สรุปสั้น

นาย Owen Flowers วัย 18 ปี และนาย Thalha Jubair วัย 20 ปี ถูกศาล Woolwich Crown Court ตัดสินจำคุกคนละ 5 ปีครึ่ง เมื่อวันพฤหัสบดีที่ 16 กรกฎาคม 2569 จากการเจาะระบบหน่วยงานขนส่งกรุงลอนดอน (Transport for London หรือ TfL) เมื่อปี 2567 การโจมตีครั้งนั้นทำให้ระบบของ TfL จำนวน 148 ระบบใช้งานไม่ได้ และบังคับให้พนักงานทั้ง 27,000 คนของหน่วยงานต้องเดินทางเข้าออฟฟิศเพื่อรีเซ็ตรหัสผ่านด้วยตนเอง โดยทั้งสำนักงานปราบปรามอาชญากรรมแห่งชาติ (NCA) และสำนักงานอัยการ (CPS) ประเมินความเสียหายและค่าใช้จ่ายในการกู้คืนของ TfL ไว้ที่ 29 ล้านปอนด์ ทั้งสองคนรับสารภาพเมื่อวันที่ 22 มิถุนายน 2569 ซึ่งเป็นวันที่การพิจารณาคดีของพวกเขากำลังจะเริ่มต้น โดยข้อหาคือมาตรา 3ZA ของกฎหมาย Computer Misuse Act 1990 ซึ่งเป็นข้อหาที่ร้ายแรงที่สุดของกฎหมายฉบับนี้ และพวกเขายอมรับผิดบนพื้นฐานว่าประมาทเลินเล่อต่อการที่อาจก่อหรือสร้างความเสี่ยงร้ายแรงต่อสวัสดิภาพของมนุษย์ CPS ระบุว่านาย Flowers และนาย Jubair เชื่อว่าเป็นแฮ็กเกอร์กลุ่มแรกที่ถูกดำเนินคดีสำเร็จภายใต้มาตรา 3ZA และ NCA เรียกคดีนี้ว่าเป็นการดำเนินคดีอาชญากรรมไซเบอร์ครั้งใหญ่ที่สุดที่ศาลสหราชอาณาจักรเคยพบเห็น

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 16 กรกฎาคม พ.ศ. 2569 ว่า ศาลได้ตัดสินจำคุกนาย Owen Flowers และนาย Thalha Jubair คนละ 5 ปีครึ่งจากคดีเจาะระบบ TfL การบุกรุกดำเนินไปตั้งแต่วันที่ 31 สิงหาคมถึง 3 กันยายน 2567 ในช่วงที่ TfL ดูแลการเดินทางเฉลี่ยวันละ 9 ล้านเที่ยว บริการ Dial-a-Ride ซึ่งเป็นบริการจองสำหรับช่วยเหลือชาวลอนดอนกลุ่มเปราะบางในการเดินทางต้องหยุดทำงาน พร้อมกับช่องทางการชำระเงินดิจิทัลและการออกบัตรเดินทางลดราคา การรับสมัครบัตร Oyster photocard สำหรับเด็กและเยาวชนในลอนดอนต้องปิดลง การขยายระบบตั๋วแบบไร้สัมผัสถูกเลื่อน และการคืนเงินก็ล่าช้า TfL แจ้งลูกค้าว่าชื่อและอีเมลถูกเข้าถึง รวมถึงที่อยู่บ้านในกรณีที่มีเก็บไว้ และข้อมูลการคืนเงิน Oyster อาจรั่วไหลไปด้วย ซึ่งรวมถึงหมายเลขบัญชีธนาคารและ sort code ของผู้คนราว 5,000 คน

CPS ระบุว่ามีเพียงสองคนนี้เท่านั้นที่รู้ว่าตั้งใจจะทำอะไรกับการเข้าถึงที่ได้มา แม้บทสนทนาของพวกเขาจะบ่งชี้ว่าตั้งใจจะลบล้างการเข้าถึงตอนถอนตัวออกไป นั่นคือที่มาของตัวเลขที่ใหญ่ที่สุดในคดี โดย NCA ระบุว่าการปิดเครือข่ายสำเร็จอาจสร้างความเสียหายต่อเศรษฐกิจสหราชอาณาจักรได้ถึง 56,000 ล้านปอนด์ และ CPS ประเมินสถานการณ์สมมตินี้ไว้ในระดับหลายพันล้านปอนด์ แต่มันยังคงเป็นเพียงสมมติฐานเพราะ TfL ตัดสินใจปิดเครือข่ายของตนเองเพื่อควบคุมสถานการณ์ นาย Flowers ถูกจับกุมที่บ้านเมื่อวันที่ 6 กันยายน 2567 สามวันหลังการบุกรุก TfL สิ้นสุดลง และ NCA ระบุว่าเจ้าหน้าที่พบเขากำลังโจมตีองค์กรด้านสุขภาพในสหรัฐฯ สองแห่งคือ SSM Health Care Corporation และ Sutter Health เจ้าหน้าที่ยึดแล็ปท็อป คอมพิวเตอร์ตั้งโต๊ะ ฮาร์ดไดรฟ์ และ USB โดยแล็ปท็อปเครื่องหนึ่งมีภาพหน้าจอการเชื่อมต่อเครือข่ายเข้าสู่โครงสร้างพื้นฐานของ TfL พร้อมวิดีโอที่นาย Flowers บันทึกไว้ขณะที่นาย Jubair เคลื่อนที่ผ่านระบบของ TfL ระหว่างการโจมตี ทั้งคู่ส่งข้อความหากันบน Telegram และใช้พื้นที่ทำงานออนไลน์ร่วมกันขณะลงมือ

รายละเอียดคดี

อัยการพิสูจน์ได้ว่านาย Flowers เชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลที่ใช้เปิดฉากการบุกรุกทั้งสามครั้ง และอุปกรณ์ของเขาเองก็เชื่อมโยงเขาเข้ากับทั้งสามเหตุการณ์ ส่วนข้อมูลที่เชื่อมโยงนาย Jubair เข้ากับ TfL ถูกค้นพบในต่างประเทศด้วยความช่วยเหลือของอัยการที่นั่น นาย Flowers ยังรับสารภาพอีกสองข้อหาเกี่ยวกับการโจมตีองค์กรสุขภาพ ทั้งการสมคบคิดต่อ SSM Health และการพยายามโจมตี Sutter Health โดย CPS ระบุว่าเขาข่มขู่จะล็อกระบบเหล่านั้น พร้อมยอมรับในบทสนทนาว่าการทำเช่นนั้น “อาจฆ่าคนอายุ 90 ปีที่ใช้เครื่องช่วยชีวิตอยู่” ซึ่งการจับกุมคือสิ่งที่หยุดยั้งเขาไว้

NCA อธิบายว่าชายทั้งสองเป็นสมาชิกระดับนำของกลุ่ม Scattered Spider ซึ่งเป็นเครือข่ายรีดไถที่ถูกติดตามในชื่ออื่นด้วย เช่น Octo Tempest, UNC3944 และ 0ktapus ขณะที่ CPS ระมัดระวังกว่าโดยระบุว่าจำเลยอ้างตัวในหลายจุดว่าเป็นสมาชิกของกลุ่มที่อัยการเชื่อว่าก่อเหตุโจมตีหลายร้อยครั้งระหว่างปี 2565 ถึง 2568 ทั้งนี้คดีอีกคดีของนาย Jubair ยังเปิดอยู่ โดยคำร้องที่เปิดผนึกในรัฐนิวเจอร์ซีเมื่อเดือนกันยายน 2568 กล่าวหาเขาในข้อหาสมคบคิดฉ้อโกงคอมพิวเตอร์ ฉ้อโกงทางสาย และฟอกเงิน คำร้องระบุว่าแผนการนี้เกี่ยวข้องกับการบุกรุกเครือข่ายราว 120 ครั้ง และเหยื่อในสหรัฐฯ อย่างน้อย 47 รายระหว่างเดือนพฤษภาคม 2565 ถึงกันยายน 2568 มีการจ่ายค่าไถ่รวมกว่า 115 ล้านดอลลาร์ อัยการยังระบุว่าเขาอยู่เบื้องหลังการบุกรุกบริษัทโครงสร้างพื้นฐานสำคัญของสหรัฐฯ และระบบศาลสหรัฐฯ และกล่าวหาว่าเขาโยกย้ายเงินคริปโตราว 8.4 ล้านดอลลาร์ออกจากกระเป๋าเงินบนเซิร์ฟเวอร์ขณะที่เจ้าหน้าที่กำลังยึดมัน โดยข้อกล่าวหาเหล่านี้ยังไม่ได้รับการพิสูจน์ในศาล และโทษสูงสุดรวมทุกข้อหาอยู่ที่ 95 ปี

ผลกระทบต่อไทย

แม้คดีนี้จะเกิดในสหราชอาณาจักรและสหรัฐฯ แต่กลุ่ม Scattered Spider เป็นภัยคุกคามระดับโลกที่ใช้เทคนิควิศวกรรมสังคมเป็นอาวุธหลัก ซึ่งเป็นบทเรียนตรงสำหรับองค์กรไทย เพราะจุดเด่นของกลุ่มนี้ไม่ใช่การเจาะช่องโหว่ทางเทคนิคที่ซับซ้อน แต่เป็นการโทรหลอกพนักงาน (vishing) การสร้างหน้าเก็บข้อมูลรับรองที่สวมแบรนด์เหยื่อเพื่อดักล็อกอิน SSO และรหัส MFA แล้วลงทะเบียนอุปกรณ์ของผู้โจมตีเองเข้ากับ MFA ทาง Google ที่ทำวิจัยร่วมชี้ว่าจุดแก้ไขอยู่ที่เดียว คือการยืนยันตัวตนอย่างเข้มงวดในขั้นตอนรีเซ็ตรหัสผ่าน การลงทะเบียนอุปกรณ์ และการเปลี่ยนแปลง MFA ซึ่งเป็นกระบวนการที่กลุ่มเหล่านี้โทรเข้ามาและพูดหว่านล้อมเจ้าหน้าที่ให้ทำให้ องค์กรไทยที่มี help desk หรือศูนย์บริการที่รับคำขอรีเซ็ตรหัสผ่านและ MFA ทางโทรศัพท์จึงควรตระหนักว่าจุดนี้คือเป้าหมายที่กลุ่มอาชญากรไซเบอร์นิยมโจมตี และเหตุการณ์ TfL ยังแสดงให้เห็นว่าความเสียหายจากการโจมตีระบบขนส่งหรือโครงสร้างพื้นฐานสามารถลุกลามกระทบประชาชนวงกว้างได้

คำแนะนำ

องค์กรควรยกระดับกระบวนการยืนยันตัวตนในจุดที่อ่อนไหวที่สุด ได้แก่ การรีเซ็ตรหัสผ่าน การลงทะเบียนอุปกรณ์ใหม่ และการเปลี่ยนแปลงการตั้งค่า MFA โดยไม่ควรอนุญาตให้ดำเนินการเหล่านี้ผ่านการยืนยันตัวตนทางโทรศัพท์เพียงอย่างเดียว ควรใช้การยืนยันหลายปัจจัยที่ต้านฟิชชิงได้ เช่น passkey หรือ FIDO2 และฝึกอบรมเจ้าหน้าที่ help desk ให้ระวังการโทรหลอกที่พยายามกดดันให้รีเซ็ตข้อมูลรับรองอย่างเร่งด่วน นอกจากนี้ NCA ยังเน้นย้ำบทเรียนสำคัญจากคดีนี้ว่า องค์กรที่ตกเป็นเหยื่อควรแจ้งหน่วยงานบังคับใช้กฎหมายตั้งแต่เนิ่น ๆ เพราะนาย Paul Foster หัวหน้าหน่วยอาชญากรรมไซเบอร์แห่งชาติของ NCA ระบุว่าการตัดสินลงโทษครั้งนี้อาจไม่เกิดขึ้นเลยหาก TfL ไม่ได้ติดต่อเจ้าหน้าที่ องค์กรไทยจึงควรมีแผนรับมือเหตุการณ์ที่รวมถึงการประสานงานกับหน่วยงานที่เกี่ยวข้องอย่างรวดเร็ว ควบคู่กับการเฝ้าระวังพฤติกรรมการล็อกอินและการเปลี่ยนแปลงสิทธิ์ที่ผิดปกติ

แหล่งอ้างอิง