สรุปสั้น
หน่วยข่าวกรองชาติตะวันตกออกคำเตือนเกี่ยวกับความนิยมที่เพิ่มขึ้นของผู้กระทำที่เชื่อมโยงรัฐจีนในการใช้เว็บไซต์หางานเพื่อหลอกเจ้าหน้าที่รัฐและทหารให้แชร์ข้อมูลอ่อนไหว โดยคำเตือนนี้มาจาก Five Eyes (FVEY) ซึ่งเป็นพันธมิตรข่าวกรองระหว่างประเทศประกอบด้วยหน่วยงานจากสหราชอาณาจักร สหรัฐฯ แคนาดา ออสเตรเลีย และนิวซีแลนด์ โดยห้าหน่วยงานรวมถึง MI5 ของสหราชอาณาจักรและ FBI ของสหรัฐฯ ได้แชร์รายงานร่วมว่าปฏิบัติการสอดแนมเหล่านี้ทำงานอย่างไร
ตามคำเตือนของกลุ่ม สายลับ/แฮ็กเกอร์ที่รัฐหนุนหลังเหล่านี้ใช้เว็บไซต์อย่าง LinkedIn, Indeed และ Upwork สร้างโปรไฟล์ปลอมและแสร้งเป็นผู้เชี่ยวชาญด้านทรัพยากรบุคคล ที่ปรึกษา หรือเจ้าหน้าที่จากกลุ่มวิจัยที่มีชื่อเสียง หลังสร้างโปรไฟล์แล้วก็โพสต์ประกาศงานปลอม เช่นตำแหน่งนักวิเคราะห์ด้านกลาโหมหรือนโยบายต่างประเทศ เมื่อมีคนสมัคร สแกมเมอร์จะตรวจ CV อย่างละเอียดเพื่อดูว่าผู้สมัครอาจเปิดเผยความลับใดได้บ้าง
ขั้นถัดไปคือการสัมภาษณ์ผู้สมัครที่เลือกผ่านวิดีโอคอลโดยปิดบังตัวตนและเจตนาจริง หลังสัมภาษณ์จะขอให้ผู้สมัครเขียนรายงานทดสอบเกี่ยวกับการค้า กลาโหม หรือการเมือง จากนั้นย้ายบทสนทนาไปยังแอปแชตเข้ารหัสลับและกดดันให้เปิดเผยรายละเอียดที่ไม่เปิดสาธารณะ โดยจ่ายค่าตอบแทนผ่าน PayPal, Wise และคริปโต ตั้งแต่ไม่กี่ร้อยถึงหลายพันดอลลาร์
รายละเอียดข่าว
เว็บไซต์ HackRead รายงานเมื่อวันที่ 4 มิถุนายน 2569 ว่าพันธมิตร Five Eyes ออกรายงานร่วมเตือนว่าสายลับที่เชื่อมโยงจีนใช้ประกาศงานปลอมบนเว็บหางานล่อเจ้าหน้าที่ทหารและรัฐเพื่อขโมยข้อมูลอ่อนไหว
แม้ผู้สมัครจะไม่รู้ความลับระดับสูงสุด แต่การรวมเศษข้อมูลปกติเล็ก ๆ น้อย ๆ ก็ยังช่วยรัฐบาลจีนได้ โดยกลุ่มเป้าหมายที่ผู้กระทำมองหาคือผู้มี security clearance พิเศษ โดยเฉพาะทหารที่ทำงานในภูมิภาคอินโด-แปซิฟิก แต่ก็อาจมุ่งเป้านักวิชาการ นักข่าว และนักเขียนอิสระที่มีความเชื่อมโยงกับภาครัฐหรือการค้าด้วย
เรื่องนี้เกิดขึ้นมาระยะหนึ่งแล้ว โดยก่อนหน้านี้ Ken McCallum ผู้อำนวยการ MI5 เคยระบุว่าเจ้าหน้าที่จีนใช้ LinkedIn มุ่งเป้านักการเมืองอังกฤษ และพยายามล่อคนอังกฤษอย่างน้อย 20,000 คนด้วยข้อเสนองานปลอมเหล่านี้ ในการตอบสนองต่อคำเตือน นาย Dan Jarvis รัฐมนตรีความมั่นคงของสหราชอาณาจักรกล่าวว่าประเทศจะยังคงต่อสู้กับการกระทำที่เป็นปฏิปักษ์จากประเทศอื่น พร้อมชี้ว่าเกาหลีเหนือก็เป็นภัยสำคัญที่ใช้คนทำงาน IT ระยะไกลปลอมเจาะบริษัทใหญ่
นี่ไม่ใช่ครั้งแรกที่ Five Eyes เตือนเรื่องแฮ็กเกอร์จีนมุ่งเป้าโครงสร้างพื้นฐานสำคัญในตะวันตก โดยในเดือนกรกฎาคม 2567 พันธมิตรเคยเปิดเผยว่ากลุ่ม APT40 ของจีน (หรือ GADOLINIUM, BRONZE, TEMP.Periscope) เจาะเครือข่ายรัฐบาลด้วยการใช้ช่องโหว่วิกฤตที่รู้จัก ทั้งนี้รายงานยังเตือนว่าผู้ที่แชร์รายละเอียดลับอาจถูกจำคุกตามกฎหมายจารกรรม
วิธีการโจมตี
วิธีการเริ่มจากการสร้างโปรไฟล์ปลอมบนแพลตฟอร์มหางานอย่าง LinkedIn, Indeed และ Upwork โดยแสร้งเป็น HR ที่ปรึกษา หรือเจ้าหน้าที่จากกลุ่มวิจัยที่น่าเชื่อถือ จากนั้นโพสต์ประกาศงานปลอมในตำแหน่งที่ดึงดูดผู้มีความรู้เฉพาะ เช่น นักวิเคราะห์กลาโหมหรือนโยบายต่างประเทศ
เมื่อมีผู้สมัคร ผู้กระทำจะตรวจ CV เพื่อประเมินว่าผู้สมัครเข้าถึงข้อมูลใดได้บ้าง แล้วสัมภาษณ์ผ่านวิดีโอคอลโดยปิดบังตัวตน หลังจากนั้นขอให้เขียน “รายงานทดสอบ” เกี่ยวกับการค้า กลาโหม หรือการเมือง ซึ่งเป็นกลไกค่อย ๆ ดึงข้อมูลออกมา จากนั้นย้ายการสนทนาไปยังแอปแชตเข้ารหัสและกดดันให้เปิดเผยข้อมูลที่ไม่เปิดสาธารณะ
ผู้กระทำจ่ายค่าตอบแทนสำหรับรายงานเหล่านี้ผ่าน PayPal, Wise และคริปโต ตั้งแต่ไม่กี่ร้อยถึงหลายพันดอลลาร์ เพื่อสร้างความสัมพันธ์และค่อย ๆ เพิ่มระดับความอ่อนไหวของข้อมูลที่ขอ จุดสำคัญคือแม้ผู้สมัครจะไม่มีความลับระดับสูง แต่การรวมเศษข้อมูลทั่วไปหลายชิ้นก็เป็นประโยชน์ต่องานข่าวกรอง
ผลกระทบต่อไทย
ไทยอยู่ในภูมิภาคอินโด-แปซิฟิกซึ่งเป็นพื้นที่ที่รายงานระบุว่าเป็นเป้าหมายหลักของปฏิบัติการนี้ ทำให้เจ้าหน้าที่ทหาร ข้าราชการ และผู้ที่ทำงานเกี่ยวกับนโยบายความมั่นคงของไทยอาจตกเป็นเป้าของการล่อด้วยประกาศงานปลอมเช่นกัน
นักวิชาการ นักข่าว และที่ปรึกษาอิสระชาวไทยที่มีความเชื่อมโยงกับภาครัฐหรือการค้าก็อยู่ในกลุ่มเสี่ยง โดยเฉพาะผู้ที่ใช้ LinkedIn หางานหรือสร้างเครือข่าย เพราะกลยุทธ์นี้อาศัยความน่าเชื่อถือของแพลตฟอร์มและข้อเสนองาน/ค่าตอบแทนที่ดึงดูด
ที่สำคัญ การที่ผู้กระทำค่อย ๆ ดึงข้อมูลผ่าน “รายงานทดสอบ” และจ่ายเงินจริง ทำให้เหยื่ออาจไม่รู้ตัวว่ากำลังให้ข้อมูลที่เป็นประโยชน์ต่อข่าวกรองต่างชาติ องค์กรไทยจึงควรสร้างความตระหนักให้บุคลากรที่เข้าถึงข้อมูลอ่อนไหวระวังการติดต่อหางานที่ผิดปกติ
คำแนะนำ
- ระวังข้อเสนองานที่ดีเกินจริง — โดยเฉพาะตำแหน่งด้านกลาโหม/นโยบายที่ติดต่อผ่าน LinkedIn/Indeed/Upwork จากโปรไฟล์ที่ตรวจสอบไม่ได้
- ระวังการขอเขียน “รายงานทดสอบ” — เกี่ยวกับการค้า กลาโหม หรือการเมือง ที่อาจเป็นการดึงข้อมูล
- อย่าย้ายบทสนทนาไปแอปเข้ารหัสตามคำชวน — เป็นสัญญาณของการพยายามดึงข้อมูลนอกช่องทางทางการ
- ตรวจสอบตัวตนผู้ว่าจ้าง/บริษัท — ยืนยันผ่านช่องทางทางการก่อนแชร์ข้อมูลใด ๆ
- องค์กร/หน่วยงานควรอบรมบุคลากรที่มี clearance — ให้รู้เท่าทันการล่อผ่านประกาศงานปลอม
- รายงานการติดต่อที่น่าสงสัย — ต่อหน่วยงานความมั่นคงหากสงสัยว่าเป็นความพยายามจารกรรม
