“Unit 42 รายงานภัยไซเบอรืปี 2568 แฮกเกอร์เปลี่ยนเป้าหมายจากการใช้มัลแวร์เรียกค่าไถ่และการขโมยข้อมูลแบบเดิม ไปสู่การมุ่งขัดขวางการดำเนินธุรกิจ พบการปลอมเว็บไซต์สถาบันการเงินและธนาคาร หลอกลวงประชาชน
พาโล อัลโต้ เน็ตเวิร์กส์ เปิดเผยรายงานการสนองตอบต่อเหตุการณ์ภัยไซเบอร์ระดับโลกจาก Unit 42 ประจำปี 2568 ที่พบว่า ปัจจุบันคนร้ายได้ปรับกลยุทธ์ใหม่ เปลี่ยนจากการใช้มัลแวร์เรียกค่าไถ่และการขโมยข้อมูลแบบเดิม ไปสู่การมุ่งขัดขวางการดำเนินธุรกิจ มีการใช้ AI ช่วยในการโจมตี และอาศัยบุคคลภายในสร้างภัยคุกคาม รายงานฉบับดังกล่าวยังระบุด้วยว่า เกือบครึ่งหนึ่งของเหตุการณ์ความปลอดภัย (44%) มีความเกี่ยวข้องกับเว็บเบราว์เซอร์
เมื่อไม่นานมานี้ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ซึ่งเป็นหน่วยงานภายใต้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) รายงานว่า ประเทศไทยมีเหตุการณ์ภัยไซเบอร์เกิดขึ้น 392 ครั้ง ในช่วงเดือนมกราคมถึงกุมภาพันธ์ 2568 โดยภาคการศึกษาได้รับผลกระทบจากการโจมตีสูงสุด (27%) ตามมาด้วยหน่วยงานราชการ (17%) ภาคการเงินและธนาคาร (17%) และภาคเอกชนไทย (12%)
ที่น่าสังเกตคือ ภัยคุกคามที่มุ่งโจมตีสถาบันการเงินและธนาคาร มักเกี่ยวข้องกับเว็บไซต์ปลอมที่ออกแบบมาเพื่อหลอกลวงประชาชน ซึ่งสอดคล้องตามรายงานการรับมือเหตุการณ์ภัยไซเบอร์ระดับโลกจาก Unit 42 ที่เน้นย้ำถึงการแพร่ระบาดของเว็บไซต์หลอกลวง
ขณะที่สถาบันการเงิน สถานดูแลสุขภาพ และหน่วยงานราชการทั่วโลกต่างเผชิญกับสถานการณ์ภัยคุกคามทางไซเบอร์ในระดับที่ไม่เคยเกิดขึ้นมาก่อน
ดังนั้น หน่วยงานกำกับดูแลระดับภูมิภาคจึงเร่งเสริมสร้างความแข็งแกร่งให้กับเฟรมเวิร์กซีโรทรัสต์ (Zero Trust) และนำโซลูชันระบบรักษาความปลอดภัยที่ใช้ขุมพลังแห่ง AI เข้ามาช่วยจัดการ รวมถึงการบังคับใช้มาตรการและกฎระเบียบที่เข้มงวดยิ่งขึ้น
การเปลี่ยนเป้าหมายจากการกรรโชกทรัพย์ทั่วไปมาเป็น การขัดขวางการดำเนินธุรกิจทุกส่วน ทำให้องค์กรจำเป็นต้องทบทวนมาตรการป้องกันภัยทางไซเบอร์ก่อนที่จะถูกโจมตี โดยเฉพาะในภาคส่วนต่างๆ ที่พึ่งพาระบบคลาวด์และผู้ให้บริการภายนอก
ประเด็นสำคัญในรายงานการรับมือเหตุการณ์ภัยไซเบอร์ระดับโลกจาก Unit_42 ประจำปี 2568 มีดังนี้
- การขัดขวางการดำเนินกิจการกลายเป็นเป้าหมายหลัก: ผู้โจมตีหันมาให้ใช้การทำลายระบบเพื่อให้ธุรกิจหยุดชะงักและกรรโชกทรัพย์ให้ได้สูงสุด แทนการขโมยข้อมูลแบบเดิม โดยในปี 2567 นั้น เหตุการณ์ภัยไซเบอร์ราว 86% นำไปสู่การหยุดชะงักหรือสร้างความเสียหายต่อชื่อเสียงของธุรกิจ
- ภัยจากบุคคลภายในองค์กรเพิ่มขึ้นอย่างมากและเชื่อมโยงกับเกาหลีเหนือ: จำนวนเหตุการณ์เพิ่มขึ้น 3 เท่าในปี 2567 โดยมีเป้าหมายที่บุคลากรทางเทคนิคแบบสัญญาจ้างในบริษัทเทคโนโลยีขนาดใหญ่ บริการด้านการเงิน สื่อ และผู้รับเหมาทางการทหารของภาครัฐ เทคนิคที่ใช้ก็มีความซับซ้อนมากขึ้น เช่น อุปกรณ์ KVM-over-IP ในรูปแบบฮาร์ดแวร์ และการสร้างช่องทางลับผ่าน Visual Studio Code ทำให้ตรวจจับได้ยากยิ่งขึ้น
- การขโมยข้อมูลเกิดขึ้นเร็ว: ผู้โจมตีสามารถขโมยข้อมูลได้เร็วขึ้นถึง 3 เท่า เมื่อเทียบกับปี 2564 โดยเหตุการณ์โจรกรรมข้อมูลราว 25% เกิดขึ้นภายในเวลาไม่ถึง 5 ชั่วโมง และเกือบ 20% ใช้เวลาไม่ถึง 1 ชั่วโมง
- พื้นที่เสี่ยงต่อการโจมตีมีขอบเขตกว้างขึ้น: เหตุการณ์ภัยไซเบอร์ราว 70% เกี่ยวข้องกับต้นทางการโจมตีอย่างน้อย 3 ช่องทาง จึงเน้นย้ำถึงความจำเป็นที่จะต้องมีระบบรักษาความปลอดภัยแบบครบวงจรทั้งในส่วนอุปกรณ์ปลายทาง เครือข่าย ระบบคลาวด์ และช่องโหว่จากมนุษย์ โดยเว็บเบราว์เซอร์ยังคงเป็นจุดอ่อนหลัก และใช้เป็นช่องทางการโจมตีกว่า 44% ผ่านการทำฟิชชิง ลิงก์เปลี่ยนเส้นทางที่อันตราย และการดาวน์โหลดมัลแวร์
- ฟิชชิงกลับมาเป็นต้นทางหลักของการโจมตี: การโจมตีราว 23% เริ่มต้นจากการทำฟิชชิง แซงหน้าการใช้ช่องโหว่แบบอื่นๆ ขึ้นเป็นต้นตอการโจมตีหลัก โดยอาศัยเจเนอเรทีฟเอไอ (GenAI) เข้ามาช่วยให้การทำฟิชชิงขยายพื้นที่ได้มากขึ้น ซับซ้อนยิ่งกว่าเดิม และยากแก่การตรวจจับ
รายงานฉบับนี้รวบรวมข้อมูลจากกรณีปัญหากว่า 500 รายการที่ Unit_42 ช่วยรับมือระหว่างเดือนตุลาคม 2566 ถึงธันวาคม 2567 รวมถึงข้อมูลจากกรณีปัญหาอื่นๆ ก่อนหน้านั้นตั้งแต่ปี 2564 เป็นต้นมา โดยองค์กรที่ได้รับผลกระทบตั้งอยู่ใน 38 ประเทศ ทั้งในสหรัฐอเมริกา ยุโรป ตะวันออกกลาง และเอเชียแปซิฟิก
Featured Image: macrovector
