สรุปสั้น
ผู้ใช้ Instagram หลายรายถูกยึดบัญชีหลังแฮ็กเกอร์โน้มน้าวเครื่องมือสนับสนุนที่ขับเคลื่อนด้วย AI ของบริษัท Meta ให้เชื่อว่าตนเป็นเจ้าของบัญชีที่ถูกต้อง และที่ร้ายแรงคือเหยื่อจำนวนมากไม่สามารถกู้คืนการเข้าถึงได้ เพราะแพลตฟอร์มใช้ระบบช่วยเหลืออัตโนมัติที่เป็นลูปของ AI และแชตบอตล้วน โดยไม่มีเจ้าหน้าที่มนุษย์คอยช่วย
เมื่อวันจันทร์ที่ผ่านมา เจ้าของบัญชีหายากและมูลค่าสูงหลายรายรายงานว่าจู่ ๆ ก็เข้าบัญชีไม่ได้ ทั้งที่เคยยืนยันตัวตนด้วยการสแกนใบหน้าและเปิดใช้การยืนยันสองชั้น (2FA) แล้ว บัญชีที่ได้รับผลกระทบรวมถึงบัญชีที่ทีม Obama White House เคยใช้ บัญชีของนักวิจัยแอป Jane Manchun Wong รวมถึง @hey และ @korn ซึ่งเจ้าของบัญชี @korn ระบุว่าเสียเวลา 6 ชั่วโมงเพื่อหาเจ้าหน้าที่มนุษย์ แต่ AI กลับส่งลิงก์เสียมา 4 ครั้งติด
วิธีการโจมตีง่ายอย่างน่าตกใจ แฮ็กเกอร์เริ่มจากกดลืมรหัสผ่าน เมื่อระบบขอให้ยืนยันด้วยเซลฟี ก็นำรูปจากบัญชีเหยื่อไปแปลงเป็นวิดีโอเคลื่อนไหวด้วยเครื่องมือสร้างวิดีโอ AI แล้วอัปโหลดให้ Meta ตรวจสอบ ซึ่ง AI ไม่สามารถแยกแยะระหว่างเซลฟีจริงกับวิดีโอที่ AI สร้างได้ จึงผ่านการยืนยัน ข้ามการป้องกัน 2FA และเปลี่ยนอีเมลเพื่อรีเซ็ตรหัสผ่านยึดบัญชีไปในที่สุด
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 2 มิถุนายน 2569 ว่าผู้ใช้ Instagram หลายรายถูกยึดบัญชีหลังแฮ็กเกอร์หลอกเครื่องมือ AI ของบริษัท Meta ให้เชื่อว่าตนเป็นเจ้าของบัญชีตัวจริง โดยเหยื่อจำนวนมากไม่สามารถกู้บัญชีคืนได้เพราะระบบช่วยเหลือเป็นเพียงลูปแชตบอต AI ที่ไม่มีเจ้าหน้าที่มนุษย์
ตามรายงาน การยึดบัญชีทำได้ง่ายมาก แฮ็กเกอร์เพียงสนทนากับผู้ช่วย AI ของ Meta โน้มน้าวว่าตนคือเจ้าของบัญชี แล้วหลอกให้เปลี่ยนอีเมลที่ผูกกับบัญชี กระบวนการเริ่มจากผู้โจมตีเปิดใช้โปรโตคอลลืมรหัสผ่านโดยอ้างว่าบัญชีถูกแฮ็ก เมื่อระบบ AI ขอให้ยืนยันด้วยเซลฟี ผู้โจมตีก็ใช้รูปจากบัญชีเป้าหมาย ส่งผ่านเครื่องมือสร้างวิดีโอ AI เพื่อแปลงเป็นภาพเคลื่อนไหว แล้วอัปโหลดให้ Meta ตรวจสอบ
ผู้ใช้รายหนึ่งชื่อ André ระบุว่า “AI ของ Meta ยอมรับมันเพราะแยกไม่ออกระหว่างเซลฟีจริงกับวิดีโอใบหน้าที่ AI สร้างขึ้น” และเสริมว่าวิธีนี้ยังข้ามการป้องกัน 2FA ได้ด้วย นอกจากนี้ยังมีรายงานว่าผู้โจมตีใช้บริการ VPN เพื่อให้ดูเหมือนเชื่อมต่อจากภูมิภาคปกติของเหยื่อ เพื่อผ่านการตรวจสอบพิกัดที่อาจกระตุ้นขั้นตอนล็อกอินที่ซับซ้อนขึ้น
หลังเปลี่ยนอีเมลแล้ว ผู้โจมตีก็เริ่มกระบวนการรีเซ็ตรหัสผ่านและรับรหัสความปลอดภัยเพื่อเข้าถึงบัญชี ทั้งนี้บัญชีชื่อตัวอักษรเดียวอย่าง @e และ @f มีมูลค่าสูงในตลาดมืดถึงหลักหมื่นดอลลาร์สหรัฐ เนื่องจากหายากมาก โดยนาย Andy Stone รองประธานฝ่ายสื่อสารของบริษัท Meta ตอบผู้ได้รับผลกระทบรายหนึ่งบนโซเชียลว่า “ปัญหาได้รับการแก้ไขแล้ว และเรากำลังรักษาความปลอดภัยบัญชีที่ได้รับผลกระทบ”

วิธีการโจมตี
หัวใจของการโจมตีนี้คือการใช้ช่องโหว่ของระบบยืนยันตัวตนด้วย AI ที่ไม่สามารถแยกแยะสื่อจริงกับสื่อที่สร้างโดย AI (deepfake) ได้ ขั้นตอนเริ่มจากผู้โจมตีกดลืมรหัสผ่านโดยอ้างว่าบัญชีถูกแฮ็ก เพื่อเข้าสู่กระบวนการกู้บัญชี
เมื่อระบบขอการยืนยันด้วยเซลฟีแบบวิดีโอ ผู้โจมตีนำรูปโปรไฟล์สาธารณะของเหยื่อมาผ่านเครื่องมือ AI video generator แปลงเป็นภาพเคลื่อนไหวที่ดูเหมือนคนจริงขยับใบหน้า แล้วอัปโหลดให้ระบบตรวจสอบ ซึ่ง AI ของ Meta ยอมรับว่าผ่าน ทำให้สามารถข้ามทั้งการยืนยันใบหน้าและ 2FA ไปพร้อมกัน
เพื่อเพิ่มโอกาสสำเร็จ ผู้โจมตีใช้ VPN จำลองตำแหน่งให้ตรงกับภูมิภาคปกติของเหยื่อ เพื่อหลีกเลี่ยงการตรวจจับพิกัดที่ผิดปกติซึ่งจะกระตุ้นการตรวจสอบที่เข้มงวดขึ้น เมื่อผ่านการยืนยันแล้ว จึงเปลี่ยนอีเมลที่ผูกบัญชีและรีเซ็ตรหัสผ่านเพื่อยึดบัญชีอย่างสมบูรณ์ จุดที่ทำให้ความเสียหายรุนแรงคือเมื่อเหยื่อพยายามกู้คืน กลับเจอแต่แชตบอตที่ไม่สามารถช่วยได้และไม่มีช่องทาง escalate ไปยังมนุษย์
ผลกระทบต่อไทย
ผู้ใช้ Instagram ในไทยมีจำนวนมหาศาล ทั้งบุคคลทั่วไป อินฟลูเอนเซอร์ แบรนด์ และธุรกิจที่ใช้บัญชีเป็นช่องทางการตลาดหลัก ทำให้ความเสี่ยงจากการถูกยึดบัญชีด้วยวิธีนี้กระทบโดยตรง โดยเฉพาะบัญชีที่มีผู้ติดตามสูงซึ่งมีมูลค่าทางการค้า
จุดที่น่ากังวลคือวิธีนี้ข้าม 2FA และการยืนยันใบหน้าได้ ทำให้มาตรการความปลอดภัยที่ผู้ใช้ไทยมักเชื่อว่าปลอดภัยที่สุดไม่สามารถป้องกันได้ และเมื่อระบบกู้คืนเป็น AI ล้วนไม่มีเจ้าหน้าที่มนุษย์ การขอความช่วยเหลือเป็นภาษาไทยหรือ escalate ปัญหาจะยิ่งยากขึ้น
แนวโน้มการใช้ deepfake หลอกระบบยืนยันตัวตนยังเป็นสัญญาณเตือนสำหรับธนาคารและบริการในไทยที่ใช้การยืนยันใบหน้า (e-KYC) ว่าระบบ liveness detection ต้องแข็งแกร่งพอที่จะแยกวิดีโอ AI ออกจากคนจริง มิฉะนั้นอาจถูกใช้เป็นช่องทางโจมตีเช่นเดียวกัน
คำแนะนำ
- ผูกบัญชีกับอีเมลที่ปลอดภัย — ใช้อีเมลที่มี 2FA แข็งแรงและตรวจสอบการแจ้งเตือนเปลี่ยนอีเมล/รหัสผ่านทันทีที่ได้รับ
- จำกัดรูปโปรไฟล์สาธารณะความละเอียดสูง — เพราะรูปใบหน้าชัดสามารถถูกนำไปสร้าง deepfake เพื่อหลอกระบบยืนยันได้
- เฝ้าระวังอีเมลแจ้งเปลี่ยนแปลงบัญชี — หากได้รับแจ้งว่ามีการเริ่มกระบวนการกู้บัญชีที่ไม่ได้ทำเอง ให้รีบยกเลิกและเปลี่ยนรหัสผ่านทันที
- องค์กรที่ใช้ e-KYC ควรเสริม liveness detection — ตรวจสอบว่าระบบยืนยันใบหน้าสามารถตรวจจับวิดีโอที่สร้างโดย AI ได้
- เก็บหลักฐานความเป็นเจ้าของบัญชี — เช่น อีเมลยืนยันเดิม ใบเสร็จโฆษณา เพื่อใช้ยืนยันหากต้องติดต่อขอความช่วยเหลือ
