รวบ 'โบรกเกอร์-โปรแกรมเมอร์-แอดมิน' ขายข้อมูลคนไทย 15 ล้านชื่อให้ ดาร์กเว็บ
"ตร.ไซเบอร์" รวบ "โบรกเกอร์-โปรแกรมเมอร์-แอดมิน" ขายข้อมูลส่วนบุคคล 15 ล้านรายชื่อ ให้กลุ่มมิจฉาชีพ หลอกเหยื่อโอนเงิน
6 พ.ย. 2566 พล.ต.ท. ธนา ชูวงศ์ รักษาราชการแทน รองผู้บัญชาการตำรวจแห่งชาติ ( รรท.รอง ผบ.ตร.) พร้อมด้วย พล.ต.ท.วรวัฒน์ วัฒน์นครบัญชา ผู้บัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (ผบช.สอท.) แถลงผล ปฏิบัติการ "Data Guardians Operation ล่าทรชน คนค้าข้อมูล" จับกุมผู้ต้องหา 3 ราย ที่มีส่วนเกี่ยวข้องกับขบวนการขายข้อมูลส่วนบุคคลให้กลุ่มมิจฉาชีพกว่า 15 ล้านรายชื่อ ซึ่งปัจจุบันกลุ่มมิจฉาชีพมีขั้นตอนในการสื่อสารหลอกลวงประชาชนไปจนถึงขั้นตอนการโอนเงินได้อย่างรวดเร็วมากขึ้น ซึ่งตำรวจได้มีการปฎิบัติการเพื่อรวบรวมข้อมูลมาโดยตลอด นำมาสู่การเปิดปฏิบัติการเข้าจับกุมในครั้งนี้
โดยมีการนำข้อมูลส่วนบุคคลของประชาชนไปใช้ในเชิงลึก ทำให้เจ้าของข้อมูลหลงเชื่อได้ง่ายขึ้นนำไปสู่การโอนเงินให้กลุ่มมิจฉาชีพ รวมไปถึงยังมีการพัฒนาโปรแกรมที่ทำให้สามารถโอนเงินจำนวนมากได้โดยไม่ต้องสแกนใบหน้าตามมาตรฐานการรักษาความปลอดภัยของธนาคาร
ด้าน พล.ต.ท.วรวัฒน์ กล่าวว่า การเข้าจับกุมผู้ต้องหาในครั้งนี้ เป็นการขยายผลมาจากกรณีที่ตำรวจไซเบอร์ได้เคยเข้าจับกุมผู้ต้องหาวิศวกรหนุ่มที่ จ.ภูเก็ต เมื่อเดือน ก.ค. ที่ผ่านมา โดยผู้ต้องหามีการนำข้อมูลส่วนบุคคลไปขายต่อให้ธุรกิจสีเทากว่า 2 ล้านรายชื่อ และได้มีการนำไปขยายผลต่อ จนนำไปสู่การเข้าจับกุมผู้ต้องหาที่เป็นพ่อค้าคนกลางรับซื้อข้อมูลจากธุรกิจขายอาหารเสริม ไปขายต่อให้กับวิศวกรหนุ่ม โดยผู้ต้องหารายนี้อ้างว่าได้ซื้อข้อมูลมากกว่า 15 ล้านรายชื่อแล้วนำมาแบ่งขายให้กับกลุ่มที่สนใจในดาร์กเว็บ ทำรายได้กว่า 4 แสนบาทต่อเดือน
จากปฏิบัติการทั้ง 2 ครั้ง ตำรวจไซเบอร์ได้ทำการขยายผลจนพบความเชื่อมโยงและนำกำลังเข้าตรวจค้นและจับกุมผู้ต้องหาที่มีส่วนเกี่ยวข้องได้เพิ่มเติมอีก 3 ราย รายแรก คือ
1.นายพศิน อายุ 41 ปี ซึ่งเป็นโบรกเกอร์ของบริษัทประกันภัยชื่อดัง ลักลอบนำข้อมูลส่วนบุคคลของลูกค้าประกันนับล้านรายชื่อไปขายให้กับกลุ่มมิจฉาชีพ ซึ่งข้อมูลของลูกค้าประกันถือว่าเป็นข้อมูล เกรด A เป็นข้อมูลในเชิงลึกที่มีมากกว่าแค่ชื่อ-นามสกุล / เลขบัตรประชาชน 13 หลัก / และเบอร์โทร แต่มีข้อมูลเกี่ยวกับบัญชีธนาคารด้วย โดยจากการสืบสวนพบว่านายพศินเป็นผู้ขายข้อมูลเหล่านี้ ให้กับผู้ต้องหาที่ถูกจับกุมได้ก่อนหน้านี้
2.นายณัฐพงษ์ อายุ 28 ปี เป็นโปรแกรมเมอร์ ที่ได้ทำการพัฒนาโปรแกรม API Bypass Face Scan และนำโปรแกรมนี้ไปขายให้กลุ่มมิจฉาชีพ โดยเป็นโปรแกรมที่สามารถเข้าไปแก้ไขโค้ดของแอปพลิเคชั่นธนาคาร ให้ยกเลิกเงื่อนไขการสแกนใบหน้า เมื่อมีการโอนเงินจำนวนมากกว่า 5 หมื่นบาท สร้างความสะดวกให้กลุ่มมิจฉาชีพมากยิ่งขึ้น
3.นายยอดชาย อายุ 24 ปี ทำหน้าที่เป็นแอดมินกลุ่มเฟซบุ๊กซื้อขายข้อมูลส่วนบุคคล โดยมีข้อมูลที่ใช้ซื้อขายมากกว่า 15 ล้านรายชื่อ ซึ่งนายยอดชาย รับทำหน้าที่ไลฟ์สดให้แก่เว็บไซต์พนันออนไลน์ และได้นำข้อมูลมาจากฐานข้อมูลของเว็บพนันออนไลน์ มาขายในกลุ่มดาร์คเว็บ
โดยตำรวจได้ดำเนินคดีกับผู้ต้องหาทั้ง 3 รายในความผิดเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลและ พ.ร.บ.คอมพิวเตอร์ ซึ่งหลังจากนี้จะมีการขยายผลไปยังผู้ที่มีส่วนเกี่ยวข้องเพิ่มเติมต่อไป
พล.ต.ต.วรวัฒน์ กล่าวอีกว่า ในจำนวนข้อมูลทั้งกว่า 15 ล้านรายชื่อที่ผู้ต้องหาทั้ง 3 รายนำมาซื้อขายนี้ จากการตรวจสอบพบว่าบางส่วนก็เป็นข้อมูลที่ซ้ำกัน และส่วนใหญ่จะเป็นเพียงข้อมูลพื้นฐาน มีแค่บางส่วนที่เป็นข้อมูลในเชิงลึก
อย่างไรก็ตาม ในส่วนของโบรกเกอร์ประกันภัยนั้น จะขยายผลต่อไปว่ามีการนำข้อมูลออกมาได้อย่างไร และมีใครเกี่ยวข้องอีกบ้าง แต่ในส่วนของพฤติการณ์ ขอให้เป็นรายละเอียดในสำนวนเนื่องจากต้องขยายผลเพิ่มเติม ทั้งนี้พฤติการณ์ของโบรกเกอร์ ดังกล่าวอาจจะเพียงแค่บางส่วน ไม่ใช่ทุกคน
นอกจากการแถลงข่าวแล้ว ตำรวจยังได้เปิดคลิปวิดีโอ ขณะที่ให้นายณัฐพงษ์ ผู้ต้องหาที่พัฒนาโปรแกรม API Bypass สาธิตวิธีการใช้โปรแกรมด้วย โดยโปรแกรมที่พัฒนาขึ้นมาจะมี 2 รูปแบบ รูปแบบแรกคือ ใช้วิธีการโอนเงินได้ผ่านระบบเบราเซอร์ได้เลยโดยไม่จำเป็นต้องเข้าแอปฯ ธนาคาร ซึ่งหากกลุ่มมิจฉาชีพรู้ข้อมูลบัญชีธนาคาร ก็สามารถกรอกเข้าไปได้เลย ระบบก็จะส่งหมายเลข OTP ไปยังเบอร์โทรศัพท์เจ้าของบัญชี และเพียงแค่กรอก OTP ก็สามารถกดโอนเงินจำนวนมากผ่านระบบเบราเซอร์ที่ควบคุมโดยมิจฉาชีพได้ทันที
ส่วนอีกรูปแบบคือการเขียนโค้ดยกเลิกการสแกนใบหน้าเมื่อโอนเงินจำนวนมากกว่า 5 หมื่นบาท ซึ่งตำรวจไซเบอร์จะขยายผลหลักการทำงานในรูปแบบนี้ต่อไป
ขณะที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC ระบุว่า กรณีแบบนี้ผู้ที่นำข้อมูลไปขาย ถือว่ามีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ขณะเดียวกันผู้ซื้อเองก็เข้าข่ายมีความผิดฐานเก็บรวบรวมข้อมูลจากแหล่งอื่นซึ่งไม่ใช่เจ้าของ และความผิดตาม พ.ร.บ.คอมพิวเตอร์
ส่วนหน่วยงานที่เป็นต้นเหตุที่ทำให้ข้อมูลรั่วไหล ก็จะต้องมีการเข้าไปตรวจสอบเกี่ยวกับมาตรการการรักษาความมั่นคงปลอดภัยต่อไปว่ารัดกุมเพียงพอหรือไม่