จากปรากฏการณ์ ‘ผึ้งแตกรัง’ ที่เมียวดี ถึงปฏิบัติการ ‘แมวจับหนู’ ที่กัมพูชา
จากปรากฏการณ์ ‘ผึ้งแตกรัง’ ที่เมียวดี ถึงปฏิบัติการ ‘แมวจับหนู’ ที่กัมพูชา การโจมตีครั้งสำคัญต่อเครือข่ายสแกมเมอร์ระดับโลก กับปฏิวัติครั้งใหญ่ขององค์กรอาชญากรรมไซเบอร์ด้วยการสร้าง ‘ชุดหลอกลวงสำเร็จรูป’ ที่ทำให้กวาดล้างได้ยาก
จอห์น วุยชิก (John Wojcik) นักวิจัยอาวุโสด้านภัยคุกคามทางไซเบอร์ บ. Infoblox ซึ่งเคยเป็นนักวิจัยที่ติดตามกลุ่มอาชญากรที่ก่ออาชญากรรมทางไซเบอร์ในเอเชียตะวันออกเฉียงใต้ที่สำนักงานว่าด้วยยาเสพติดและอาชญากรรมแห่งสหประชาชาติ หรือ UNODC เปิดเผยกับ The Reporters ว่า
การยื่นฟ้อง นายเฉิน จื้อ ผู้ก่อตั้งและประธานกลุ่มบริษัท Prince Group ซึ่งเป็นกลุ่มบริษัทธุรกิจข้ามชาติขนาดใหญ่ในกัมพูชา ในข้อหาดำเนินการศูนย์หลอกลวง สแกมเซ็นเตอร์ โดยกระทรวงยุติธรรมสหรัฐอเมริกา ซึ่งพบว่า ปฏิบัติการหลอกลวงให้ลงทุนในสกุลเงินดิจิทัลที่เรียกว่า กลโกง “เชือดหมู” (Pig butchering) ซึ่งโกงเงินหลายพันล้านเหรียญจากผู้เสียหายในสหรัฐฯ และทั่วโลก และได้ยื่นฟ้องริบทรัพย์เป็นบิตคอยน์ มูลค่าประมาณ 15,000 ล้านเหรียญ หรือเกือบ 5 แสนล้านบาท เป็นการโจมตีครั้งสำคัญที่สุดต่อเครือข่ายอาชญากรรมไซเบอร์ที่มีฐานปฏิบัติการใหญ่ที่สุดในเอเชียตะวันออกเฉียงใต้ และเป็นหนึ่งในองค์กรอาชญากรรมไซเบอร์และการฟอกเงินที่ใหญ่ที่สุดในภูมิภาคเอเชียและอาจใหญ่ที่สุดในโลก
จอห์น วุยชิก เปิดเผยว่า ในช่วงหลายเดือนที่ผ่านมา สถานการณ์อาชญากรรมไซเบอร์ในเอเชียตะวันออกเฉียงใต้ได้เข้าสู่จุดวิกฤตอย่างแท้จริง เห็นได้จากการขยายตัวของสแกมเซ็นเตอร์ หรือ ศูนย์หลอกลวงทางไซเบอร์ ขนาดใหญ่ที่ดำเนินการในระดับอุตสาหกรรม ซึ่งกระจายอยู่ทั่วภูมิภาค โดยเฉพาะบริเวณชายแดนระหว่างประเทศต่าง ๆ
ปฏิบัติการร่วมระหว่างสหรัฐฯ สหราชอาณาจักร และเกาหลีใต้
แม้จะยังไม่ทราบแน่ชัดว่าหน่วยงานที่เกี่ยวข้องใช้เวลาวางแผนปฏิบัติการนี้นานเท่าใด แต่จากความร่วมมือระหว่างหน่วยงานอย่างสหประชาชาติและตำรวจสากลก็ทำให้เห็นชัดว่า เครือข่ายนี้เป็นหนึ่งในเป้าหมายใหญ่ที่สุดในภูมิภาค และการยึดทรัพย์สินมูลค่ากว่า 15,000 ล้านดอลลาร์สหรัฐ ที่อยู่ระหว่างการดำเนินการนั้น สะท้อนให้เห็นถึงขนาดและอิทธิพลของเครือข่ายนี้ได้เป็นอย่างดี”
จอห์น วุยชิก ระบุว่า แม้ปฏิบัติการนี้จะเป็นการโจมตีครั้งใหญ่ที่สุดต่อขบวนการอาชญากรรมข้ามชาติในเอเชียตะวันออกเฉียงใต้ แต่ก็ยังมีรายชื่อเครือข่ายอื่น ๆ อีกมากที่อยู่ในระหว่างการตรวจสอบ ซึ่งหมายความว่าตัวเลข 15,000 ล้านดอลลาร์นี้อาจเป็นเพียง ‘ยอดของภูเขาน้ำแข็ง’ เท่านั้น แต่ก็นับได้ว่าการระบุและจับกุมผู้เกี่ยวข้องได้ ถือเป็นเพียงก้าวแรกในการรื้อถอนอาชญากรรมข้ามชาติอย่างแท้จริง เพราะหากไม่สามารถทำลายโครงสร้างพื้นฐานของพวกเขาได้ ทั้งเครือข่ายข้อมูลใต้ดิน ระบบฟอกเงิน และโครงสร้างทางการเงินผิดกฎหมาย กลุ่มเหล่านี้ก็จะกลับมาอีกภายใต้ชื่อใหม่ รูปแบบใหม่ และขยายตัวต่อไปทั้งในภูมิภาคและทั่วโลก
“นี่จึงถือเป็นก้าวสำคัญที่สุดของประชาคมระหว่างประเทศในการรับมือกับวิกฤตที่กำลังเกิดขึ้นในเอเชียตะวันออกเฉียงใต้ และหวังว่าจะเป็นจุดเริ่มต้นของความร่วมมือระยะยาว สิ่งที่รัฐบาลในภูมิภาคจำเป็นต้องมีเพื่อรับมือกับภัยคุกคามขนาดใหญ่นี้คือ เครื่องมือเชิงป้องกันล่วงหน้าเช่น Protective DNS ระบบที่สามารถบล็อกภัยคุกคามทางไซเบอร์ก่อนที่จะเข้าถึงเหยื่อเครือข่ายขององค์กร หรือเครือข่ายรัฐบาลได้”
จอห์น วุยชิก ระบุว่า DNS คือระบบระดับเว็บไซต์ของอินเทอร์เน็ต ซึ่งหากใช้ในเชิงป้องกันล่วงหน้า ก็สามารถปิดกั้นไม่ให้ผู้ใช้เข้าถึงเว็บไซต์หลอกลวงได้เลย ซึ่งหมายถึงการป้องกันแบบเต็มร้อยเปอร์เซ็นต์
ปฏิบัติการ “แมวจับหนู” ที่กัมพูชา
จอห์น วุยชิก ชี้ให้เห็นว่า บริษัทอย่าง Prince ถือเป็นส่วนสำคัญในระบบนิเวศการต่อสู้กับอาชญากรรมไซเบอร์ แต่ก็เป็นเพียงแค่ส่วนหนึ่งของปัญหาทั้งหมดเท่านั้น แต่สิ่งที่เจ้าหน้าที่บังคับใช้กฎหมายในภูมิภาคนี้เห็นตรงกันคือ กลุ่มอาชญากรเหล่านี้ได้สร้างฐานปฏิบัติการหลายแห่ง แบ่งกระจายพื้นที่การดำเนินงาน เพื่อกระจายความเสี่ยงและลดผลกระทบจากการกวาดล้างของเจ้าหน้าที่ตัวอย่างเช่น ในพื้นที่เมียวดี หรือบางส่วนของกัมพูชา เมื่อมีสัญญาณว่าตำรวจจะเข้าตรวจค้น กลุ่มอาชญากรก็มักจะได้รับการแจ้งเตือนล่วงหน้าและย้ายแรงงานทั้งหมดไปยังศูนย์อื่นที่พวกเขาควบคุมได้ ทำให้ธุรกิจไม่หยุดชะงักและไม่สูญเสียรายได้
ผลที่ตามมาคือ อาชญากรรมที่จัดตั้งขึ้นเหล่านี้เริ่มขยายพื้นที่อิทธิพลครอบคลุมหลายส่วนของภูมิภาคอย่างต่อเนื่อง
การปฏิวัติครั้งใหญ่ขององค์กรอาชญากรรมไซเบอร์
สิ่งที่ทำให้เครือข่ายสแกมเมอร์ อาชญากรรมไซเบอร์ กระจายไปทั่วโลก เนื่องจากอาชญากรรมไซเบอร์ในยุคนี้กำลังอยู่ในช่วงปฏิวัติครั้งใหญ่ที่สุดในประวัติศาสตร์ของภูมิภาค โดยมีแนวคิด “Crime-as-a-Service (CaaS)” หรือ อาชญากรรมในรูปแบบบริการ เป็นหัวใจสำคัญ ผ่านตลาดมืดออนไลน์ที่รวบรวมทุกอย่างตั้งแต่ข้อมูลส่วนบุคคลที่ถูกขโมย มัลแวร์สำเร็จรูป (malware) ไปจนถึงบริการฟอกเงินครบวงจร
ในตลาดเหล่านี้สามารถหาทุกอย่างได้ ตั้งแต่ข้อมูลที่ถูกขโมย มัลแวร์แบบพร้อมใช้ บริการฟอกเงิน ไปจนถึงเครื่องมืออื่น ๆ ที่อาชญากรต้องการเพื่อขยายธุรกิจอย่างมีประสิทธิภาพ
“อาชญากรรมที่มีรากฐานจากจีนมีรูปแบบธุรกิจที่ชัดเจน เป้าหมายของพวกเขาคือการแทรกซึมเข้าไปในกลไกภาครัฐหรือท้องถิ่น ใช้เงินผิดกฎหมายสนับสนุนกิจกรรมที่ถูกกฎหมาย และขยายอิทธิพลทางเศรษฐกิจ” จอห์น วุยชิก ระบุ
ปรากฏการณ์ ‘ผึ้งแตกรัง’ ที่เมียวดี สู่การกระจายตัวของสแกมเมอร์ทั่วโลก
ปฏิเสธไม่ได้ว่ามาตรการ 3 ตัดของรัฐบาลไทยเมื่อช่วงต้นปี 2568 ตามที่ The Reporters รายงานข่าวมาอย่างต่อเนื่องนั้น ส่งผลให้เกิดการปราบปรามแก๊งสแกมเมอร์ในเมืองเมียวดี ประเทศเมียนมา ที่มีกลุ่มคนจีนมาใช้พื้นที่อิทธิพลในกองกำลัง BGF และ DKBA สร้างเมืองสแกมเมอร์ ทั้งที่เมืองชเวก๊กโก่, เคปาร์ค และบ้านช่องแคบ ตรงข้าม อ. แม่สอด จ. ตาก และจีนเข้ามากดดันกวาดล้างชาวจีนได้กว่า 6,000 คน และชาวต่างชาติกว่า 40 ประเทศ จำนวนกว่า 8,000 คน รวมกว่า 12,000 คน ที่มีการช่วยเหลือเดินทางผ่านประเทศไทย กลับไปประเทศต้นทาง ซึ่งมีทั้งจากเอเชีย และมากสุดคือ แอฟริกา
น่าเสียดายที่ปฏิบัติการช่วยเหลือชาวต่างชาติจากแก๊งสแกมเมอร์ ถูกส่งตัวออกจากประเทศไทยไป โดยไม่มีการสอบสวนเพื่อสาวถึงตัวการใหญ่ และขบวนการสแกมเมอร์ที่ใช้ประเทศไทยเป็นทางผ่าน กลายเป็นเพียง ปฏิบัติการ ‘ผึ้งแตกรัง’ และทำให้แก๊งสแกมเมอร์ ไปร่วมมือกับคนท้องถิ่นในประเทศต่าง ๆ ขยายฐานสแกมเมอร์ไปนอกเอเชียตะวันออกเฉียงใต้
จอห์น วุยชิก ระบุว่า การติดตามของเขาทำให้พบรูปแบบนี้ซ้ำแล้วซ้ำอีก ไม่เพียงในเอเชียตะวันออกเฉียงใต้ แต่ยังขยายไปยังหมู่เกาะแปซิฟิก ติมอร์-เลสเต แอฟริกา และละตินอเมริกา เพื่อหลีกเลี่ยงแรงกดดันจากหน่วยงานบังคับใช้กฎหมายในภูมิภาค
“ตัวอย่างเช่น ติมอร์-เลสเต เป็นประเทศที่มีรัฐบาลใหม่และต้องการดึงดูดการลงทุนจากต่างชาติ เมื่อมีนักลงทุนอาชญากรรมเข้ามาพร้อมเสนอ ‘เงินลงทุน’ มูลค่า 100 ล้านดอลลาร์เพื่อสร้างนิคมเทคโนโลยี ที่ฟังดูน่าสนใจ แต่แท้จริงแล้วเป็นเพียงกลยุทธ์แฝงตัวของเครือข่ายอาชญากรรม”
การกระจายตัวอย่างน่ากลัวของ ระบบอาชญากรรมไซเบอร์นี้ก็ดึงดูดกลุ่มอาชญากรอื่น ๆ ในภูมิภาคเข้ามาร่วมด้วย เช่น ยากูซ่าจากญี่ปุ่น กลุ่มอาชญากรจากเกาหลี เวียดนาม และอินโดนีเซีย โดยเฉพาะในพื้นที่ลุ่มแม่น้ำโขง ซึ่งเป็นแนวโน้มใหม่ที่เกิดขึ้นหลังจากรัฐบาลจีนเริ่มเข้มงวดกับกลุ่มอาชญากรจีน ทำให้ “ช่องว่างทางตลาด” เปิดให้กลุ่มอื่นเข้ามาแทนที่
นอกจากนี้ยังพบว่ากลุ่มอาชญากรเอเชียกำลังขยายการหาคนงานไปนอกภูมิภาค เช่น ในหลายประเทศในแอฟริกา โดยแรงงานที่เคยเป็นเหยื่อในเอเชียตะวันออกเฉียงใต้กลับถูกพบอีกครั้งในศูนย์หลอกลวงแห่งใหม่ในต่างทวีป
จอห์น ระบุด้วยว่า หน่วยงานในหลายประเทศพบว่ากรณีอาชญากรรมไซเบอร์ในแอฟริกามีความเชื่อมโยงกับกลุ่มที่เคยดำเนินงานในเอเชียตะวันออกเฉียงใต้ และบางรายยังเป็นเหยื่อหรือผู้ร่วมขบวนการที่เคยถูกส่งกลับจากภูมิภาคนี้มาก่อน
‘ชุดหลอกลวงสำเร็จรูป-Fraud Kit’ ทำให้การกวาดล้างเป็นเรื่องยากลำบาก
การยึดทรัพย์เครือข่าย ‘เฉินจื้อ’ และการเติบโตของ Prince Group ในกัมพูชา ทำให้เห็นวิธีการฟอกเงินและระบบธนาคารใต้ดินที่เป็นหัวใจสำคัญของการขยายตัวของอาชญากรรม เครือข่ายเหล่านี้ถูกพัฒนาและปรับปรุงอย่างต่อเนื่องมานานกว่า 30 ปี ทำให้พวกเขาชำนาญทั้งในด้านการปกปิดและการดำเนินธุรกิจผิดกฎหมาย
จอห์น ชี้ให้เห็นว่า อาชญากรรมไซเบอร์ กลุ่มเหล่านี้ใช้เทคโนโลยีขั้นสูงอย่าง “การสร้างชื่อโดเมนอัตโนมัติ” (Random Domain Generation) เพื่อสร้างเว็บไซต์หลอกลวงหลายหมื่นเว็บภายใต้แคมเปญเดียว ทำให้เจ้าหน้าที่ไม่สามารถปิดกั้นได้ทัน เพราะเมื่อปิดเว็บหนึ่ง พวกเขามีอีกสิบเว็บพร้อมเปิดทันที เป็นเกมไล่จับที่ไม่มีวันจบ
นอกจากนี้ หลายศูนย์หลอกลวงตั้งอยู่ร่วมกับคาสิโน เพื่อใช้เป็นช่องทางฟอกเงิน โดยอ้างว่าเงินเหล่านี้มาจากการพนันออนไลน์ แม้การพนันจะผิดกฎหมาย แต่กลับไม่ถูกตรวจสอบเข้มงวด ทำให้กลายเป็นช่องทางสำคัญในการหมุนเงินผิดกฎหมายมูลค่าหลายพันล้านดอลลาร์ข้ามประเทศโดยไม่ถูกตรวจจับ
กลุ่มเหล่านี้ยังซื้อข้อมูลส่วนบุคคลที่ถูกขโมยจากตลาดมืด รวมถึง “ชุดหลอกลวงสำเร็จรูป” หรือ Fraud Kit ซึ่งมีทั้งเทมเพลตเว็บไซต์ โค้ดฟิชชิง หรือหน้าเว็บลงทุนปลอม พร้อมใช้งานได้ทันที และสามารถสร้างเว็บไซต์หลอกเป็นหมื่น ๆ เว็บได้ในเวลาอันสั้น
วิธีการรับมือและบทบาทของภาคเอกชน
ปัจจุบัน จอห์น วุยชิก เป็นนักวิจัยอาวุโสภัยคุกคามไซเบอร์ บริษัท Infoblox ซึ่งใช้แนวทางการป้องกันเชิงรุก โดยวิเคราะห์และติดตามโครงสร้างเครือข่ายของอาชญากร จากนั้นบล็อกที่ระดับ DNS เพื่อไม่ให้เหยื่อหรือองค์กรใด ๆ เข้าถึงเว็บไซต์เหล่านี้ได้
“บางครั้งอาชญากรทำผิดพลาด เช่น ใช้ชื่อ อีเมล หรือเบอร์โทรจริงในการลงทะเบียนเว็บไซต์ ซึ่งสามารถสืบค้นย้อนหลังได้ผ่านเครื่องมือขั้นสูง เช่น ระบบ DNS Threat Intelligence ที่วิเคราะห์ความเชื่อมโยงระหว่างเว็บไซต์หลายหมื่นแห่งที่ใช้โค้ดหรือรูปภาพเดียวกัน เช่น ภาพเหรียญ Bitcoin เดียวกันในหลายเว็บไซต์ เพื่อระบุต้นตอของเครือข่ายและบล็อกได้อย่างมีประสิทธิภาพ”
ระบบเหล่านี้สามารถจับวิเคราะห์ข้อมูลจากเหตุการณ์กว่า 70,000 ล้านครั้งต่อวัน ด้วยความแม่นยำสูงและอัตราความผิดพลาดต่ำมากนี่คือวิธีที่ดีที่สุดในการติดตาม แผนที่ และปิดกั้นเครือข่ายอาชญากรรมไซเบอร์อย่างต่อเนื่อง ทำให้พวกเขาสูญเสียศักยภาพในการดำเนินการ จอห์น เปิดเผยว่า บริษัทของเขาสามารถตรวจจับภัยคุกคามได้ก่อนภัยคุกคามเข้าระบบถึง 82% คุ้มครองได้เฉลี่ย 68.4 วัน ก่อนเกิดการโจมตี และตรวจพบและบล็อกโดเมนใหม่ 4 ล้านครั้งต่อเดือน มีการวิเคราะห์ความเคลื่อนไหว DNS 7 หมื่นล้านครั้งต่อวัน
ประเทศไทยเป็นเป้าหมายหลักของแก๊งสแกมเมอร์ในภูมิภาคลุ่มน้ำโขง
จอห์น วุยชิก เห็นว่า การร่วมมือทางกฎหมายระหว่างประเทศ (Mutual Legal Assistance) เป็นเรื่องซับซ้อนมาก โดยเฉพาะการเก็บ วิเคราะห์ แลกเปลี่ยน และใช้พยานหลักฐานดิจิทัลในการดำเนินคดี เพราะแต่ละประเทศมีกฎหมายและกระบวนการต่างกัน
“หน่วยงานบังคับใช้กฎหมายของประเทศต่าง ๆ มีศักยภาพไม่เท่ากัน ประเทศไทยถือเป็นประเทศที่มีความก้าวหน้ามากกว่าหลายประเทศเพื่อนบ้าน ทั้งในด้านการบังคับใช้กฎหมายและการสร้างความร่วมมือระดับภูมิภาค”
จอห์น วุยชิก ระบุว่า องค์กรอย่าง UNODC และ INTERPOL ได้เรียกร้องให้มียุทธศาสตร์ระดับภูมิภาคแบบบูรณาการ เพื่อรื้อถอนเครือข่ายอาชญากรรมอย่างจริงจัง พร้อมทั้งให้ภาคเอกชนอย่าง Infoblox พร้อมเข้ามามีส่วนร่วมในการแบ่งปันข้อมูลข่าวกรองและเทคโนโลยีที่ช่วยขัดขวางการทำงานของกลุ่มเหล่านี้
“ประเทศไทยได้แสดงให้เห็นถึงความเป็นผู้นำในประเด็นนี้อย่างต่อเนื่อง โดยเฉพาะการดำเนินการตามแนวชายแดน การสร้างฐานข้อมูล และการแลกเปลี่ยนความรู้เพื่อทำความเข้าใจรูปแบบการดำเนินงานของกลุ่มอาชญากรรม ซึ่งถือว่าประสบความสำเร็จในหลายด้าน”
รายงาน: ฐปณีย์ เอียดศรีไชย
