สรุปสั้น

เมื่อสัปดาห์ที่ผ่านมา ระบบเตือนภัยฉุกเฉินของบราซิลถูกนำออฟไลน์หลังจากถูกสงสัยว่าโดนโจมตีทางไซเบอร์ ส่งผลให้มีข้อความเตือนปลอมถูกส่งเข้าโทรศัพท์มือถือของประชาชนในหลายภูมิภาค โดยประชาชนในหลายพื้นที่ของบราซิลตื่นขึ้นมาในเช้าวันเสาร์พร้อมพบข้อความฉุกเฉินแปลก ๆ บนมือถือ ข้อความปรากฏในรูปแบบ Extreme Alert ที่มีคำว่า “misantropi4” ซึ่งเป็นการดัดแปลงคำภาษาโปรตุเกส “misantropia” ที่แปลว่าความเกลียดชังมนุษยชาติ โดยคาดว่าแฮ็กเกอร์แทนตัวอักษร “a” ด้วยเลข “4” ตามสไตล์ leetspeak ที่นิยมในวัฒนธรรมแฮ็กเกอร์ ข้อความปลอมนี้สร้างความสับสนอย่างมากเพราะไม่มีภัยพิบัติหรือเหตุฉุกเฉินใด ๆ เกิดขึ้นจริง

ข้อความดังกล่าวปรากฏครั้งแรกบนมือถือในรัฐ Parana ทางตอนใต้ ก่อนจะแพร่กระจายไปถึงเมืองใหญ่อย่าง Sao Paulo และ Rio de Janeiro ภายในเวลาไม่กี่นาที โดยประชาชนบางส่วนยังได้รับข้อความผ่าน SMS ปกติด้วย เจ้าหน้าที่ต้องนำแพลตฟอร์มแจ้งเตือน National Civil Defense ออฟไลน์ในเวลาประมาณ 01:30 น. ตามเวลาท้องถิ่น และจะปิดไว้จนกว่าจะตรวจสอบความปลอดภัยเสร็จสิ้น สาเหตุที่น่าตกใจคือพนักงานรัฐคนหนึ่งติดมัลแวร์ infostealer ตั้งแต่ปี 2016 ทำให้ username และ password รั่วไหล ซึ่งรหัสผ่านนี้ไม่เคยถูกเปลี่ยนเลยตลอด 10 ปี และยังตั้งเหมือนกับ username อีกด้วย

รายละเอียดข่าว

เว็บไซต์ HackRead รายงานเมื่อวันที่ 25 มิถุนายน พ.ศ. 2569 ว่า ระบบเตือนภัยฉุกเฉินของบราซิลถูกนำออฟไลน์หลังเกิดเหตุที่สงสัยว่าเป็นการโจมตีทางไซเบอร์ ซึ่งส่งข้อความเตือนปลอมเข้าสู่โทรศัพท์ของประชาชนในหลายภูมิภาค ข้อความปรากฏในรูปแบบ Extreme Alert มีคำว่า “misantropi4” ซึ่งเป็นการดัดแปลงคำว่า “misantropia” ในภาษาโปรตุเกสที่หมายถึงความเกลียดชังมนุษยชาติ โดยคาดว่าผู้โจมตีจงใจแทนตัว “a” ด้วยเลข “4” แบบ leetspeak

ในบราซิลมีเครื่องมือชื่อ Cellbroadcast ที่ใช้ส่งคำเตือนสาธารณะเร่งด่วน บริหารจัดการโดยหน่วยงานกำกับโทรคมนาคมแห่งชาติ (Anatel) ทำงานเหมือนระบบเตือนภัยฉุกเฉินในประเทศอื่น ๆ โดยมีจุดประสงค์หลักเพื่อเตือนประชาชนเรื่องสภาพอากาศอันตราย เนื่องจากข้อความปลอมมาจากผู้ที่อยู่นอกเครือข่ายของรัฐบาล เจ้าหน้าที่จึงต้องนำแพลตฟอร์ม National Civil Defense ออฟไลน์ในเวลาประมาณ 01:30 น. ตามเวลาท้องถิ่น และจะปิดระบบไว้จนกว่าจะตรวจสอบความปลอดภัยเสร็จ ขณะที่ทีม civil defense ท้องถิ่นทั่วประเทศยืนยันว่าไม่มีเจ้าหน้าที่คนใดเป็นผู้ส่งข้อความดังกล่าว

ตามโพสต์บน X (เดิมคือ Twitter) จากผู้ดูแลคลังมัลแวร์ออนไลน์ vx-underground ระบุว่าการแจ้งเตือนปลอมครั้งนี้เป็นฝีมือของบุคคลที่ใช้ชื่อว่า “mizanthropiaz” ซึ่งสามารถเจาะระบบได้เพราะมาตรการความปลอดภัยที่อ่อนแอ โพสต์ดังกล่าวยังเปิดเผยว่าพนักงานรัฐคนหนึ่งเผลอติดมัลแวร์ infostealer บนคอมพิวเตอร์ตั้งแต่ปี 2016 ทำให้ username และ password ของเขารั่วไหล และที่น่าตกใจคือรหัสผ่านนี้ไม่เคยถูกเปลี่ยนเลยตลอด 10 ปีที่ผ่านมา ทั้งยังตั้งเหมือนกับ username อีกด้วย

วิธีการโจมตี

จุดอ่อนของระบบไม่ได้มีเพียงรหัสผ่านที่รั่วไหลและไม่เคยเปลี่ยนเท่านั้น แต่เครือข่ายของรัฐบาลยังขาดการตั้งค่าความปลอดภัยพื้นฐานหลายอย่าง ระบบไม่ได้บังคับให้เชื่อมต่อผ่านช่องทางส่วนตัวที่ปลอดภัย เช่น VPN และไม่มีการยืนยันตัวตนแบบหลายขั้นตอน (MFA) หรือรหัส OTP ผ่าน SMS แม้จะมี CAPTCHA เพื่อป้องกันการเดารหัสผ่านอัตโนมัติ แต่กลับตั้งคำถามเดิมตลอดคือ “2+2=” ซึ่งไม่เคยเปลี่ยน ทำให้แทบไม่มีประสิทธิภาพในการป้องกัน

ด้วยช่องโหว่เหล่านี้รวมกัน ผู้โจมตีจึงสามารถใช้ credential ที่หลุดมาตั้งแต่ปี 2016 ล็อกอินเข้าระบบ Cellbroadcast และส่งข้อความเตือนภัยปลอมออกไปยังประชาชนทั่วประเทศได้สำเร็จ เหตุการณ์นี้เป็นกรณีศึกษาชัดเจนว่ามัลแวร์ infostealer ที่ขโมย credential ไว้สามารถกลายเป็นจุดเริ่มต้นของการโจมตีโครงสร้างพื้นฐานสำคัญได้ แม้จะผ่านไปนานหลายปี หากองค์กรไม่เคยบังคับเปลี่ยนรหัสผ่านหรือเพิ่มชั้นการป้องกัน ขณะนี้หน่วยงานท้องถิ่นกำลังทำงานร่วมกับ Anatel เพื่อสืบสวนว่าระบบถูกเจาะได้อย่างไร

ผลกระทบต่อไทย

เหตุการณ์ในบราซิลเป็นบทเรียนตรงสำหรับไทยที่มีระบบ Cell Broadcast Service (CBS) สำหรับเตือนภัยพิบัติซึ่งเพิ่งเริ่มใช้งานเช่นกัน หากระบบเตือนภัยฉุกเฉินถูกแฮ็กและส่งข้อความปลอม ไม่เพียงสร้างความตื่นตระหนกในวงกว้าง แต่ยังบั่นทอนความเชื่อมั่นของประชาชนต่อการแจ้งเตือนจริงในอนาคต กรณีนี้ยังตอกย้ำว่าภัยจากมัลแวร์ infostealer ที่ขโมย credential เป็นปัญหาเรื้อรัง เพราะ credential ที่หลุดเพียงชุดเดียวและไม่เคยเปลี่ยน สามารถถูกนำมาใช้โจมตีโครงสร้างพื้นฐานสำคัญได้แม้ผ่านไปนานนับสิบปี หน่วยงานรัฐและผู้ให้บริการโครงสร้างพื้นฐานของไทยจึงควรทบทวนมาตรการพื้นฐานอย่าง MFA และนโยบายเปลี่ยนรหัสผ่านอย่างจริงจัง

คำแนะนำ

หน่วยงานที่ดูแลระบบสำคัญควรบังคับใช้การยืนยันตัวตนแบบหลายขั้นตอน (MFA) สำหรับทุกบัญชีที่เข้าถึงระบบ จำกัดการเข้าถึงผ่านช่องทางที่ปลอดภัยอย่าง VPN และยกเลิกการเปิดให้เข้าถึงจากอินเทอร์เน็ตโดยตรงหากไม่จำเป็น ควรกำหนดนโยบายเปลี่ยนรหัสผ่านเป็นระยะ ห้ามตั้งรหัสผ่านเหมือน username และตรวจสอบบัญชีกับฐานข้อมูล credential ที่รั่วไหลอย่างสม่ำเสมอ นอกจากนี้ควรใช้ CAPTCHA หรือกลไกป้องกัน bot ที่เปลี่ยนแปลงจริง ไม่ใช่คำถามคงที่ และเฝ้าระวังเครื่องของพนักงานจากมัลแวร์ infostealer ด้วยโซลูชัน EDR พร้อมอบรมพนักงานให้ตระหนักถึงภัยจากการติดมัลแวร์ขโมยข้อมูล

แหล่งอ้างอิง