27
Nov
FBI เผย! ผู้ใช้กว่า 5,100 รายโดนเว็บแฮก เสียหายกว่า 262 ล้านเหรียญ
in Blog
Comments
ATO Fraud คืออะไร ทำไมอันตรายกว่าที่คิด
เหตุการณ์ครั้งนี้ถูกจัดให้อยู่ในกลุ่ม “Account Takeover Fraud” หรือ ATO Fraud ซึ่งหมายถึงการที่อาชญากรสามารถยึดบัญชีออนไลน์ของเหยื่อไปใช้ได้อย่างสมบูรณ์ ไม่ว่าจะเป็นบัญชีธนาคาร ระบบ payroll หรือบัญชีสุขภาพและสวัสดิการต่าง ๆ
รูปแบบการโจมตีมักเริ่มจาก “วิศวกรรมสังคม” (Social Engineering) เช่น โทรศัพท์ ข้อความ หรืออีเมลที่แอบอ้างเป็นเจ้าหน้าที่ธนาคาร ฝ่ายบริการลูกค้า หรือฝ่ายเทคนิค จากนั้นหลอกให้เหยื่อเปิดลิงก์เข้าเว็บปลอมที่หน้าตาเหมือนเว็บจริงทุกประการ และกรอกข้อมูลสำคัญด้วยตัวเอง ไม่ว่าจะเป็นชื่อผู้ใช้ รหัสผ่าน หรือแม้แต่รหัส OTP / MFA เมื่อได้ข้อมูลครบแล้ว อาชญากรจะล็อกอินเข้าเว็บจริงของสถาบันการเงิน ทำการรีเซ็ตรหัสผ่าน โอนเงินออกไปยังบัญชีอื่นที่เตรียมไว้ และผูกบัญชีเหล่านั้นเข้ากับกระเป๋าเงินดิจิทัล (Cryptocurrency Wallet) เพื่อซ่อนร่องรอยเงินที่ถูกขโมยไป
AI Phishing และ SEO Poisoning: ทำไมเว็บปลอมถึงดู “น่าเชื่อถือ” ขึ้นเรื่อย ๆ
รายงานเดียวกันยังระบุด้วยว่า ปัจจุบันอาชญากรไซเบอร์หันมาใช้เครื่องมือ AI เพื่อสร้างอีเมลฟิชชิ่ง ข้อความ รวมถึงหน้าเว็บปลอมที่ทั้งเนื้อหาและดีไซน์ “สมจริง” มากขึ้นอย่างชัดเจน ทำให้ต่อให้เป็นผู้ใช้ที่มีประสบการณ์ ก็อาจหลงเชื่อได้หากขาดความระวัง อีกเทคนิคที่น่ากังวลคือ SEO Poisoning หรือการใช้โฆษณาบนเสิร์ชเอนจินและการปรับแต่ง SEO ให้เว็บปลอมไปปรากฏอยู่ด้านบนของผลการค้นหา ผู้ใช้ที่ต้องการค้นหาเว็บธนาคารหรือเว็บอีคอมเมิร์ซที่คุ้นเคย จึงมีโอกาสคลิกเข้าเว็บปลอมโดยไม่รู้ตัว เพียงเพราะ “ค้นจาก Google แล้วเห็นลิงก์แรก” ในช่วงเทศกาลช้อปปิ้ง เช่น Black Friday หรือเทศกาลปลายปี นักวิจัยด้านความปลอดภัยพบว่ามีโดเมนที่เกี่ยวข้องกับโปรโมชั่น คำว่า “Flash Sale” หรือคำที่ชวนให้นึกถึงส่วนลดพิเศษ ถูกจดทะเบียนขึ้นมาในเชิงอันตรายจำนวนมาก และถูกใช้เพื่อหลอกขโมยบัญชีและข้อมูลบัตรของเหยื่อ
บทเรียนสำหรับผู้ใช้และองค์กร: การป้องกันต้องเริ่มจากพฤติกรรมของคน
แม้อาชญากรจะใช้เทคโนโลยีและกลยุทธ์ที่ซับซ้อนขึ้น แต่หัวใจของการโจมตี ATO Fraud ยังเหมือนเดิม นั่นคือ “การหลอกให้เจ้าของบัญชีเป็นคนเปิดประตูให้เอง” ผ่านการเปิดเผยข้อมูลส่วนตัวหรือข้อมูลบัญชีโดยไม่รู้ตัว FBI แนะนำให้ผู้ใช้ระวังการเปิดเผยข้อมูลส่วนตัวบนโซเชียลมีเดีย เช่น ชื่อสัตว์เลี้ยง โรงเรียนที่เคยเรียน วันเกิด หรือข้อมูลครอบครัว เพราะข้อมูลเหล่านี้อาจถูกนำไปเดารหัสผ่านหรือตอบคำถามรักษาความปลอดภัยได้ นอกจากนี้ยังควรหมั่นตรวจสอบความเคลื่อนไหวทางการเงิน ใช้รหัสผ่านที่ซับซ้อนไม่ซ้ำกันในแต่ละบริการ และตรวจสอบ URL ของเว็บไซต์ทุกครั้งก่อนล็อกอิน โดยเฉพาะเว็บไซต์การเงินและอีคอมเมิร์ซ สำหรับองค์กร ธนาคาร และธุรกิจที่จัดการข้อมูลลูกค้าจำนวนมาก เหตุการณ์นี้สะท้อนชัดเจนว่า การป้องกันเพียงในมุมเทคโนโลยีไม่เพียงพออีกต่อไป เพราะผู้โจมตีอาศัยช่องว่างจาก “คน” เป็นหลัก ทั้งพนักงานและลูกค้า จำเป็นต้องมีนโยบายและการสื่อสารด้านความปลอดภัยอย่างต่อเนื่องเสริมเกราะองค์กรด้วย Security Awareness และ KnowBe4
ในโลกที่เว็บปลอมและฟิชชิ่งอีเมลถูกสร้างขึ้นด้วย AI ได้แทบไม่จำกัด การสร้าง “ภูมิคุ้มกันด้านพฤติกรรม” ให้กับพนักงานจึงกลายเป็นหนึ่งในมาตรการสำคัญที่สุดขององค์กร การทำ Security Awareness Training อย่างสม่ำเสมอช่วยให้พนักงานแยกแยะสัญญาณผิดปกติได้ดีขึ้น ไม่คลิกลิงก์มั่ว และไม่ให้ข้อมูลสำคัญกับแหล่งที่ไม่น่าเชื่อถือ โซลูชันอย่าง KnowBe4 ถูกออกแบบมาเพื่อการนี้โดยเฉพาะ ทั้งในด้านการอบรมออนไลน์ การจำลองฟิชชิ่ง (Phishing Simulation) และการวัดผลระดับความเสี่ยงของผู้ใช้ภายในองค์กรอย่างต่อเนื่อง ช่วยให้องค์กรไม่เพียง “ตั้งรับ” ด้วยระบบความปลอดภัย แต่ยัง “เตรียมคน” ให้พร้อมรับมือกับการหลอกลวงทุกรูปแบบอีกด้วย
Reference
Lakshmanan, R. (2025, November 26). FBI reports $262M in ATO fraud as researchers cite growing AI phishing and holiday scams. The Hacker News. Retrieved November 27, 2025, from https://thehackernews.com/2025/11/fbi-reports-262m-in-ato-fraud-as.html Federal Bureau of Investigation. (2025). Public service announcement: Account takeover fraud involving spoofed financial institutions. Internet Crime Complaint Center (IC3). Retrieved November 27, 2025, from https://www.ic3.gov/
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line: @monsteronline
☎️ Tel: 02-026-6664
📩 Email: [email protected]
🌐 ดูสินค้าเพิ่มเติม: mon.co.th
