เคยสงสัยหรือไม่? ทำไมพวกแก็งคอลเซ็นเตอร์ถึงมีข้อมูลของเราได้ ไม่ใช่เพียงแค่เบอร์โทรศัพท์เพียงอย่างเดียวเท่านั้น แต่มียันเลขประจำตัวประชาชน 13 หลัก ข้อมูลส่วนตัวแบบนี้หลุดไปได้อย่างไร แล้วใครเป็นคนปล่อยออกไป ซึ่งหลายๆ คนอาจเคยได้ยินหรือรู้จักดาร์กเว็บ (Dark Web) หรือเว็บมืด ที่เหล่าแฮกเกอร์ใช้ในการซื้อขายข้อมูลลับหรือสิ่งผิดกฎหมายกัน
ข้อมูลจาก Resecurity หน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ ติดตามความเคลื่อนไหวการโจมตีทางไซเบอร์ของประเทศไทย พบว่าปี 2567 เฉพาะเดือนมกราคมเพียงเดือนเดียว มีข้อมูลส่วนตัวของคนไทยหลุดไปเกือบ 20 ล้านบัญชี ทั้งชื่อ-นามสกุล เลขประจำตัวบัตรประชาชน เบอร์โทรศัพท์ อีเมล รูปถ่ายหน้าตรง ภาพบุคคลถือสำเนาบัตรประชาชน รวมถึงข้อมูลที่ละเอียดอ่อนและมีความเป็นส่วนตัวสูง เช่น น้ำหนัก ส่วนสูง และสถานะการจ้างงานปัจจุบัน ถูกปล่อยขายให้กับดาร์กเว็บ หรือเว็บมืด
ใครก็ตามที่คิดว่าเก็บข้อมูลส่วนตัวไว้เป็นอย่างดี มีความปลอดภัยที่สุด อาจหลุดอยู่ในมือของแฮกเกอร์ในขณะนี้ก็ได้ แล้วจะป้องกันข้อมูลกันอย่างไร ติดตามในภารกิจ “See True” ให้เห็นความจริง อีกทั้งดาร์กเว็บ หรือเว็บมืด ภัยอันตรายโลกไซเบอร์ คือหนึ่งต้นทางของแก๊งคอลเซ็นเตอร์ นำข้อมูลส่วนตัวคนไทยเอาไปหลอกลวง จนสงสัยว่าข้อมูลส่วนตัวเหล่านี้ถูกขายไปได้อย่างไร? มาหาคำตอบจากผู้เชี่ยวชาญด้านไซเบอร์
...
ข้อมูลส่วนตัวรั่วไหล เพราะหน่วยงานรัฐเปิดเผยเกินความจำเป็น
“พ.ต.อ.ณัทกฤช พรหมจันทร์” ผู้อำนวยการสำนักปฏิบัติการ สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ อธิบายว่า ดาร์กเว็บ เป็นเว็บไซต์ที่มีข้อมูลพิเศษ หรือข้อมูลเชิงลึก ซึ่งคนร้ายหรือมิจฉาชีพที่เข้าไปจะทำการซื้อขายข้อมูลอย่างผิดกฎหมาย เช่น ข้อมูลบัตรเครดิต ข้อมูลการใช้โซเชียลมีเดีย อย่างเช่นแฟนเพจต่างๆ ที่ปัจจุบันเหล่ามิจฉาชีพทำการหลอกลวงให้ลงทุน ก็มาจากดาร์กเว็บทั้งนั้น โดยการเข้าถึงดาร์กเว็บ คนทั่วไปอาจเข้าถึงยาก เพราะต้องใช้โปรแกรมพิเศษในการเข้า และในส่วนที่มีชื่อเสียงมากๆ ในดาร์กเว็บ มีการพูดถึงกันคือ Deep market ตลาดมืดที่มีการซื้อขายของผิดกฎหมาย
อย่างข้อมูลหน่วยงานราชการ มีทั้งชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ ที่อยู่ ก็มีกลุ่มมิจฉาชีพที่สนใจ หรือคิดว่าตรงกับประเด็นการใช้ประโยชน์ตรงนั้น มีชื่อนามสกุลจริง มีเบอร์โทรศัพท์ นำไปใช้เป็นจุดตั้งต้นในการหลอกลวงชาวบ้าน โดยการขายอาจคิดเป็นเงินดอลลาร์ แต่วิธีการโอนจริงจะเป็นพวกบิตคอยน์ หรือคริปโตเคอร์เรนซี และถือว่าดาร์กเว็บ เป็นส่วนหนึ่งที่คนร้าย มิจฉาชีพ หรือแก๊งคอลเซ็นเตอร์ เอาข้อมูลตรงนี้ไปใช้ประโยชน์ได้โดยตรงอย่างรวดเร็ว มีการซื้อขายในปริมาณมากหรือเป็นก้อน เฉลี่ยข้อมูล 1 คน ไม่ต่ำกว่า 1 บาท
สาเหตุที่ข้อมูลส่วนบุคคลหลุดไปอยู่ในดาร์กเว็บ เกิดจากอะไร "พ.ต.อ.สุรพงศ์ เปล่งขำ" ผู้อำนวยการสำนักตรวจสอบและกำกับดูแล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ระบุว่า จากการสำรวจเว็บไซต์และสื่อโซเชียลเน็ตเวิร์ก พบว่าหน่วยงานของรัฐมีการเปิดเผยข้อมูลของประชาชนเกินความจำเป็นมากที่สุด จนมิจฉาชีพสามารถเข้าไปรวบรวมมาได้ เพราะเป็นข้อมูลเปิด โดยเบอร์โทรศัพท์เป็นจุดเริ่มต้น ในการเก็บรวบรวมข้อมูลอย่างอื่น
“เลขบัตรประชาชนก็เอามาจากอีกที่หนึ่ง แล้วนำมารวบรวมมาใช้หลอกประชาชน ซึ่งความเสียหายจากการประกาศขายข้อมูลในดาร์กเว็บให้กับแก๊งคอลเซ็นเตอร์ ในการอาศัยข้อมูลส่วนบุคคลมาก่อให้เกิดอาชญากรรมทางเทคโนโลยีต่างๆ สร้างความเสียหายมหาศาล โดยในรอบปี 2566 มีประชาชนถูกหลอกลวงทางสื่อออนไลน์ประมาณ 2 แสนกว่าคดี มูลค่าความเสียหายประมาณ 3 หมื่นล้านบาท” พ.ต.อ.สุรพงศ์ กล่าวทิ้งท้าย
ราคาซื้อขายข้อมูลลับในเว็บมืด ตั้งแต่หลักร้อย ถึงหลักหมื่น
จากข้อมูลนอกจากดาร์กเว็บ หรือเว็บมืด มีการซื้อขายข้อมูลส่วนบุคคลแล้ว ยังซื้อขายสิ่งของผิดกฎหมาย ทั้งยาเสพติด และอาวุธปืน โดยสิ่งที่แฮกเกอร์หรือมิจฉาชีพนิยมซื้อขายกัน 3 อันดับแรก 1. ข้อมูลธนาคาร ข้อมูลบัตรเครดิต ราคาประมาณ 20-30 ดอลลาร์ หรือประมาณ 700-1,000 บาท 2. ข้อมูลอีเมล และข้อมูลคริปโตเคอร์เรนซี ราคาประมาณ 100-600 ดอลลาร์ หรือประมาณ 3,000-20,000 บาท และ 3. ข้อมูลระบบ E-Commerce และโซเชียลมีเดียต่างๆ ราคาประมาณ 25-200 ดอลลาร์ หรือประมาณ 700-10,000 บาท
...
ส่วนสถิตการรั่วไหลข้อมูลส่วนบุคคลใน 5 ปีที่ผ่าน พบว่าประเทศไทยมีข่าวข้อมูลหลุดอยู่จำนวนไม่น้อย นับตั้งแต่ปี 2561 มีบริษัทธุรกิจสื่อสารแห่งหนึ่งถูกขโมยข้อมูลลูกค้า 46,000 ราย ปี 2563 โรงพยาบาลแห่งหนึ่ง ถูกแฮกเกอร์โจมตีฐานข้อมูลของโรงพยาบาลทั้งหมด ปี 2564 สายการบินแห่งหนึ่งถูกขโมยข้อมูลลูกค้า ทั้งชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ อีเมล รวมถึงบัตรเครดิต ปี 2565 ข้อมูลส่วนตัวนักเรียนปี 2564 หลุดรั่วไปกว่า 23,000 ราย และปี 2566 แฮกเกอร์ ที่ใช้นามแฝงว่า “9near” ประกาศขายข้อมูลคนไทย 55 ล้านคน ซึ่งข้อมูลส่วนบุคคลที่ถูกขโมยจะถูกประกาศขายอยู่บนดาร์กเว็บ
นอกจากนี้ผลสำรวจของศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล PDPC Eagle Eye ตั้งแต่เดือนพฤศจิกายน ปี 2566 ถึงเดือนเมษายน ปี 2567 พบว่ามีการรั่วไหลของข้อมูลกว่า 5,000 เรื่อง อันดับ 1 คือ องค์การบริหารส่วนท้องถิ่น อันดับ 2 หน่วยงานภาครัฐ และอันดับ 3 สถาบันการศึกษา
ใส่รหัสป้องกันอย่างดี ไม่ได้แปลว่าจะปลอดภัย พึงระวัง!!
หญิงผู้เสียหายรายหนึ่ง เคยตกเป็นเหยื่อมิจฉาชีพ ให้ข้อมูลว่า มีการสั่งซื้อของออนไลน์ ก่อนมีข้อความจากบริษัทขนส่งแจ้งว่าของส่งมาไม่ได้ และหลังจากทำการกดรับข้อความจากมิจฉาชีพที่อ้างว่าเป็นบริษัทขนส่ง แจ้งว่าของมีปัญหาไม่สามารถส่งได้ และขั้นตอนการดูดเงินก็เริ่มต้นขึ้น จนสูญเงินไปเกือบ 1 ล้านบาท และหญิงรายนี้อาจไม่ใช่เหยื่อคนสุดท้ายที่โดนแก๊งมิจฉาชีพหลอกลวง จากการขโมยข้อมูล
...
แล้วประชาชนจะสามารถตรวจสอบข้อมูลส่วนตัวว่าหลุดอยู่ในดาร์กเว็บได้หรือไม่ “พล.ต.อ.อมร ชมเชย” เลขาธิการคณะกรรมการ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ได้แนะนำว่า หากใครสงสัยข้อมูลส่วนตัวถูกปล่อยรั่วหรือไม่ สามารถตรวจสอบในเว็บไซต์ haveibeenpwned โดยเอาอีเมลส่วนตัวกรอกเข้าไป ก็จะรู้ว่าอีเมลนี้เคยรั่วที่ไหนบ้าง
หลายคนคิดว่าข้อมูลส่วนตัวป้องกันอย่างดี ด้วยรหัสต่างๆ ก็ไม่ได้แปลว่าจะปลอดภัย หรือจะไม่ถูกขโมยไปได้ เพราะแฮกเกอร์จะไม่เอาข้อมูลเป็นรายบุคคล แต่จะเอาจากหน่วยงาน องค์กร หรือสื่อโซเชียลต่างๆ ที่เคยเข้าไปมีส่วนร่วมในการสมัคร หรือใช้งานในแอปพลิเคชันบางตัว ซึ่งบางแอฟฯ ต้องมีการยินยอมเปิดเผยข้อมูล และใส่ข้อมูลส่วนตัวลงไป หรือถ่ายบัตรประจำตัวประชาชนไปเพื่อเปิดการใช้งาน หากแอปนั้นถูกแฮกเกอร์ขโมยข้อมูล ก็จะถูกดูดไปด้วย
การป้องกันหรือปราบดาร์กเว็บ อาจไม่ใช่เรื่องง่ายๆ แต่สามารถป้องกันการถูกขโมยข้อมูลได้ เช่น การเปลี่ยนรหัสพาสเวิสด์บ่อยๆ ไม่กดลิงก์แปลกปลอม หรือ ตรวจสอบจากเว็บไซต์ haveibeenpwned และหากรู้สึกแก๊งคอลเซ็นเตอร์โทรหาต่อเนื่อง หรือมีการเสนอขายโปรโมชันต่างๆ ผ่านการโทรหรือข้อความ สามารถร้องเรียนได้ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC แอดline @pdpcthailand ติดตาม #ข่าวแสบเฉพาะกิจ รายการวาไรตี้ข่าวสุดแสบ จะพิสูจน์ ตรวจสอบ พร้อมลงทุกพื้นที่ ขยี้ทุกความจริง ทุกวันเสาร์ 6 โมงเย็น ทางไทยรัฐทีวี ช่อง 32.
...