สรุปสั้น

นาย Nathan Austad ชายวัย 21 ปีจากรัฐมินนิโซตา สหรัฐอเมริกา ซึ่งใช้ฉายาในโลกออนไลน์ว่า “Snoopy” ถูกศาลสหรัฐตัดสินจำคุกเป็นเวลา 18 เดือนจากบทบาทในการเจาะบัญชีผู้ใช้แพลตฟอร์มเดิมพันกีฬา DraftKings ในเหตุโจมตีไซเบอร์เมื่อเดือนพฤศจิกายน 2022 โดยกลุ่มของเขาอาศัยเทคนิค credential stuffing นำรหัสผ่านที่อ่อนแอหรือถูกใช้ซ้ำจากแหล่งอื่นมาทดลองล็อกอิน จนสามารถเข้าถึงบัญชีผู้ใช้ได้ราว 60,000 บัญชี จากนั้นได้เพิ่มช่องทางการชำระเงินที่ตนเองควบคุมเข้าไปใน 1,600 บัญชีและถอนเงินออกไปรวมกว่า 600,000 ดอลลาร์สหรัฐ Austad รับสารภาพในเดือนธันวาคม 2025 ในข้อหาสมคบคิดเพื่อบุกรุกระบบคอมพิวเตอร์ และยังเปิดร้านค้าออนไลน์ของตัวเองเพื่อขายสิทธิ์เข้าถึงบัญชีที่ถูกขโมย โดยตั้งชื่อร้านตามตัวการ์ตูน Snoopy นอกจากโทษจำคุก เขายังถูกสั่งคุมประพฤติอีก 3 ปี และต้องชดใช้เงินริบทรัพย์ 463,684 ดอลลาร์ พร้อมเงินชดเชยอีก 1,327,061 ดอลลาร์

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 24 มิถุนายน พ.ศ. 2569 ว่า นาย Nathan Austad ผู้ใช้ฉายา “Snoopy” ถูกศาลสหรัฐตัดสินจำคุก 18 เดือนจากบทบาทในการเจาะบัญชี DraftKings ระหว่างปฏิบัติการโจมตีเมื่อเดือนพฤศจิกายน 2022 ก่อนหน้านี้ในเดือนธันวาคม 2025 เขาได้ให้การรับสารภาพในข้อหาสมคบคิดเพื่อบุกรุกระบบคอมพิวเตอร์ พร้อมยอมรับว่าตนและผู้ร่วมขบวนการได้เจาะบัญชีผู้ใช้ DraftKings รวม 60,000 บัญชี โดยในระหว่างการโจมตี กลุ่มแฮ็กเกอร์ได้เพิ่มวิธีการชำระเงินที่อยู่ภายใต้การควบคุมของตนเข้าไปใน 1,600 บัญชี และดูดเงินออกไปรวม 600,000 ดอลลาร์

DraftKings เป็นแพลตฟอร์มกีฬาแฟนตาซีและการเดิมพันกีฬาที่เปิดให้ผู้ใช้สร้างทีมจากนักกีฬาตัวจริงและแข่งขันชิงรางวัลเงินสดตามผลงานในการแข่งขันจริง โดยเมื่อเดือนพฤศจิกายน 2022 DraftKings เปิดเผยว่าแฮ็กเกอร์เข้าถึงบัญชีลูกค้าผ่านการโจมตีแบบ credential stuffing ที่ใช้ประโยชน์จากรหัสผ่านที่อ่อนแอหรือการนำ credential ที่ใช้ล็อกอินมาใช้ซ้ำ ในตอนแรกบริษัทระบุว่ามีเงินถูกขโมยจากลูกค้าที่ได้รับผลกระทบไม่ถึง 300,000 ดอลลาร์ แต่หนึ่งเดือนต่อมาได้เปิดเผยเพิ่มเติมว่ามีบัญชีลูกค้าถูกเจาะถึง 67,995 บัญชี

ในเดือนพฤษภาคม 2023 ทางการสหรัฐได้ตั้งข้อหานาย Joseph Garrison จากบทบาทในแผนการนี้ โดยกล่าวหาว่าเขาและผู้ร่วมขบวนการขายสิทธิ์เข้าถึงบัญชี DraftKings ที่ถูกแฮ็กผ่านตลาดออนไลน์อย่าง “Goat Shop” ต่อมาในเดือนมกราคม 2024 อัยการได้ตั้งข้อหาผู้ต้องสงสัยเพิ่มเติม ได้แก่ นาย Kamerin Stokes (ฉายา “TheMFNPlug”) และนาย Nathan Austad (ฉายา “Snoopy”) โดยมีรายงานว่า Austad เปิดร้านขายสิทธิ์เข้าถึงบัญชีที่ถูกขโมยของตัวเอง รวมถึงใช้แพลตฟอร์มอื่นเพื่อจุดประสงค์เดียวกัน

DraftKings hacker Snoopy sentenced to prison for credential stuffing attack

รายละเอียดเหตุการณ์

กระทรวงยุติธรรมสหรัฐ (DoJ) ระบุว่า “Austad ควบคุมและทำกำไรโดยตรงจากร้านค้าของตัวเอง ซึ่งตั้งชื่อตามตัวละคร Snoopy จากการ์ตูนเรื่อง Peanuts” แม้คำแถลงของ DoJ จะไม่ได้เปิดเผยจำนวนเงินที่กลุ่มแฮ็กเกอร์ได้รับจากการขายสิทธิ์เข้าถึงบัญชีที่ถูกเจาะ แต่ระบุว่าบัญชีคริปโทเคอร์เรนซีของ Austad ได้รับทรัพย์สินรวมประมาณ 465,000 ดอลลาร์ นอกจากนี้ DoJ ยังอ้างถึงข้อความส่วนตัวที่ Austad ส่งถึงผู้ร่วมขบวนการ ซึ่งเขาเปิดเผยอย่างตรงไปตรงมาว่าได้ก่ออาชญากรรมฉ้อโกง พร้อมเตือนให้คนอื่นเตรียมตัว

สำหรับผู้ร่วมขบวนการรายอื่น นาย Joseph Garrison ถูกตัดสินจำคุก 18 เดือนตั้งแต่เดือนมกราคม 2024 ขณะที่นาย Kamerin Stokes ได้รับโทษจำคุก 30 เดือนในเดือนเมษายน 2026 นอกเหนือจากโทษจำคุก 18 เดือนแล้ว Austad ยังได้รับโทษคุมประพฤติแบบมีการควบคุมอีก 3 ปี และถูกศาลสั่งให้ชำระเงินริบทรัพย์จำนวน 463,684 ดอลลาร์ พร้อมเงินชดเชยอีก 1,327,061 ดอลลาร์

ผลกระทบต่อไทย

แม้คดีนี้จะเกิดขึ้นกับแพลตฟอร์มในสหรัฐ แต่เทคนิค credential stuffing ที่ใช้ในการโจมตีเป็นภัยคุกคามที่กระทบผู้ใช้และองค์กรไทยโดยตรง คนไทยจำนวนมากมีนิสัยใช้รหัสผ่านเดียวกันซ้ำในหลายบริการ ทั้งอีเมล โมบายแบงก์กิง อีคอมเมิร์ซ และแพลตฟอร์มเกมออนไลน์ เมื่อข้อมูล credential จากเว็บใดเว็บหนึ่งรั่วไหลและถูกนำไปขายในตลาดมืด ผู้โจมตีก็สามารถนำชุดรหัสเดียวกันมาทดลองล็อกอินกับบริการอื่นของเหยื่อได้ทันที สำหรับธุรกิจไทยที่ให้บริการบัญชีผู้ใช้และมีการผูกช่องทางชำระเงิน เช่น แพลตฟอร์ม e-wallet, เกม หรือร้านค้าออนไลน์ การถูกเจาะบัญชีลักษณะนี้อาจนำไปสู่การสูญเงินของลูกค้าและความเสียหายต่อชื่อเสียงเป็นวงกว้าง อีกทั้งคดีนี้ยังสะท้อนว่ากระบวนการบังคับใช้กฎหมายไซเบอร์ระหว่างประเทศกำลังเข้มข้นขึ้น ซึ่งเป็นบทเรียนต่อหน่วยงานบังคับใช้กฎหมายของไทยในการติดตามคดีอาชญากรรมไซเบอร์ที่เชื่อมโยงกับคริปโทเคอร์เรนซี

คำแนะนำ

ผู้ใช้ทั่วไปควรเลิกใช้รหัสผ่านซ้ำในหลายบริการ และตั้งรหัสผ่านที่ไม่ซ้ำกันสำหรับแต่ละบัญชีโดยใช้โปรแกรมจัดการรหัสผ่าน (password manager) ช่วย ที่สำคัญที่สุดคือควรเปิดใช้การยืนยันตัวตนแบบหลายขั้นตอน (MFA/2FA) กับทุกบัญชีที่รองรับ โดยเฉพาะบัญชีที่ผูกบัตรเครดิตหรือช่องทางชำระเงิน เพื่อให้แม้รหัสผ่านรั่วไหล ผู้โจมตีก็ยังเข้าบัญชีไม่ได้ นอกจากนี้ควรตรวจสอบว่าอีเมลหรือรหัสผ่านของตนเคยรั่วไหลหรือไม่ผ่านบริการอย่าง Have I Been Pwned และเปลี่ยนรหัสทันทีหากพบ ส่วนผู้ให้บริการแพลตฟอร์มควรบังคับใช้ MFA, ติดตั้งระบบตรวจจับการล็อกอินที่ผิดปกติและ rate limiting เพื่อสกัดการทดลองรหัสจำนวนมาก, แจ้งเตือนผู้ใช้เมื่อมีการเพิ่มช่องทางชำระเงินหรือเข้าสู่ระบบจากอุปกรณ์ใหม่ และพิจารณาใช้ระบบ bot detection เพื่อสกัดการโจมตีแบบอัตโนมัติ

แหล่งอ้างอิง