สรุปสั้น
นักร้องสาว Céline Dion มีกำหนดแสดงคอนเสิร์ตที่กรุงปารีสรวม 16 รอบในปี 2569 ตั้งแต่วันที่ 12 กันยายนถึง 17 ตุลาคม และเมื่อรวมกับอีก 10 รอบที่ประกาศเพิ่มในเดือนพฤษภาคม 2570 ทำให้มีทั้งหมด 26 รอบ ความต้องการตั๋วที่สูงลิ่วนี้เองที่ทำให้กลายเป็นเป้าหมายชั้นดีของมิจฉาชีพ โดยแฟนเพลงที่ค้นหาตั๋วบน Facebook กำลังตกเป็นเหยื่อของกลโกงที่แนบเนียนเป็นพิเศษ คือคนร้ายสามารถวางตั๋วดิจิทัลที่ใช้งานได้จริงเข้าไปในบัญชี Ticketmaster ของผู้ซื้อได้ แต่สุดท้ายเหยื่อกลับเข้างานไม่ได้ นักวิจัยด้านความปลอดภัยไซเบอร์จากบริษัท Group-IB พบว่ามิจฉาชีพเข้าหาผู้ซื้อผ่านกลุ่มและ Marketplace บน Facebook ควบคู่กับการสร้างเว็บไซต์ปลอมชุดหนึ่งที่เลียนแบบ Ticketmaster, AXS, เว็บไซต์ทางการของ Dion และสถานที่จัดคอนเสิร์ต
กลลวงมีอยู่สองรูปแบบหลัก แบบแรกคือการหลอกขายตั๋วในกลุ่มแฟนคลับบน Facebook โดยผู้ขายจะสร้างความไว้ใจผ่านการส่งข้อความส่วนตัวและคลิปเสียง ก่อนจะใช้แรงกดดันว่ามีคนสนใจจำนวนมากและตั๋วอาจขายหมดภายในไม่กี่นาที เมื่อเหยื่อตกลง ผู้ขายจะขอให้โอนเงินเข้าบัญชีธนาคารโดยตรงนอกระบบขายต่อที่เป็นทางการ แล้วส่งลิงก์โอนตั๋วของ Ticketmaster จริงที่มีตั๋วดิจิทัลและโค้ดเข้างานให้ ซึ่งอาจปรากฏในบัญชีของเหยื่อตามปกติ แต่จากการวิเคราะห์ของ Group-IB พบว่ามิจฉาชีพส่งตั๋วและโค้ดชุดเดียวกันให้ผู้ซื้อหลายคน ทำให้มีเพียงคนแรกที่โค้ดถูกสแกนเท่านั้นที่เข้างานได้ ส่วนผู้ซื้อรายหลังทั้งหมดจะถูกปฏิเสธไม่ให้เข้า จากนั้นผู้ขายก็ปิดโปรไฟล์ Facebook และตัดการติดต่อไป
รายละเอียดข่าว
เว็บไซต์ HackRead รายงานเมื่อวันที่ 15 กรกฎาคม 2569 อ้างอิงการวิเคราะห์ของบริษัท Group-IB ว่าการเปิดขายตั๋วรอบพรีเซลอย่างเป็นทางการเริ่มในเดือนเมษายน แต่ข้อเสนอหลอกลวงกลับปรากฏขึ้นก่อนหน้านั้นเสียอีก โดยนอกจากการหลอกขายในกลุ่ม Facebook แล้ว ยังมีเว็บไซต์ปลอมอีกชุดหนึ่งที่ปลอมเป็น Ticketmaster, AXS, เว็บไซต์ทางการของ Dion และ Paris La Défense Arena ทั้งสองวิธีล้วนอาศัยแบรนด์และบริการที่คนคุ้นเคยเพื่อทำให้การซื้อดูน่าเชื่อถือ Group-IB ยังพบว่าโปรไฟล์ผู้ขายบางรายมีการแก้ไขชื่อที่แสดง (display name) ในขณะที่ตัวตนเดิมยังปรากฏอยู่ใน URL ของ Facebook ซึ่งเป็นเบาะแสหนึ่งที่บ่งชี้ความไม่ชอบมาพากล
สำหรับผู้ซื้อที่ถูกพาไปยังเว็บไซต์ปลอม Group-IB บันทึกได้ว่ามีโดเมนมากกว่า 20 รายการที่ใช้ชื่อเกี่ยวข้องกับ Céline Dion, Ticketmaster, AXS และ Paris La Défense Arena ตัวอย่างเช่น Axs-billetterie.com, Celine-dion-arena.com, Ticketmaster-celinedion.com และ Account.ticketmaster-celinedion.fr เป็นต้น นอกจากนี้มิจฉาชีพยังใช้แพลตฟอร์ม Shopify สร้างร้านขายตั๋วปลอมที่มีหน้าบัญชี หน้าชำระเงิน และหน้าจ่ายเงินที่คุ้นตา ทำให้เว็บดูสมจริง นักวิจัยพบเส้นทาง (path) เฉพาะของ Shopify เช่น /cdn/shop/files/ และ /products/ รวมถึงหน้าบัญชีลูกค้า ตัวระบุ OAuth client และซับโดเมนสำหรับชำระเงินโดยเฉพาะ บางหน้ายังแสดงฟอร์มกรอกบัตรเครดิต รายละเอียดการจัดส่ง และคะแนนรีวิว Trustpilot ปลอมด้วย
วิธีการหลอกลวง
Group-IB พบความคล้ายคลึงทางเทคนิคหลายจุดที่เชื่อมโยงโดเมนเหล่านี้เข้ากับชุดฟิชชิง (phishing kit) ที่นำกลับมาใช้ซ้ำ โดยค่า OAuth state บนหน้าบัญชีหลายหน้าเริ่มต้นด้วยคำนำหน้า (prefix) เดียวกันคือ hWNA ขณะที่เว็บไซต์เหล่านี้ใช้ขั้นตอนการยืนยันตัวตนและองค์ประกอบของ Shopify ที่คล้ายกัน Group-IB ระบุว่า prefix ที่ซ้ำกันนี้น่าจะมาจากตัวสร้างสตริงแบบสุ่มค่าต่ำ (low-entropy string generator) ตัวเดียวกัน ซึ่งเป็นหลักฐานว่าเว็บปลอมทั้งหมดถูกสร้างจากชุดเครื่องมือเดียวกันและดำเนินการโดยกลุ่มเดียว
จุดที่ทำให้กลโกงนี้ต่างจากการหลอกขายตั๋วทั่วไปคือ การที่มิจฉาชีพสามารถส่งตั๋วดิจิทัลของ Ticketmaster ที่ใช้งานได้จริงให้เหยื่อ ทำให้เหยื่อเชื่อสนิทว่าได้ตั๋วจริงแล้ว แต่เนื่องจากตั๋วแบบใช้ครั้งเดียว (single-use ticket) จะทำงานให้กับคนแรกที่โค้ดถูกสแกนเท่านั้น ผู้ซื้อรายหลังที่ได้รับตั๋วและโค้ดชุดเดียวกันจึงเหลือเพียงโค้ดเข้างานที่ใช้ไม่ได้ กว่าจะรู้ตัวก็ต่อเมื่อไปถึงหน้างานและถูกปฏิเสธไม่ให้เข้าแล้ว ซึ่งเป็นช่วงที่ผู้ขายปิดการติดต่อและหายตัวไปเรียบร้อย
ผลกระทบต่อไทย
แม้คอนเสิร์ตครั้งนี้จะจัดที่ปารีส แต่รูปแบบการหลอกลวงนี้เป็นภัยที่แฟนเพลงและผู้ซื้อตั๋วชาวไทยพบเจอได้กับทุกอีเวนต์ที่มีความต้องการสูง ทั้งคอนเสิร์ตศิลปินต่างชาติที่มาไทย บัตรคอนเสิร์ต K-pop หรืออีเวนต์กีฬา มิจฉาชีพในไทยก็ใช้กลวิธีเดียวกัน คือสร้างความน่าเชื่อถือในกลุ่ม Facebook เร่งให้ตัดสินใจเร็ว แล้วขอให้โอนเงินเข้าบัญชีธนาคารโดยตรงนอกระบบขายต่อทางการ การที่คนร้ายสามารถส่งตั๋วหรือหลักฐานที่ดู “จริง” ได้ ทำให้เหยื่อตายใจ กรณีนี้จึงเป็นบทเรียนสำคัญว่าการได้รับตั๋วดิจิทัลเข้าบัญชีแล้วไม่ได้แปลว่าปลอดภัย เพราะตั๋วใบเดียวกันอาจถูกขายให้คนหลายคน ผู้ซื้อชาวไทยควรระวังเป็นพิเศษเมื่อมีการเร่งรัดให้โอนเงินด่วนและปฏิเสธการใช้ช่องทางขายต่อที่เป็นทางการ
คำแนะนำ
ผู้ที่ต้องการซื้อตั๋วควรเริ่มต้นจากหน้าคอนเสิร์ตทางการของศิลปินหรือผู้จัดจำหน่ายที่ได้รับอนุญาตเท่านั้น เช่น Ticketmaster, AXS หรือ Fnac ไม่ควรซื้อผ่านลิงก์ที่โพสต์โดยผู้ขายที่ไม่รู้จัก เพราะการทำเช่นนั้นเท่ากับมอบอำนาจควบคุมทั้งช่องทางชำระเงินและข้อมูลที่แสดงให้ผู้ซื้อไว้ในมือของมิจฉาชีพ ควรปฏิเสธคำขอให้โอนเงินเข้าบัญชีธนาคารโดยตรงทุกกรณี และตรวจสอบว่าชื่อบัญชีของผู้ขายตรงกับตัวตนที่แสดงบนโปรไฟล์หรือไม่ ระวังการกดดันให้ตัดสินใจเร็วซึ่งเป็นสัญญาณคลาสสิกของการหลอกลวง หากพบเว็บไซต์ที่ใช้ชื่อโดเมนแปลกปลอมเลียนแบบแบรนด์ทางการ ให้หลีกเลี่ยงทันที และหากได้จ่ายเงินให้ผู้ที่สงสัยว่าเป็นมิจฉาชีพไปแล้ว ควรติดต่อธนาคารโดยเร็วที่สุด
