- 23
- มีนาคม
หน่วยข่าวกรองเนเธอร์แลนด์ (AIVD) ออกคำเตือนเมื่อวันที่ 9 มีนาคม 2569 ว่าแฮกเกอร์ที่รัฐบาลรัสเซียสนับสนุน กำลังโจมตีบัญชี WhatsApp และ Signal ของเจ้าหน้าที่รัฐทั่วโลก โดยไม่ต้องใช้มัลแวร์แม้แต่ตัวเดียว — ใช้เพียง Social Engineering หลอกให้เหยื่อมอบรหัสยืนยันตัวตนเอง ต่อมา FBI และ CISA ยืนยันเหตุการณ์เมื่อวันที่ 21 มีนาคม 2569 ว่าบัญชีหลายพันรายถูกยึดแล้ว
สรุปเหตุการณ์สำคัญ
- เป้าหมาย: เจ้าหน้าที่รัฐ ทหาร นักการเมือง นักข่าวทั่วโลก (รวมถึงสหรัฐอเมริกา)
- ผู้โจมตี: Star Blizzard, UNC5792 (UAC-0195), UNC4221 (UAC-0185) — กลุ่มแฮกเกอร์ที่รัสเซียสนับสนุน
- วิธีการ: Social Engineering — ปลอมเป็นฝ่ายสนับสนุน Signal อ้างว่า "ข้อมูลรั่วไหล" แล้วขอรหัส SMS + PIN
- ความเสียหาย: บัญชีหลายพันรายทั่วโลกถูกยึด
- ผลกระทบ: อ่านข้อความ ดูรายชื่อ ส่งข้อความในนามเหยื่อ หลอกลวงต่อเนื่อง
Timeline — เหตุการณ์การโจมตี WhatsApp และ Signal โดยรัสเซีย
| วันที่ | เหตุการณ์ |
|---|---|
| ต้นปี 2569 | กลุ่ม Star Blizzard และ UNC5792 เริ่มแคมเปญโจมตี Signal และ WhatsApp ของเจ้าหน้าที่รัฐหลายประเทศ |
| ก.พ. - มี.ค. 2569 | แฮกเกอร์ส่งข้อความปลอมตัวเป็นฝ่ายสนับสนุน Signal อ้างว่า "ข้อมูลของคุณรั่วไหล" ขอให้ยืนยันตัวตน |
| 9 มี.ค. 2569 | AIVD (หน่วยข่าวกรองเนเธอร์แลนด์) ออกคำเตือนว่าแฮกเกอร์รัสเซียกำลังโจมตี Signal/WhatsApp ของเจ้าหน้าที่รัฐ |
| 21 มี.ค. 2569 | FBI และ CISA ยืนยันว่าบัญชีหลายพันรายถูกยึด ออก Advisory เตือนทุกองค์กร |
วิธีโจมตีแบบไม่ใช้มัลแวร์ — Social Engineering คืออะไร?
การโจมตีครั้งนี้ไม่ได้ใช้ช่องโหว่ซอฟต์แวร์หรือมัลแวร์ แต่ใช้ Social Engineering — เทคนิคหลอกลวงทางจิตวิทยาให้เหยื่อมอบข้อมูลสำคัญเอง กลุ่ม Star Blizzard ใช้ขั้นตอนดังนี้:
- ปลอมตัว: ส่งข้อความอ้างเป็น "ฝ่ายสนับสนุน Signal" หรือ "ทีมความปลอดภัย WhatsApp"
- สร้างความตกใจ: แจ้งว่า "ตรวจพบข้อมูลของคุณรั่วไหล" หรือ "บัญชีของคุณกำลังจะถูกระงับ"
- ขอรหัสยืนยัน: บอกให้ส่ง SMS Verification Code และ PIN เพื่อ "ยืนยันตัวตน"
- ยึดบัญชี: ใช้รหัสที่ได้ลงทะเบียนบัญชี Signal/WhatsApp ของเหยื่อบนอุปกรณ์ของแฮกเกอร์
ทำไมถึงอันตรายมาก?
เพราะเมื่อแฮกเกอร์ยึดบัญชีได้แล้ว สามารถ อ่านข้อความทั้งหมด ดูรายชื่อผู้ติดต่อ ส่งข้อความในนามเหยื่อ และที่อันตรายที่สุดคือ — สามารถ หลอกลวงคนอื่นต่อเนื่อง จาก Identity ที่น่าเชื่อถือ เช่น ปลอมเป็นเจ้าหน้าที่รัฐส่งข้อความหาเพื่อนร่วมงานเพื่อขอข้อมูลลับ นี่คือภัยคุกคามแบบเดียวกับ Insider Threat ที่ยากจะตรวจจับ
กลุ่มผู้โจมตี — ใครอยู่เบื้องหลัง?
| กลุ่ม | ชื่ออื่น | เป้าหมายหลัก |
|---|---|---|
| Star Blizzard | SEABORGIUM, ColdRiver | เจ้าหน้าที่รัฐ นักการทูต นักวิจัย ในประเทศ NATO |
| UNC5792 (UAC-0195) | — | กองทัพและหน่วยข่าวกรองของยูเครน |
| UNC4221 (UAC-0185) | — | ทหาร นักข่าว องค์กรพัฒนาเอกชน (NGO) |
ทั้ง 3 กลุ่มเป็น Advanced Persistent Threat (APT) ที่เชื่อมโยงกับรัฐบาลรัสเซีย มีเป้าหมายในการรวบรวมข่าวกรอง ไม่ใช่เรียกค่าไถ่ — ทำให้เหยื่อหลายรายไม่รู้ตัวว่าบัญชีถูกยึดไปแล้วหลายสัปดาห์
สิ่งที่แฮกเกอร์ทำได้หลังยึดบัญชี vs วิธีป้องกัน
| สิ่งที่แฮกเกอร์ทำได้ | วิธีป้องกัน |
|---|---|
| อ่านข้อความทั้งหมดในบัญชี | เปิด Registration Lock (PIN) และตั้ง PIN ที่แข็งแกร่ง |
| ดูรายชื่อผู้ติดต่อทั้งหมด | ไม่เก็บข้อมูลลับในแชท — ใช้ช่องทางเข้ารหัสแยกสำหรับข้อมูลสำคัญ |
| ส่งข้อความในนามเหยื่อ | ยืนยันตัวตนผ่านช่องทางอื่น (โทรศัพท์/พบตัว) ก่อนทำตามคำขอสำคัญ |
| หลอกลวงเพื่อนร่วมงานจาก Identity ที่น่าเชื่อถือ | ตั้งกฎว่าคำขอข้อมูลลับต้องผ่านการอนุมัติแบบ Multi-Channel Verification |
| เข้าถึงไฟล์ รูปภาพ เอกสารที่แชร์ในแชท | ตั้งค่า Disappearing Messages สำหรับข้อมูลละเอียดอ่อน |
Checklist ป้องกันบัญชี Messaging App — สำหรับองค์กร
| ลำดับ | สิ่งที่ต้องทำ | รายละเอียด |
|---|---|---|
| 1 | เปิด Registration Lock | Signal: Settings > Account > Registration Lock (PIN 6 หลัก+) / WhatsApp: Settings > Account > Two-step verification |
| 2 | ห้ามแชร์ Verification Code | Signal/WhatsApp จะไม่มีวันขอรหัส SMS จากคุณ — ใครขอรหัสคือมิจฉาชีพ 100% |
| 3 | ยืนยันตัวตนผ่านช่องทางอื่น | ถ้าได้รับข้อความจาก "ฝ่ายสนับสนุน" ให้โทรหาหมายเลขที่เผยแพร่บนเว็บไซต์ทางการ |
| 4 | ตรวจสอบ Linked Devices | เข้า Settings > Linked Devices ตรวจว่าไม่มีอุปกรณ์แปลกเชื่อมต่ออยู่ |
| 5 | อบรมพนักงาน | จัด Security Awareness Training เรื่อง Social Engineering ทุก 6 เดือน |
| 6 | ตั้งนโยบายสื่อสารองค์กร | กำหนดว่าข้อมูลลับต้องสื่อสารผ่านช่องทางใด และห้ามใช้ Messaging App สำหรับข้อมูลระดับใด |
เชื่อมโยง ERP — ทำไมความปลอดภัยการสื่อสารสำคัญต่อองค์กร
แม้เหตุการณ์นี้เป็นการโจมตี Messaging App แต่ บทเรียนสำคัญนำมาใช้กับความปลอดภัยของทุกระบบในองค์กร — รวมถึงระบบ ERP:
- Insider Threat จาก Account ที่ถูกยึด: ถ้าแฮกเกอร์ยึดบัญชีแชทของผู้บริหาร อาจส่งข้อความสั่งทีมงานให้เปลี่ยนแปลงข้อมูลใน ERP (เช่น โอนเงิน อนุมัติ PO ปลอม)
- Social Engineering ใช้ได้กับทุกระบบ: เทคนิคเดียวกันสามารถใช้หลอกให้พนักงานเปิดเผยรหัส ERP ได้เช่นกัน
- Multi-Channel Verification: คำสั่งสำคัญใน ERP ต้องยืนยันผ่านหลายช่องทาง — ไม่ใช่แค่ข้อความในแชท
| หลักการป้องกัน | ใช้กับ Messaging App | ใช้กับ ERP |
|---|---|---|
| Multi-Factor Authentication | เปิด Registration Lock + PIN ใน Signal/WhatsApp | บังคับ MFA ทุก Login + ใช้ FIDO2 สำหรับ Admin |
| Identity Verification | ยืนยันตัวตนผ่านช่องทางอื่นก่อนทำตามคำขอ | Separation of Duties — คำสั่งสำคัญต้องมีผู้อนุมัติ |
| Audit Trail | ตรวจสอบ Linked Devices เป็นประจำ | บันทึกทุกการเปลี่ยนแปลง + แจ้งเตือนกิจกรรมผิดปกติ |
Saeree ERP — ระบบควบคุมการเข้าถึงที่ป้องกัน Social Engineering
Saeree ERP มีระบบ Role-Based Access Control กำหนดสิทธิ์แต่ละตำแหน่ง, Audit Trail บันทึกทุกการเปลี่ยนแปลง, Separation of Duties ป้องกันการอนุมัติโดยคนเดียว และรองรับ Multi-Factor Authentication — แม้บัญชีแชทของผู้บริหารจะถูกยึด แฮกเกอร์ก็ไม่สามารถสั่งการผ่านระบบ ERP ได้โดยไม่ผ่านกระบวนการอนุมัติ
สรุป — บทเรียนจากการโจมตี WhatsApp/Signal ที่ทุกองค์กรต้องจำ
| บทเรียน | รายละเอียด |
|---|---|
| 1. ไม่ต้องมีมัลแวร์ก็แฮกได้ | Social Engineering ใช้จิตวิทยาหลอกลวง — Antivirus ช่วยไม่ได้ |
| 2. ห้ามแชร์ Verification Code เด็ดขาด | ไม่มีบริษัทไหนขอรหัส SMS จากคุณ — ใครขอคือมิจฉาชีพ |
| 3. เปิด 2FA ทุกแอปทันที | Registration Lock/Two-Step Verification ป้องกันการยึดบัญชีได้ 90%+ |
| 4. Identity ที่ถูกยึดอันตรายกว่ามัลแวร์ | แฮกเกอร์ที่ปลอมเป็นเพื่อนร่วมงานอันตรายกว่าไวรัสใดๆ |
| 5. องค์กรต้องมีนโยบายสื่อสารที่ชัดเจน | กำหนดช่องทาง ระดับข้อมูล และกระบวนการยืนยันตัวตนสำหรับคำสั่งสำคัญ |
"ภัยคุกคามที่อันตรายที่สุดไม่ใช่มัลแวร์ — แต่คือข้อความจากคนที่คุณไว้ใจ ที่บัญชีถูกยึดไปแล้ว ทุกองค์กรต้องเปิด 2FA และอบรมพนักงานเรื่อง Social Engineering วันนี้"
- ทีมงาน Saeree ERP
หากองค์กรของคุณต้องการระบบ ERP ที่มี Access Control รัดกุม ป้องกัน Insider Threat และรองรับ Multi-Factor Authentication — ติดต่อทีมงาน Saeree ERP เพื่อรับคำปรึกษาฟรี
แหล่งอ้างอิง
- AIVD — Russian state hackers target Signal and WhatsApp (9 มี.ค. 2569)
- FBI/CISA — Warning on Russian hackers targeting messaging apps (21 มี.ค. 2569)
- BleepingComputer — Russian hackers hijack Signal, WhatsApp accounts of government officials
- Google Threat Intelligence — Russia-aligned actors targeting Signal Messenger
