แฮกเกอร์เรียกค่าไถ่ โดนง่ายๆ แต่จับยาก

“แฮกเกอร์” ข้ามชาติส่งไวรัสเข้า เจาะโจมตีระบบคอมพิวเตอร์ “โรงพยาบาลในไทย” ทำให้ฐานข้อมูลผู้ป่วยทั้งหมด “โดนบล็อก” เพื่อเป็นการเรียกค่าไถ่ 2 แสนบิทคอยน์ หรือราว 6.3 แสนล้านบาท เหตุการณ์นี้กลายเป็น “ความวุ่นวายโกลาหล” ก่อให้เกิดความเสียหายอย่างรุนแรง เพราะไม่สามารถเข้าระบบคอมพิวเตอร์ได้ ทำให้ฐานข้อมูลผู้ป่วยใช้งานไม่ได้ และภาพสแกน เวชระเบียนเสียหายทั้งหมด

การโจมตีคุกคามทาง “ไซเบอร์” ต่อหน่วยงานราชการระลอกนี้ “คนร้าย” มีการใช้ “แรนซัมแวร์” (Ransomware) เป็นเครื่องมือ ที่เรียกกันว่า “มัลแวร์” (Malware) หรือ “ไวรัสเรียกค่าไถ่” ในรูปแบบ “อีเมลไวรัส” ส่งเข้าสู่ระบบคอมพิวเตอร์ ทำให้ฐานข้อมูลถูก “บล็อก” ส่วนใหญ่มักมีเป้าหมายที่เป็นองค์กรใหญ่สำคัญๆ

โดยเฉพาะ “โรงพยาบาล” ที่มักเกิดขึ้นบ่อยครั้งในต่างประเทศ เพื่อมุ่งเป้าปั่นป่วนให้ระบบเกิดการชะงัก ไม่ให้สามารถเข้าใช้งานได้ สุดท้ายก็มักต้องยอมจ่ายค่าไถ่ง่ายรวดเร็ว เพื่อแลกกับการให้ระบบกลับมาใช้ได้ตามปกติ ในการรักษาพยาบาลผู้ป่วยให้สามารถดำเนินต่อไป

ในการโจมตีของ “แฮกเกอร์” ในครั้งนี้นับเป็น “ประกาศเตือน” ส่งสัญญาณให้รู้ว่า “ประเทศไทย” กำลังตกเป็นเหยื่อโจมตี “ทางไซเบอร์” ที่เป็นภัยคุกคามบนโลกออนไลน์ ส่งผลกระทบทั้งระดับบุคคล องค์กร และประเทศในอนาคตอันใกล้นี้ พ.ต.อ.ปองพล เอี่ยมวิจารณ์ ผู้ช่วยนายเวร (สบ 4) ตร. ในฐานะนักวิชาการอิสระด้านอาชญากรรมไซเบอร์ ให้ข้อมูลว่า

ลำดับแรก...ต้องมาทำความเข้าใจ “เครื่องมือ” ในการใช้ “บล็อกระบบเรียกค่าไถ่กันก่อน” ที่เรียกว่า “แรนซัมแวร์” เป็นเครื่องมืออุปกรณ์ “โจมตี” มีลักษณะ “เป็นไวรัส” ถูกพัฒนาขึ้นมาจากผู้มีความรู้เชี่ยวชาญด้านนี้นำออกมา ขายให้ “กลุ่มแฮกเกอร์” ที่มีจุดประสงค์ก่อเหตุ “อันชั่วร้าย” มีอยู่หลากหลายวิธี

ตามที่เคยเกิดขึ้นมีการแฝง “แรนซัมแวร์” ไปในรูปแบบเอกสารแนบ ทาง “อีเมล” ส่งให้เป้าหมายมักใช้หัวข้อประโยคขึ้นต้นน่าสนใจ มีความเชื่อถือประเภทไฟล์แนบ “.doc” หรือ “.xls” นามสกุล .exe ทำให้ “ผู้รับ” อาจคิดว่าเป็นไฟล์เอกสาร Word หรือ Excel ธรรมดา เมื่อมีการคลิกเปิดอีเมล ก็จะนำมาสู่ “แรนซัมแวร์” ฝังระบบคอมพิวเตอร์

เช่นนี้ในการ “ส่งอีเมลข้อมูล” ต่อให้บุคคลอื่น “แรนซัมแวร์” ก็จะติดไปกับอีเมลข้อมูลนั้นๆด้วยเช่นกัน กลายเป็นการขยาย “ไวรัส” ไปติดระบบ คอมพิวเตอร์เพิ่มขึ้น อีกทั้งยังมีการแฝงตัวมาในรูปแบบ “การโฆษณา” ไม่ว่า จะเป็นโฆษณาตามหน้าเว็บไซต์ต่างๆ

โดยเฉพาะ “เว็บหนังโป๊” อาศัยช่องโหว่เพียงเข้าเยี่ยมชมหน้าเว็บ ก็จะถูก “แฮกเกอร์” สามารถเข้าควบคุมระบบระยะไกล ได้ด้วยการโจมตีไฟล์เอกสารในคอมพิวเตอร์ ในการเข้าไป “ตั้งรหัสล็อกไฟล์” ทั้งไฟล์เอกสาร รูปภาพ วิดีโอ ทำให้ผู้ใช้เปิดอ่านข้อมูลไฟล์ไม่ได้ ลักษณะเสมือน “ปิดประตูระบบคอมฯ” ไม่ให้ผู้ใช้งานเข้าถึงได้

และเมื่อเปิดคอมฯจะมีข้อความ “เรียกค่าไถ่” ปรากฏหน้าจอแสดงขึ้นหลังไฟล์ถูกเข้ารหัสเรียบร้อยแล้ว แม้เป็น “เทพแห่งโปรแกรมเมอร์” ก็ต้องใช้เวลาแก้ไขไม่ต่ำกว่า 2 สัปดาห์ สุดท้าย...“ผู้ใช้งาน” ต้อง “จ่ายเงินค่าไถ่” มักเป็นสกุลเงินบิทคอยน์ (Bitcoin) ที่เรียกว่า “เงินสกุลเงินดิจิทัล” เพื่อแลก “รหัส” ในการเปิดประตูระบบนั้น

สาเหตุการระบุ...“จ่ายเงินบิทคอยน์” เพราะสามารถโอนเงิน หรือรับเงินได้ทั่วโลกที่เป็นเงินสกุลเงินดิจิทัล เปรียบเสมือนเหมืองขุดทอง “แฮกเกอร์” และนักแลกเปลี่ยนในตลาดมืดมีความเป็นอิสระ ในการตรวจสอบทำได้ยาก ที่มีประชากรส่วนหนึ่งเริ่มหันมาใช้จ่ายผ่าน “บิทคอยน์” ยิ่งทำให้เป็นช่องนำไปใช้เอื้อในการทำผิดกฎหมาย

ย้ำว่า “ค่าไถ่เงินสกุลดิจิทัล” ยากต่อการตรวจสอบ และติดตามเจ้าของกระเป๋าเงิน ต่างจากการแลกเปลี่ยนเงินแบบปกติ จะถูกตรวจสอบติดตามโดยธนาคารกลาง แต่ในโลกดิจิทัลนั้นไม่มีใครสามารถตรวจสอบเงินที่เปลี่ยนผ่านมือจากคนหนึ่งไปอีกคนได้

ทว่า...“ประเทศไทย” เริ่มมี “กลุ่มแฮกเกอร์” เข้ามาก่อเหตุในการใช้ “แรนซัมแวร์” โจมตีระบบคอมพิวเตอร์ขององค์กรใหญ่ๆตั้งแต่ต้นปี 2563 และในช่วง 2-3 เดือนมานี้ก็มีการก่อเหตุเรียกค่าไถ่แล้ว 3 ครั้ง คือ ครั้งแรก ...เป็นบริษัทเอกชน ครั้งที่สอง...องค์กรรัฐวิสาหกิจ และ ครั้งที่สาม...หน่วยงานภาครัฐ

แต่หน่วยงานทั้งหมดนี้ก็มิได้ “จ่ายเงินค่าไถ่” ตามที่ “คนร้าย” เรียกร้องต้องการอย่างใด ทำให้ต้องมีการแก้ไขกอบกู้ข้อมูลจากการ “ถูกบล็อก” ในระบบคอมพิวเตอร์ใหม่ราว 2-3 สัปดาห์

ทำให้ “แฮกเกอร์” ที่ใช้ “มัลแวร์เรียกค่าไถ่” เคยโจมตี “บริษัท หรือผู้ใช้ทั่วไป” มีแนวโน้มเบนเข็มเปลี่ยนไปเป็น “หน่วยงานด้านสาธารณสุข” เพราะมีการใช้ระบบเทคโนโลยีมาเป็นเครื่องมือในการจัดเก็บข้อมูลของผู้ป่วยสำคัญ เพื่อสนับสนุนการทำงานให้มีความสะดวกรวดเร็ว มีผลต่อการเรียกเงิน เรียกผลประโยชน์ได้อย่างดี

ถ้าหาก “แรนซัมแวร์” สามารถเจาะเข้าระบบคอมพิวเตอร์ของ “โรงพยาบาล” มักมีผลกระทบต่อกระบวนการรักษาผู้ป่วยทันที ที่ไม่อาจประเมินมูลค่าความเสียหายได้ เพราะไม่ได้เกิดเฉพาะตัวเงินเท่านั้น หากแต่หมายถึง “ชีวิตผู้ป่วย” ถูกนำมาเป็นเครื่องต่อรองเรียกค่าไถ่ “เป็นตัวประกัน” เพื่อให้มีโอกาสได้รับเงินค่าไถ่ตามมา...

อย่างเช่น...ในปี 2017 คนร้ายใช้ “มัลแวร์เรียกค่าไถ่โรงพยาบาล” ในประเทศอังกฤษ ด้วยไวรัสคอมพิวเตอร์ ต้องยกเลิกการปฏิบัติงานหลายอย่าง ที่ไม่สามารถรักษาผู้ป่วยได้ 7 วัน ต้องย้ายไปรักษาที่อื่นชั่วคราว

ต่อมา “ตำรวจ” ติดตามนานกว่า 3 ปี จนสามารถจับกุม “ผู้ผลิตแรนซัมแวร์” ลักลอบประกาศขายผ่านเว็บใต้ดิน ที่เรียกกันว่า “ดาร์กเว็บ” (Dark Web) ผ่านเครือข่าย Tor เป็นตัวปกปิดป้องกันการติดตามตัว และเส้นทาง ข้อมูลไม่ถูกค้นพบด้วย Google หรือ Search เพื่อให้ยากต่อการติดตามตัว บุคคลนี้

และขยายผลจับกุมเครือข่ายเกือบทั้งหมด ในจำนวนนี้มี 1 คน หลบหนีมากบดานในไทยด้วย

จริงแล้ว...“ผู้กระทำความผิด” ส่วนใหญ่มีแหล่งอาศัยอยู่ต่างประเทศ ที่ไม่มีรูปแบบตั้งเป้าเจาะจงปฏิบัติการโจมตีเรียกค่าไถ่ในประเทศใดประเทศหนึ่ง แต่มักใช้วิธีการสำรวจ “ประเทศ” ที่มีจุดอ่อนเรื่องความปลอดภัยของโครงสร้างพื้นฐาน “ระบบไอที” ที่จะเปิดช่องโหว่ให้แฮกเกอร์บุกเข้าได้ง่าย ในจำนวนนี้ ก็คือ “ประเทศไทย”

ในช่วงหลังมานี้มีข้อสังเกตว่า...“มัลแวร์เรียกค่าไถ่” มักเกิดระบาดขึ้น “ประเทศไทย” มีระดับความถี่บ่อยขึ้นเรื่อยๆ ทำให้ตั้งสมมติฐานว่า “แฮกเกอร์” อาจเข้ามาตั้งถิ่นฐานอยู่ในประเทศหรือไม่...?

เรื่องนี้ถือว่า “เป็นภัยไซเบอร์” มีความร้ายแรง และสร้างความเสียหายในวงกว้าง ทั้งความสูญเสียในแง่ตัวเงินสูงสุด ตามข้อมูล “เอฟบีไอ” มีการเก็บสถิติเหตุ “มัลแวร์ไวรัสเรียกค่าไถ่” ที่เกิดขึ้นทั่วโลกประมาณปีละ 4,000 ครั้ง เคยมีเหตุการณ์แพร่ระบาดโปรแกรมเรียกค่าไถ่ครั้งใหญ่ที่สุด ในปี 2017 “วอนนา คราย” (WannaCry) ด้วยการรวมกันของวิวัฒนาการ “แรนซัมแวร์” ทำให้โปรแกรมเรียกค่าไถ่ “วอนนา คราย” ไปได้รวดเร็ว และแพร่กระจายไปทั่ว 74 ประเทศ ทั้งในโรงพยาบาล ธุรกิจ สถานีรถไฟ มหาวิทยาลัย โทรคมนาคมระดับชาติ

ประเด็น...“การจับกุมคนร้าย” นับเป็นเรื่องซับซ้อนค่อนข้างทำได้ยากมาก ในอดีตส่วนใหญ่ “ตำรวจ” มักแกะรอยเส้นทางการจ่ายเงินสกุลเงินบิทคอยน์ ตามข้อมูล “เหยื่อถูกเรียกค่าไถ่” ทั้งหมด ที่มีการโอนส่งเงินเข้าบัญชีบิทคอยน์ นำมาประมวลวิเคราะห์ปลายทางต้นบัญชี แต่ต้องใช้เวลานานในการติดตามคนร้ายพอสมควร

ส่วนการป้องกันแบบง่ายๆก็คือ...ต้องไม่เปิดอีเมลนามสกุล .exe หรือเปิดโฆษณาลักษณะ “เหยื่อล่อ” โดยเฉพาะสิ่งดึงดูดใจ ยั่วยวนใจ เช่น ภาพโป๊ วิดีโอโป๊ แต่ด้วย “แฮกเกอร์” มีจุดประสงค์ต้องการ “เงินก้อนโต” มักพุ่งเป้าหมายไปที่ “องค์กรธุรกิจ” หรือ “หน่วยงานราชการ” เพราะมีข้อมูลสำคัญในระบบคอมพิวเตอร์เป็นหลัก

ดังนั้น ควรต้องมีสำรองข้อมูล Backup เป็นประจำ เพื่อจะสามารถกู้คืนไฟล์ได้ โดยเฉพาะการสำรองข้อมูลลงบนอุปกรณ์จัดเก็บข้อมูลภายนอกเครือข่าย เช่น Cloud Storage หรือบล็อกเชน (Blockchain) และ “หมั่นอัปเดตซอฟต์แวร์” ในเครื่องอย่างสม่ำเสมอ จะช่วยป้องกันการโจมตี ที่ต้องอาศัยช่องโหว่ของซอฟต์แวร์ได้

ย้ำเตือนกันไว้...“การโจมตีทางไซเบอร์” ไม่ใช่ “เรื่องไกลตัว” อีก ต่อไป สามารถเกิดได้ทุกวินาที “อย่าชะล่าใจเปิดอีเมลแปลกปลอม เว็บไซต์ลึกลับ” เพื่อป้องกันการเข้าถึงเว็บไซต์อันตรายเหล่านี้.