สรุปสั้น
ตำรวจแห่งชาติเนเธอร์แลนด์ (Politie) เปิดเผยว่าพบ “หลักฐานบ่งชี้ที่ชัดเจน” ว่าแฮ็กเกอร์ชาวดัตช์มีส่วนเกี่ยวข้องกับเหตุเจาะระบบบริษัท Odido ผู้ให้บริการโทรคมนาคมรายใหญ่ของเนเธอร์แลนด์เมื่อเดือนกุมภาพันธ์ที่ผ่านมา โดยหลักฐานชิ้นสำคัญคือบทสนทนาทางโทรศัพท์กับฝ่ายบริการลูกค้าของ Odido ไม่นานก่อนเกิดเหตุ ซึ่งชายที่พูดภาษาดัตช์ปลอมตัวเป็นพนักงานไอทีของบริษัท จากนั้นบริษัทถูกหลอกลวงด้วยฟิชชิง (Phishing) จนนำไปสู่การขโมยข้อมูลลูกค้าในที่สุด ตำรวจระบุว่าการสืบสวนคดีลักษณะนี้ซับซ้อนและใช้เวลา แต่อาชญากรไซเบอร์ก็ทิ้งร่องรอยไว้เสมอ และทีมสืบสวนสามารถเก็บหลักฐานได้หลายจุดตลอดการทำคดี
เหตุการณ์นี้กระทบลูกค้าราว 6.2 ล้านราย ข้อมูลที่หลุดออกไปแตกต่างกันไปตามลูกค้าแต่ละคน ครอบคลุมชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัพท์มือถือ หมายเลขลูกค้า อีเมล เลขบัญชีธนาคาร (IBAN) วันเกิด และรายละเอียดเอกสารระบุตัวตนบางส่วน เช่น เลขหนังสือเดินทางหรือใบขับขี่ ต่อมากลุ่มรีดไถข้อมูล ShinyHunters ออกมาอ้างความรับผิดชอบบนเว็บไซต์แฉข้อมูล (Leak Site) ในดาร์กเว็บ พร้อมปล่อยไฟล์ขนาด 88GB ที่มีข้อมูลกว่า 15 ล้านรายการ ซึ่งรวมข้อมูลที่บริษัทเคยยอมรับว่าหลุดจากการโจมตีครั้งนี้ด้วย
รายละเอียดข่าว
เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 10 กรกฎาคม พ.ศ. 2569 ว่าตำรวจแห่งชาติเนเธอร์แลนด์ออกแถลงการณ์ระบุความคืบหน้าการสืบสวนเหตุเจาะระบบบริษัท Odido โดยพบว่ามีแฮ็กเกอร์ชาวดัตช์เข้ามาเกี่ยวข้อง หลักฐานสำคัญคือการโทรศัพท์เข้าไปยังฝ่ายบริการลูกค้าของ Odido ไม่นานก่อนการแฮ็กจะเกิดขึ้น ซึ่งในบทสนทนานั้นชายที่พูดภาษาดัตช์แอบอ้างว่าเป็นพนักงานไอทีของ Odido เอง จากนั้นบริษัทจึงถูกหลอกลวงต่อด้วยฟิชชิงจนเกิดการขโมยข้อมูลตามมา
นาย Stan Duijf หัวหน้าฝ่ายปฏิบัติการของหน่วยสืบสวนและแทรกแซงแห่งชาติ (National Investigation and Interventions Unit) กล่าวว่าการสืบสวนลักษณะนี้มักซับซ้อนและต้องใช้เวลา แต่อาชญากรไซเบอร์เองก็มีจุดอ่อนและทิ้งร่องรอยไว้ ทีมสืบสวนสามารถเก็บรักษาหลักฐานได้หลายช่วงเวลาระหว่างการทำคดี ทั้งนี้ Odido เป็นหนึ่งในบริษัทโทรคมนาคมรายใหญ่ที่สุดของเนเธอร์แลนด์ ให้บริการมือถือ บรอดแบนด์ และโทรทัศน์แก่ลูกค้าหลายล้านรายทั่วประเทศ
บริษัทเปิดเผยเหตุการณ์ครั้งแรกเมื่อวันที่ 12 กุมภาพันธ์ พ.ศ. 2569 โดยระบุว่าผู้โจมตีเข้าถึงระบบติดต่อลูกค้า (Customer Contact System) ได้ตั้งแต่วันที่ 7 กุมภาพันธ์ และดาวน์โหลดข้อมูลส่วนบุคคลของผู้ใช้จำนวนมากออกไป พร้อมแจ้งสื่อท้องถิ่นว่าข้อมูลรั่วไหลครั้งนี้กระทบลูกค้า 6.2 ล้านราย และผู้โจมตีได้ติดต่อเข้ามาอ้างว่าขโมยข้อมูลผู้ใช้ไปหลายล้านรายการ อย่างไรก็ตามบริษัทยืนยันว่าข้อมูลการโทร ตำแหน่งที่ตั้ง ข้อมูลการเรียกเก็บเงิน สแกนเอกสารระบุตัวตน และรหัสผ่านบัญชี Mijn Odido ไม่ได้หลุดออกไปด้วย

วิธีการโจมตี
จุดเริ่มต้นของการโจมตีคือการหลอกลวงทางโทรศัพท์ (Vishing) โดยผู้โจมตีปลอมตัวเป็นพนักงานไอทีภายในของ Odido โทรเข้าหาฝ่ายบริการลูกค้าเพื่อสร้างความน่าเชื่อถือ ก่อนใช้ฟิชชิงหลอกพนักงานจนได้ช่องทางเข้าสู่ระบบติดต่อลูกค้าและดูดข้อมูลออกไป ซึ่งเป็นสูตรเดียวกับที่กลุ่ม ShinyHunters ใช้ในแคมเปญวงกว้างมาแล้ว โดยกลุ่มนี้มักปลอมเป็นเจ้าหน้าที่ฝ่ายสนับสนุนไอทีเพื่อหลอกพนักงานขององค์กรเป้าหมายให้กรอกข้อมูลล็อกอินและรหัส MFA ลงบนเว็บไซต์ฟิชชิงที่เลียนแบบหน้า Single Sign-On (SSO) ของ Okta, Microsoft และ Google
เมื่อยึดบัญชี SSO ขององค์กรได้แล้ว กลุ่มนี้จะเข้าไปขโมยข้อมูลจากแอปพลิเคชัน SaaS ที่เชื่อมต่ออยู่ ไม่ว่าจะเป็น Microsoft 365, Google Workspace, Salesforce, SAP, Slack, Zendesk, Dropbox, Adobe และ Atlassian ที่ผ่านมา ShinyHunters ถูกเชื่อมโยงกับเหตุเจาะระบบของบริษัทดังจำนวนมาก เช่น Google, Cisco, PornHub, Match Group เจ้าของแอปหาคู่รายใหญ่, คณะกรรมาธิการยุโรป, Rockstar Games และ McGraw-Hill ยักษ์ใหญ่ด้านเทคโนโลยีการศึกษา รวมถึงเหตุเจาะลูกค้า Snowflake กว่าสิบราย และล่าสุดคือชุดการโจมตีขโมยข้อมูลผ่านช่องโหว่ Zero-day ใน Oracle PeopleSoft ที่กระทบองค์กรกว่า 100 แห่ง รวมถึงมหาวิทยาลัย Nottingham
ผลกระทบต่อไทย
แม้เหตุการณ์นี้เกิดในเนเธอร์แลนด์ แต่รูปแบบการโจมตีที่เริ่มจากการโทรปลอมเป็นพนักงานไอทีนั้นเป็นภัยที่ผู้ให้บริการโทรคมนาคมและองค์กรไทยเผชิญได้เช่นกัน โดยเฉพาะองค์กรที่มีศูนย์บริการลูกค้า (Call Center) ขนาดใหญ่ซึ่งพนักงานต้องรับสายจากบุคคลภายนอกจำนวนมากทุกวัน ยิ่งไปกว่านั้นองค์กรไทยจำนวนมากใช้ระบบ SSO และแอปพลิเคชัน SaaS แบบเดียวกับที่ ShinyHunters ใช้เป็นเป้าหมาย หากพนักงานถูกหลอกเพียงคนเดียวก็อาจเปิดทางให้ผู้โจมตีเข้าถึงข้อมูลลูกค้าจำนวนมหาศาลได้ และหากเกิดเหตุข้อมูลส่วนบุคคลรั่วไหลในระดับเดียวกันนี้ องค์กรยังมีความเสี่ยงตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ทั้งด้านบทลงโทษและความเชื่อมั่นของลูกค้า
คำแนะนำ
ผู้ดูแลระบบและองค์กรควรฝึกอบรมพนักงานฝ่ายบริการลูกค้าและ Help Desk ให้ตรวจสอบตัวตนของผู้ที่อ้างเป็นพนักงานไอทีภายในผ่านช่องทางที่สองเสมอ เช่น โทรกลับตามเบอร์ในระบบภายในหรือยืนยันผ่านหัวหน้างาน ห้ามดำเนินการรีเซ็ตรหัสผ่านหรือให้สิทธิ์เข้าถึงจากการร้องขอทางโทรศัพท์เพียงอย่างเดียว ควรใช้ MFA แบบต้านฟิชชิง (Phishing-resistant) เช่น FIDO2/Passkey แทนรหัส OTP ที่ถูกหลอกกรอกได้ จำกัดสิทธิ์การเข้าถึงระบบข้อมูลลูกค้าตามหลัก Least Privilege พร้อมเปิดการแจ้งเตือนเมื่อมีการดึงข้อมูลปริมาณผิดปกติ และเฝ้าระวังเว็บไซต์แฉข้อมูลในดาร์กเว็บเพื่อให้รู้ตัวเร็วหากข้อมูลองค์กรถูกนำไปเผยแพร่
