หนึ่งในโจทย์ใหญ่ของรัฐบาล “อนุทิน ชาญวีรกูล” นอกจากปัญหาชายแดนไทย-กัมพูชาแล้ว การยกระดับปราบปรามสแกมเมอร์เป็น "วาระแห่งชาติ" หลังที่ประชุมสมัชชาสหภาพรัฐสภา (IPU) ทั่วโลกร่วมผลักดันกฎหมายเพื่อต่อสู้กับ อาชญากรรมองค์กรข้ามชาติ (Transnational organized crime) อาชญากรรมไซเบอร์ (Cybercrime) และภัยคุกคามแบบผสมผสาน(Hybrid threats) ยังน่าจับตาว่า จะสามารถทำให้บรรลุผลได้หรือไม่
หลัง "วรภัค ธันยาวงษ์" รมช.คลัง ถูกพาดพิงว่า มีส่วนเชื่อมโยงกับ "เบน สมิธ" และ "ยิม เลียก" ประธานกลุ่ม BIC Bank ในกัมพูชา เครือข่ายนักธุรกิจต่างชาติ ซึ่งถูกสหรัฐอเมริกา ขึ้นบัญชีและตั้งข้อสงสัยว่าอาจเข้าไปมีส่วนเกี่ยวข้องกับเส้นทางธุรกรรมการเงินของกลุ่มสแกมเมอร์ และธุรกิจผิดกฎหมายในภูมิภาคเอเซีย จนทำให้ต้องประกาศลาออก เพื่อแสดงความรับผิดชอบ
สแกมเมอร์ (Scammer)ถือเป็นภัยคุกคามความมั่นคงรูปแบบใหม่ที่เกิดขึ้นในช่วง 2-3 ปีที่ผ่านมา โดยมีฐานหลักสำคัญอยู่ในกัมพูชาและเมียนมา ในแต่ละปีพบว่า มีผู้คนมากกว่า 30 ประเทศ ถูกหลอกเข้ามาทำงานอยู่กับแก๊งสแกมเมอร์ และบางรายตกเป็นเหยื่อค้ามนุษย์และถูกส่งตัวไปขายในพื้นที่ชายแดน อาชญากรรมไซเบอร์ข้ามชาติ (cyber crime) เป็นภัยร้ายที่แฝงมากับเทคโนโลยี ซึ่งทั่วโลกล้วนได้รับผลกระทบและสูญเงินจำนวนมหาศาล
เมื่อวันที่ 20 ต.ค.ที่ผ่านมา กองทัพบก เผยแพร่บทความทางทหาร " Scammer สู่ Botnet " กลไกเบื้องหลังอาชญากรรมไซเบอร์ยุคดิจิทัล พร้อมอธิบายเบื้องหลังการเข้ามาล้วง "ความลับ" ของผู้ที่ตกเป็นเหยื่อ "มิจฉาชีพออนไลน์" ด้วย "Botnet" (robot network) หรือ เครือข่ายหุ่นยนต์ควบคุมและสั่งงานระยะไกล โดยคนร้ายไม่จำเป็นต้องถือปืนสวมหน้ากากเข้าปล้นอีกต่อไปแล้ว
ในช่วง 2-3 ปีที่ผ่านมา มีงานวิจัยและรายงานที่เกี่ยวข้อง พบว่า มีการซื้อขายข้อมูลของประชาชน จำนวนมาก โดยข้อมูลที่ถูกซื้อ-ขาย จะเป็นข้อมูลส่วนตัวระบุตัวตนชัดเจน มีชื่อ-นามสกุล, เลขบัตรประชาชน, วันเกิด, ที่อยู่ เบอร์โทรศัพท์, อีเมล, รายชื่อผู้ติดต่อ ข้อมูลบัญชีออนไลน์ เช่น เพจ Facebook และข้อมูลการเงินเบื้องต้น หมายเลขบัญชีธนาคาร, สลิปการโอน, ข้อมูลบัตร
รวมทั้งไฟล์ภาพ ข้อมูลอัตลักษณ์ดิจิทัล: tdata/session folder ของ Telegram, cookie jars, device fingerprintsและชุดข้อมูลรวม (full dumps): ฐานข้อมูลขนาดใหญ่ที่รวมหลายประเภทข้อมูล โดยข้อมูลเหล่านี้จะถูกเก็บรวบรวมจากอุปกรณ์ของเหยื่อที่ถูกแอบควบคุมผ่าน Botnet ก่อนที่จะมีการนำข้อมูลที่รั่วไหลออกไป จะถูกนำไปขายต่อในตลาดมืดผ่านช่องทางออนไลน์
ไม่มีใครรู้ว่า มิจฉาชีพจะนำไปใช้ประกอบอาชญากรรมด้านใดบ้าง และสิ่งที่ ทำให้วงจรหลอกลวงขยายตัวอย่างรวดเร็ว ไม่ได้มาจากจำนวนคนร้ายที่เพิ่มขึ้นเพียงอย่างเดียว แต่เกิดจากเทคโนโลยีอัตโนมัติที่อยู่เบื้องหลัง ระบบที่ช่วยให้มิจฉาชีพทำงานได้ตลอด 24 ชั่วโมง ราวกับมีกองทัพในเงามืดคอยปฏิบัติการแทนมนุษย์
"Botnet" เครือข่ายหุ่นยนต์โจรกรรม เจาะข้อมูล
Botnet เป็นเครือข่ายของคอมพิวเตอร์หรืออุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ต ซึ่งถูกโจมตีและติด มัลแวร์ โปรแกรมที่เป็นอันตราย ซึ่งมัลแวร์จะไปติดตั้งในโปรแกรมที่เรียกว่า "บอท" (bot) ลงบนอุปกรณ์ โดยเจ้าของอุปกรณ์มักจะไม่รู้ตัวเลยว่าเครื่องของตนเองกำลังถูกควบคุม
Botnet จะมีผู้ควบคุมที่เรียกว่า "botmaster" หรือ "bot herder" และเปลี่ยนคอมพิวเตอร์ให้กลายเป็น "ซอมบี้" (zombie) สั่งงานจากระยะไกล โดยการนำอุปกรณ์ที่ใช้โจมตีจำนวนมากมาเชื่อมต่อกัน ให้เป็นเครือข่ายขนาดใหญ่ที่สามารถนำไปใช้โจมตีเป้าหมายต่าง ๆ เช่น
การโจมตีแบบ DDoS (Distributed Denial of Service) เพื่อทำให้เว็บไซต์หรือระบบออนไลน์หยุดทำงาน การขโมยข้อมูลบัญชีผู้ใช้ เพื่อนำข้อมูลไปขายต่อ หรือ ใช้สวมรอยเพื่อเข้าถึงบัญชีออนไลน์ และการสร้างความเสียหายอื่น ๆ โจมตีหรือก่ออาชญากรรมทางไซเบอร์ในรูปแบบต่าง ๆ โดยเจ้าของอุปกรณ์ส่วนใหญ่จะไม่รู้ตัวเลยว่ากำลังเป็นส่วนหนึ่งของเครือข่ายนี้
เมื่ออุปกรณ์ของเหยื่อติด Botnet ข้อมูลส่วนตัวที่เก็บอยู่ในเครื่อง เช่น หมาย เลขบัตรประชาชน บัญชีธนาคาร หรือรหัสผ่าน อาจถูกส่งไปยังเซิร์ฟเวอร์ของอาชญากรไซเบอร์โดยอัตโนมัติ
และข้อมูลเหล่านี้ มักถูกนำไปขายต่อผ่านช่องทางออนไลน์ ซึ่ง Bot net ไม่ได้เกิดขึ้นอย่างบังเอิญ แต่เป็นการวางแผนอย่างเป็นระบบและอัตโนมัติ ตั้งแต่ขั้นตอนการติดเชื้อไปจนถึงการปฏิบัติการจริง
เจาะแผนร้าย 5 ขั้นตอนก่อนส่งมัลแวร์โจมตี
บทความดังกล่าวอธิบายว่า การกระทำของกลุ่มอาชญากรไซเบอร์ จะแบ่งเป็น 5 ขั้นตอน โดยมีการวางแผนอย่างเป็นระบบ ประเดิมด้วย
ขั้นที่ 1 การติดเชื้อ (Infection) จุดเริ่มต้นของ Botnet มักเกิดจาก "มัลแวร์" ที่ถูกส่งกระจายออกไปผ่านหลายช่องทาง เช่น อีเมลฟิชชิ่งที่มีไฟล์แนบอันตราย, เว็บไซต์ปลอมที่หลอกให้ดาวน์โหลดโปรแกรมหรือเอกสาร เพียงแค่เหยื่อเปิดไฟล์หรือคลิกลิงก์หนึ่งครั้ง มัลแวร์ก็สามารถฝังตัวในระบบได้ทันทีโดยที่ผู้ใช้ไม่รู้ตัว
ขั้นที่ 2 เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (Connection to C2 Server) หลังจากอุปกรณ์ถูกติดมัลแวร์ มันจะเชื่อมต่อแบบเงียบ ๆ ไปยัง C2 Server ของแฮกเกอร์ เพื่อ "รอรับคำสั่ง" เมื่อใดก็ตามที่ผู้ควบคุมต้องการสั่งให้ Bot เหล่านี้ทำบางอย่าง เช่น ขโมยข้อมูล ทุกเครื่องในเครือข่ายจะเริ่มปฏิบัติการพร้อมกันอย่างเป็นระบบ
ขั้นที่ 3 รับคำสั่งและปฏิบัติการ (Command Execution) เมื่อการเชื่อมต่อเสร็จสมบูรณ์ แฮกเกอร์สามารถสั่งให้ Bot ดำเนินกิจกรรมต่างๆได้ เช่น การโจมตีแบบ DDoS (Distributed Denial of Service) เพื่อทำให้เว็บไซต์ล่ม, การขโมยข้อมูลส่วนบุคคลจากเหยื่อ ไปจนถึง การกระจายมัลแวร์เพิ่มเติมไปยังอุปกรณ์อื่น ผลลัพธ์คือ เกิดเครือข่ายอาชญากรรมไซเบอร์อัตโนมัติ ที่สามารถสร้างความเสียหายได้ในระดับประเทศ
ขั้นที่ 4 การแพร่กระจายตัวเอง (Self-Propagation) Botnet ที่พัฒนาอย่างซับซ้อนสามารถค้นหาช่องโหว่ของอุปกรณ์ใหม่ ๆ ได้ด้วยตัวเอง แล้วส่งต่อมัลแวร์เพื่อยึดเครื่องเพิ่มเข้าสู่เครือข่ายอย่างต่อเนื่อง คล้ายกับไวรัสที่กลายพันธุ์และขยายตัวโดยไม่ต้องมีคนสั่งทุกครั้ง
ขั้นที่ 5 การซ่อนตัวและอยู่รอด (Stealth and Persistence) เพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัส Botnet มักใช้เทคนิคการพรางตัว เช่น การเข้ารหัสข้อมูล, การปลอมไฟล์ระบบ หรือแม้แต่การติดตั้งตัวเองซ้ำ หากถูกลบออกจากเครื่อง ทำให้ Botnet ยังคงอยู่และทำงานได้ยาวนาน
สแกมเมอร์ "เจาะข้อมูล" ส่งขายตลาดมืด
การแทรกซึมดังกล่าว ไม่ได้จบเพียงแค่การยึดเครื่องคอมพิวเตอร์หรือขโมยข้อมูล แต่ยังเป็นต้นน้ำของการหลอกลวงรูปแบบต่าง ๆ ผ่านในโลกโซเชียล โดย Scammer หรือมิจฉาชีพออนไลน์ ไม่ได้ทำงานลำพังอีกต่อไป แต่ใช้ประโยชน์จาก Botnet เข้าถึงข้อมูลส่วนบุคคลจำนวนมหาศาล
ข้อมูลที่ถูกขโมยไม่ได้หยุดอยู่แค่ในเซิร์ฟเวอร์ของแฮกเกอร์ แต่จะถูกนำไป "หมุนเวียน" ในตลาดมืดทางออนไลน์ หรือช่องทางลับต่าง ๆ หนึ่งในนั้นคือ เพจ Facebook ปลอม ที่ถูกใช้เป็นพื้นที่ซื้อขายและแลกเปลี่ยนข้อมูลส่วนตัวของชาวไทย
ขณะที่ Telegram มักถูกใช้เป็นช่องทาง "ลับ" สำหรับปล่อยข้อมูลที่ถูกขโมยจากเหยื่อชาวไทย ซึ่งบางรายอาจไม่รู้ตัวเลยว่าข้อมูลของตนหลุดไปได้อย่างไร ทั้งที่ไม่เคยให้ใคร แต่เบื้องหลังคือ อุปกรณ์ของเขาอาจถูกควบคุมโดย Botnet อยู่แล้ว
รายงานระบุว่า สำหรับการขายข้อมูลทางออนไลน์น พบว่า มิจฉาชีพหรือแฮก เกอร์จะใช้วิธีการเข้าโจมตีช่องโหว่ขโมย โดยมัลแวร์ ส่วนขยาย Browser ที่เป็นอันตราย, การโจมตีช่องโหว่, การขายจากวงในหรือการขโมย session /cookie จากเครื่องของเหยื่อ
และยังพบว่ามีการประกาศขายในตลาด (listing & advertising) บนฟอรั่ม ดาร์กเว็บ ตลาดมืด หรือช่อง/กลุ่ม/บอทใน Telegram ซึ่งมักเป็นช่องปิดหรือลิงก์เชิญชวน รวมถึงเพจปลอมบน Facebook เป็นหน้าโฆษณาหรือจุดนัดหมาย
นอกจากนี้ยังมีการติดต่อและต่อรองราคา ให้ผู้สนใจติดต่อผ่าน Telegram DM, ช่องแชทส่วนตัว หรือใช้บอทเพื่อขอดูตัวอย่างข้อมูล สกรีนช็อต และขึ้นตอนการชำระเงินและการยืนยัน หากผู้ซื้อจ่าย ผู้ขายมักจะให้ตัวอย่างเพิ่มเติมหรือลิงก์ดาวน์โหลดชั่วคราวเพื่อยืนยันคุณภาพก่อนการส่งทั้งหมด
บางตลาดมีระบบรีวิวคะแนนผู้ขาย ขณะที่การส่งมอบข้อมูลมิจฉาชีพจะส่งผ่านลิงก์ดาวน์โหลด, ไฟล์แนบใน Telegram, แชร์ผ่าน cloud storage ที่เข้ารหัส หรือมอบผ่านช่องทางลับ (private channels, encrypted messages)
การชำระเงินใช้การซื้อขายผ่านสกุลเงินดิจิทัล Bitcoin, USDT บนเครือข่ายต่างๆ เช่น TRON/ERC20 และเป็นที่นิยมเนื่องจากสามารถถอน ย้ายข้ามพรมแดน ได้ง่ายและมีตัวผสม (mixers/tumblers) เพื่อลดการติดตามระบบแล้ว ยังใช้ธุรกรรมปกติ โอนผ่านบัญชีธนาคารท้องถิ่นหรือช่องทาง e-wallet
และมักใช้ "mule accounts" หรือบัญชีที่ถูกฟอก หรือควบคุมจากคนกลางเพื่อปกปิดต้นทาง ในบางครั้งรับเป็นบัตรของขวัญ (gift cards), โค้ดเติมเงิน หรือบัตรเติมเงินออนไลน์ซึ่งง่ายต่อการแลกเปลี่ยน
ถือเป็นภัยร้ายที่แฝงเข้ามากับเทคโนโลยียุคดิจิทัล และมีอันตรายต่อประ ชาชน ซึ่งเข้ามาคุกคามชีวิตของคนทั่วโลก และน่าติดตามว่า หลัง IPU เสนอให้การปราบปรามสแกมเมอร์เป็นวาระสำคัญของทุกประเทศแล้ว รัฐบาลไทยที่เสนอเป็นวาระสำคัญของชาติ จะดำเนินการอย่างไร ท่ามกลางสถานการณ์ที่ยังมีคนจำนวนมาก ตกเป็นเหยื่อถูกหลอกลวงออนไลน์ในทุก ๆ วัน
อ่านข่าว
ตัดไฟ “ลี ยงพัด” เขมร “จำเลยโลก” แหล่งฟอกเงินแก๊งสแกมเมอร์
เจาะลึกฐานราก "ทุนจีนเทา" เมืองสแกมเมอร์ สีหนุวิลล์-ชเวโก๊กโก
เปิดโปง “ทุนเทาสแกมเมอร์” เปย์หนัก จัดเกรด “เหยื่อ” ค้ามนุษย์
อ้างอิง : บทความทางทหาร “ Scammer สู่ Botnet” กลไกเบื้องหลังอาชญากรรมไซเบอร์ยุคดิจิทัล
[1] Radware. (2025). What is a botnet? Types, examples, and 7 defensive measures. Radware CyberPedia.https://www.radware.com/cyberpedia/bot-management/botnet/?