอได้ทันที”
พ.ต.อ.ศิริวัฒน์ กล่าวว่า ถ้ามีเพื่อนหรือคนรู้จักขอร้องมาให้เรารับรหัส OTP แล้วให้บอกกับเขา ขอให้ตระหนักไว้ก่อนว่า อาจไม่ใช่เพื่อนหรือคนที่เรารู้จักแน่นอน น่าจะเป็นแฮกเกอร์มาหลอกลวงเรา อย่าส่ง หรือเอารหัส SMS OTP ส่งให้เขาเด็ดขาด และหยุดการสนทนาไปจะได้ปลอดภัย ไม่ตกเป็นเหยื่อมิจฉาชีพ หากประชาชนรายใดถูกแฮกบัญชีสื่อสังคมออนไลน์ ขอให้ปฏิบัติตามมาตรการ “3 แจ้ง” คือ 1. แจ้งเพื่อนเราด้วยทุกวิธีที่จะทำได้ว่า สื่อสังคมออนไลน์ของเราถูกแฮก เพื่อนเราจะได้ทราบ และไม่ตกเป็นเหยื่อของแฮกเกอร์อย่างอื่น เช่น แชตหลอกให้โอนเงิน 2. แจ้งขอความช่วยเหลือแพลตฟอร์มสื่อสังคมออนไลน์ เพื่อให้กู้คืนบัญชีสื่อสังคมออนไลน์กลับมาให้เรา และ 3. แจ้งความที่สถานีตำรวจ
