สรุปสั้น

FBI และ CISA ได้อัปเดตคำเตือนที่เคยออกไว้เมื่อเดือนมีนาคมเกี่ยวกับหน่วยข่าวกรองรัสเซียที่ทำฟิชชิงบัญชี Signal โดยผู้ปฏิบัติการได้เพิ่มขั้นตอนใหม่เข้ามา คือหลอกล่อให้เป้าหมายส่งมอบ Signal Backup Recovery Key ของตน เมื่อเหยื่อส่งคีย์ให้เพียงครั้งเดียว ผู้โจมตีจะสามารถกู้คืนแบ็กอัปของบัญชี อ่านประวัติข้อความทั้งแบบส่วนตัวและแบบกลุ่ม และยึดครองบัญชีได้ ที่แย่ไปกว่านั้นคือคีย์ยังคงใช้งานได้ต่อไป แม้ผู้ใช้จะสร้างบัญชีใหม่บนเบอร์โทรศัพท์เดิม คีย์เก่าก็ยังถูกนำมาใช้โจมตีบัญชีใหม่ได้ตามที่คำเตือนระบุ วิธีแก้ไขนั้นตรงไปตรงมา คือต้องสร้างคีย์ใหม่ในเมนู Settings ซึ่งจะทำให้คีย์เก่าใช้ดาวน์โหลดแบ็กอัปไม่ได้อีกในอนาคต พร้อมยอมรับว่าสิ่งที่ผู้โจมตีดึงไปแล้วถือว่าสูญเสียไป คำเตือนฉบับอัปเดตที่ชื่อ PSA I-062626-PSA ได้เพิ่มชื่อกลุ่มติดตามสาธารณะอีกสองชื่อที่ฉบับเดือนมีนาคมยังไม่มี คือ UNC5792 และ UNC4221 โดย FBI โยงกิจกรรมนี้เข้ากับหลายกลุ่มของหน่วยข่าวกรองรัสเซีย (RIS) สิ่งสำคัญที่ต้องเน้นย้ำคือการโจมตีนี้ไม่ได้เจาะการเข้ารหัสของ Signal แต่อย่างใด แต่เป็นการหลอกลวงด้วย social engineering แล้วเดินเข้าทางฟีเจอร์ที่ถูกต้องตามกฎหมาย

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 27 มิถุนายน พ.ศ. 2569 ว่า FBI ผูกกิจกรรมนี้เข้ากับหลายกลุ่มของหน่วยข่าวกรองรัสเซีย (Russian Intelligence Services หรือ RIS) รวมถึงเจ้าหน้าที่ FSB ที่ฝังตัวอยู่กับหน่วย FSB Border Guards และเจ้าหน้าที่อื่นที่ทำงานให้หน่วยทหารรัสเซีย แคมเปญนี้โจมตีทั้งบัญชี Signal และ WhatsApp แต่กลวิธีใหม่ในการล้วง recovery key ตามที่คำเตือนบรรยายนั้นเฉพาะเจาะจงกับ Signal เป้าหมายคือบุคคลที่มีคุณค่าทางข่าวกรองสูง ได้แก่ เจ้าหน้าที่รัฐทั้งปัจจุบันและอดีตของสหรัฐฯ และนานาชาติ บุคลากรทางทหาร นักการเมือง นักข่าว และเจ้าหน้าที่ในยูเครน โดยคำเตือนเดือนมีนาคมระบุว่าแคมเปญในวงกว้างได้เจาะบัญชีไปแล้วหลายพันบัญชีทั่วโลก

ข้อความฟิชชิงจะปลอมตัวเป็นฝ่ายสนับสนุนของ Signal คลื่นการโจมตีรุ่นก่อนหน้านี้จะขอรหัสยืนยันทาง SMS และ PIN ของบัญชี หรือใช้ลิงก์ “คำเชิญเข้ากลุ่ม” ที่ถูกดัดแปลงเพื่อแอบเชื่อมอุปกรณ์ของผู้โจมตีเข้ากับบัญชีอย่างเงียบ ๆ ส่วนเวอร์ชันที่อัปเดตใหม่จะค่อย ๆ พาเป้าหมายไปเปิดใช้ Signal backups เปิดดู Recovery Key แล้ววางลงในแชต คำเตือนได้แสดงตัวอย่างข้อความสองแบบ แบบหนึ่งแต่งเป็นการบังคับเปิดใช้ระบบยืนยันตัวตนสองชั้น (two-factor) อีกแบบเป็นการแก้ปัญหา “กู้คืนข้อมูล” เร่งด่วนสำหรับข้อความที่อ้างว่าเสี่ยงจะสูญหาย เช่นเดียวกับเดือนมีนาคม หน่วยงานยืนยันชัดเจนว่าไม่มีขั้นตอนใดเจาะการเข้ารหัสของ Signal หรือตัวแอปได้ ผู้โจมตีเจาะบัญชีรายบุคคลผ่าน social engineering แล้วเดินเข้าทางฟีเจอร์ที่ถูกต้องตามกฎหมาย

วิธีการโจมตี

หัวใจของกลวิธีใหม่นี้อยู่ที่ Signal Backup Recovery Key ซึ่งเป็นกุญแจที่ใช้กู้คืนแบ็กอัปทั้งหมดของบัญชี เมื่อผู้โจมตีหลอกให้เหยื่อเปิดเผยคีย์นี้ พวกเขาสามารถกู้คืนแบ็กอัป อ่านประวัติข้อความ และเข้ายึดบัญชีได้ทันที จุดที่อันตรายเป็นพิเศษคือคีย์ยังคงทำงานต่อไป แม้เหยื่อจะตั้งบัญชีใหม่บนเบอร์เดิม คีย์เก่าก็ยังใช้โจมตีได้อยู่ จึงต้องสร้างคีย์ใหม่เพื่อตัดการใช้งานคีย์เดิมในอนาคต

กลวิธีนี้มีวิวัฒนาการมาจากการไล่ล่ารหัสครั้งเดียว (one-time code) ไปสู่การยึดกุญแจที่เปิดคลังข้อความทั้งหมด คำเตือนฉบับอัปเดตเพิ่มชื่อกลุ่ม UNC5792 และ UNC4221 เข้ามา กิจกรรมนี้ทับซ้อนกับคำเตือนจากหน่วยข่าวกรองเนเธอร์แลนด์ (AIVD และ MIVD) หน่วย BfV และ BSI ของเยอรมนี และ ANSSI ของฝรั่งเศสเมื่อต้นปีนี้ ขณะที่ Google Threat Intelligence Group เป็นรายแรกที่บันทึกว่า UNC5792 ใช้ฟีเจอร์ linked-device ของ Signal ในทางที่ผิดตั้งแต่ต้นปี 2025 และพบกลวิธีเดียวกันนี้ถูกนำไปใช้กับ WhatsApp และ Telegram นอกจากนี้ โครงการ Rewards for Justice ของกระทรวงการต่างประเทศสหรัฐฯ ยังตั้งรางวัลสูงสุดถึง 10 ล้านดอลลาร์สำหรับข้อมูลเกี่ยวกับ UNC5792

ผลกระทบต่อไทย

แม้เป้าหมายหลักของแคมเปญนี้จะเป็นเจ้าหน้าที่รัฐ ทหาร และนักข่าวในสหรัฐฯ และยูเครน แต่บทเรียนสำคัญใช้ได้กับผู้ใช้ Signal และ WhatsApp ทุกคนในไทย โดยเฉพาะเจ้าหน้าที่ภาครัฐ นักการเมือง นักข่าว และนักเคลื่อนไหวที่ใช้แอปเข้ารหัสเหล่านี้สื่อสารข้อมูลละเอียดอ่อน เทคนิคนี้ไม่ได้เจาะการเข้ารหัส แต่อาศัยความไว้ใจของผู้ใช้และฟีเจอร์ที่ถูกต้อง ทำให้แอปที่ปลอดภัยที่สุดก็ยังถูกยึดบัญชีได้ผ่านการหลอกลวง ผู้ใช้ไทยจึงควรระวังข้อความที่อ้างเป็นฝ่ายสนับสนุน Signal หรือ WhatsApp และไม่ส่งมอบคีย์ รหัส หรือ PIN ให้ใครเด็ดขาด

คำแนะนำ

ผู้ใช้ควรปฏิบัติตามคำแนะนำของ FBI และ CISA ดังนี้ ให้ถือว่าข้อความใด ๆ ในแอปที่อ้างว่ามาจาก “Signal support” เป็นภัยคุกคาม เพราะฝ่ายสนับสนุนจริงจะไม่ส่งข้อความหาคุณภายในแอปเพื่อขอรหัส PIN หรือ Recovery Key, ห้ามวาง Backup Recovery Key รหัสยืนยัน หรือ PIN ลงในแชตเด็ดขาด เพราะไม่มีบริการที่ถูกต้องใดขอสิ่งเหล่านี้ผ่านช่องทางนั้น, เปิดเมนู Settings ตรวจสอบ Linked Devices และลบอุปกรณ์ที่ไม่รู้จักออก และหากคิดว่าได้ส่งมอบ Recovery Key ไปแล้ว ให้สร้างคีย์ใหม่ใน Settings ทันที พร้อมตั้งสมมติฐานว่าแบ็กอัปใด ๆ ที่ทำไว้ก่อนหน้านั้นได้ตกอยู่ในมือผู้อื่นแล้ว สิ่งที่ต้องจำคือการเข้ารหัสยังคงมั่นคง จุดอ่อนอยู่ที่ตัวบัญชีและคนที่ถือบัญชีนั้นต่างหากที่เป็นเป้าหมาย

แหล่งอ้างอิง