“ไชยชนก” เร่งเสนอ ครม. ห้ามหน่วยงานต่างๆ แนบลิงก์ในอีเมล์ – SMS เด็ดขาด ยกระดับความปลอดภัย ปชช.

เมื่อวันที่ 10 พ.ย. นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยหลังการประชุมหารือแนวทางการดำเนินการและมาตรการในการป้องกันปราบปรามการใช้ e-mail ปลอมแอบอ้างหน่วยงานเพื่อหลอกลงทุนสินทรัพย์ดิจิทัล ว่า จากการตรวจสอบพบว่า กรณีที่แฮกเกอร์ ใช้ข้อมูล Username สำหรับเข้าระบบ แท็กซี่เมล์ (Taximail) ที่เป็นแพลตฟอร์มสำหรับทำการตลาดผ่านอีเมลอัตโนมัติ ให้บริการระบบส่งอีเมล์จำนวนมาก ในนาม 4 บริษัท เพื่อนำไปใช้ในการส่งข้อความ Mass email หรือการส่งอีเมลข่าวสาร โปรโมชัน แนบลิงก์หลอกลวงจำนวนมากไปยังประชาชน แต่ไม่ใช่การแฮกระบบของทั้ง 4 บริษัทตามที่เป็นข่าว รวมทั้งไม่มีการแฮกข้อมูลของประชาชน

 ซึ่งแฮกเกอร์ ใช้วีธีการสุ่มพาสเวิร์ค จนสามารถเข้าใช้งานได้แล้ว ส่งอีเมล์จากโดเมนจริงถึงลูกค้าทั้ง 4 บริษัท  แต่เป็นการแนบลิงก์หลอกลวงไปมากกว่า 1  แสนฉบับ ซึ่งจากการตรวจสอบพบมีผู้ที่ได้รับอีเมล์ มีการกดลิงก์หลอกลวง จำนวน 3,000  ราย  แต่มีผู้เสียหายเพียง 1 ราย ซึ่งกำลังตรวจสอบมูลค่าความเสียหาย โดยได้ให้รายงานในวันพรุ่งนี้ และตอนนี้อีเมล์ ถูกระงับหมดแล้ว ลิงก์จะไม่มีกดได้  ความเสียหายจากกรณีนี้จะไม่เกิดขึ้นแล้ว

“มีการใช้อีเมล์ ของ 4 องค์กรจริง ในการส่งอีมล์จากโดเมนจริง ไปถึงลูกค้า แต่ทำการแนบลิงก์หลอกลวง แต่มีผู้เสียหายเพียง 1  ราย กำลังให้สรุปความเสียหาย และได้ให้หน่วยงานที่เกี่ยวข้องตรวจสอบในการติดตามแฮกเกอร์ พบว่าในเบื้อต้น เป็นการใช้ 4 ไอพีแอดเดรส สุ่มรหัสผ่านซึ่ง มาจากต่างประเทศทั้งหมดตั้งแต่วันที่ 4-5 พ.ย. และในวันที่  8 พ.ย. พบ 1 ไอพีแอดเดรส จากต่างประเทศเข้าระบบ และส่งอีเมล์ออกไปได้ ซึ่งการติดตามตัวอาจทำได้อยาก แต่ จะพยายามให้หน่วยงานที่เกี่ยวข้องดำเนินการ อย่างไรก็ตามจากการตรวจสอบทางเทคนิค เกิดจากช่องว่างของกระบวนการยืนยันตัวตนแบบ Two-Factor Authentication (2FA) ผ่านอีเมล ซึ่งกำหนดอายุการใช้งานของรหัส OTP นานเกินไป ( 24 ชั่วโมง) และ รหัส OTP เป็นรหัสตัวเลข 6 หลักซึ่งทำให้สามารถนำไปใช้ในการโจมตีรูปแบบ brute-force ได้”

นายไชยชนก กล่าวต่อว่า  สำหรับในการแก้ปัญหาเบื้องต้น ได้ให้หน่วยงานกำกับดูแล ทั้ง สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)  และสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) พิจารณาแนวทางการแก้ไขปัญหา  โดยจะข้อความร่วมมือหน่วยงานกำกับ ขอความร่วมมือ องค์กรต่างๆ ที่อยู่ในกำกับ ทั้งภาครัฐ และ เอกชน ไม่มีการส่งลิงค์แนบ ทั้งจากอีเมล์ และการส่งเอสเอ็มเอส โดยจะนำเรื่องเสนอเข้าคณะรัฐมนตรี(ครม.) อย่างเร็วที่สุด หรืออาจเป็นพรุ่งนี้ เพื่อประกาศให้ทุกหน่วยงานงานรับทราบว่าจะไม่มีการส่งลิงก์แนบอีกแล้ว 

 สำหรับในระยะยาวจะมีการยกระดับโดยให้ผู้บริการรับส่งอีเมล์จำนวนมากเพื่อทำการตลาด ให้เข้ามาอยู่ในการกำกับดูแล ซึ่งจะต้องมีการออกกฎหมายมาบังคับใช้ต่อไป  อย่างไรก็ตามขอเตือนประชาชนอย่ากดลิงก์ แนบทั้งจากอีเมล์ และเอสเอ็มเอส ซึ่งจะช่วยสร้างความปลอดภัย ไม่ตกเป็นเหล่ามิจฉาชีพเหล่านี้ต่อไป