วันที่เผยแพร่ 11 ธ.ค. 68

20 ภัยไซเบอร์ต้องรู้ ปี 2025

1

20 ภัยไซเบอร์ต้องรู้ ปี 2025

ในยุคที่เทคโนโลยีพัฒนาไม่หยุดนิ่ง มิจฉาชีพในโลกออนไลน์ก็พัฒนาเล่ห์เหลี่ยมของตัวเองไปพร้อมกัน การมีความรู้ด้านความปลอดภัยไซเบอร์จึงเปรียบเสมือนการมี “วัคซีน” ติดตัว ที่ช่วยสร้างภูมิคุ้มกันและป้องกันไม่ให้เราตกเป็นเหยื่อได้ง่ายๆ

บทความนี้มีเป้าหมาย เพื่อให้ทุกคนสามารถทำความเข้าใจภัยคุกคามที่สำคัญ 20 ประเภท อัปเดตความรู้และรู้เท่าทันกลโกงของโจรไซเบอร์ที่เปลี่ยนแปลงไปตลอดเวลา เพื่อเป็นเกราะป้องกันตัวเองจากอันตรายในโลกดิจิทัล

 

หมวดที่ 1 : การยืนยันตัวตนและการหลอกลวงใหม่ (New Authentication & Scams)

ภัยคุกคามในกลุ่มนี้เกี่ยวข้องกับวิธีการเข้าสู่ระบบและการยืนยันตัวตน ที่มุ่งเป้ามายังผู้ใช้งานโดยตรง เปรียบเสมือนด่านหน้าของการโจมตีที่ทุกคนมีโอกาสพบเจอได้บ่อยที่สุดในชีวิตประจำวัน และการรู้เท่าทันคือปราการด่านแรกที่สำคัญ

  1. Passkey

Passkey คือเทคโนโลยีการล็อกอินเข้าระบบยุคใหม่ที่ไม่จำเป็นต้องใช้รหัสผ่านแบบเดิมอีกต่อไป แต่จะเปลี่ยนไปใช้ข้อมูลชีวมาตร (Biometrics) เช่น การสแกนใบหน้าหรือลายนิ้วมือในการยืนยันตัวตน ซึ่งถือเป็นเทคโนโลยีใหม่ที่ถูกออกแบบมาให้ปลอดภัยกว่า การใช้รหัสผ่านที่เสี่ยงต่อการถูกขโมยหรือคาดเดา

เปรียบเทียบง่ายๆ Passkey เหมือน “กุญแจคู่” ที่ดอกหนึ่งเป็นแม่กุญแจเก็บไว้ที่เซิร์ฟเวอร์ และอีกลูกหนึ่งเป็นลูกกุญแจที่ฝังอยู่ในโทรศัพท์ของเรา

ทุกวันนี้ หลายคนยังคงใช้รหัสผ่านที่เดาได้ง่ายอย่างเช่น “123456”, “password” หรือวันเกิดของตัวเอง ซึ่งเสี่ยงต่อการถูกแฮกอย่างมาก ปัจจุบันหลายแอปพลิเคชันกำลังเปลี่ยนไปสู่ Passkey มาใช้เข้าระบบแทนที่รหัสผ่าน เมื่อเราต้องการล็อกอิน โทรศัพท์จะส่งสัญญาณไปยืนยันกับเซิร์ฟเวอร์ว่า “ตัวจริงมาแล้ว” โดยที่เราไม่ต้องพิมพ์รหัสผ่านเลย

  • จุดเด่น
    • โจรไม่สามารถขโมยข้อมูลชีวมาตร (ใบหน้า, ลายนิ้วมือ) ของเราผ่านอินเทอร์เน็ตได้
    • ต่อให้แฮกเกอร์เจาะเซิร์ฟเวอร์ได้ ก็จะได้ไปแค่ “แม่กุญแจ” ซึ่งไร้ประโยชน์โดยสิ้นเชิงหากไม่มี “ลูกกุญแจ” ที่อยู่ในอุปกรณ์ของเรา

 

  1. Phishing 2.0

Phishing 2.0 คือการโจมตีแบบฟิชชิ่ง (การหลอกลวงเพื่อขโมยข้อมูลที่ส่งมาทางอีเมล) ในเวอร์ชันที่ได้รับการอัปเกรดด้วยเทคโนโลยีปัญญาประดิษฐ์ (AI) ทำให้ภาษาที่ใช้มีความสละสลวย เป็นทางการ และน่าเชื่อถือมากจนแทบแยกไม่ออก การหลอกลวงแนบเนียนและจับได้ยากขึ้นอย่างมาก มิจฉาชีพสามารถสั่งให้ Generative AI ช่วยเขียนอีเมลหลอกลวงในสถานการณ์ต่างๆ เช่น อีเมลทวงหนี้ที่ดูสุภาพแต่น่าตกใจ หรืออีเมลแจ้งเตือนที่กระตุ้นความกลัวของเราได้อย่างรวดเร็ว

ความอันตรายที่เพิ่มขึ้น

  • ข้อความที่แนบเนียน:AI สามารถสร้างข้อความอีเมลหรือ SMS ที่มีภาษาเป็นธรรมชาติ ไร้ข้อผิดพลาดทางไวยากรณ์ที่เคยเป็นจุดสังเกตในอดีต ทำให้ดูน่าเชื่อถือเหมือนมนุษย์เป็นคนเขียนเอง
  • การเลียนแบบเสียง:AI สามารถสังเคราะห์เสียงปลอมที่เหมือนกับเสียงของบุคคลจริง ทำให้การหลอกลวงทางโทรศัพท์ (Vishing) มีความน่ากลัวและน่าเชื่อถือยิ่งขึ้น

จุดสังเกต

  • สังเกต ความเร่งด่วน (Urgency) ซึ่งเป็นจุดตายของอีเมลหลอกลวงเสมอ เช่น “บัญชีของคุณจะถูกระงับใน 2 ชั่วโมง” หรือ “กรุณารับสิทธิ์ภายใน 10 นาที”
  • เมื่อเจอข้อความที่เร่งรัดผิดปกติ ให้ตั้งสติ ตรวจสอบชื่อผู้ส่ง (Sender) ให้ถี่ถ้วน และ “ห้ามกดลิงก์เด็ดขาด”

 

  1. Deepfake Voice/Video

Deepfake คือเทคโนโลยี AI ที่ใช้ในการสร้างวิดีโอหรือคลิปเสียงปลอมของบุคคลใดบุคคลหนึ่งขึ้นมาได้อย่างสมจริง เปรียบเสมือนการ “โคลนนิ่ง” อันตรายของเทคโนโลยีนี้คือการที่มิจฉาชีพสามารถสร้างวิดีโอคอล ปลอมเป็นเจ้านาย เพื่อน หรือสมาชิกในครอบครัว เพื่อหลอกให้เหยื่อโอนเงินหรือเปิดเผยข้อมูลที่เป็นความลับ

จุดสังเกต

  • หากมีคนรู้จักวิดีโอคอลมาเพื่อขอยืมเงิน ให้ลอง “ถามคำถามลับ” ที่มีแค่เราสองคนที่รู้จริงๆ เช่น “หมาตัวแรกของเราชื่ออะไร?”
  • ข้อควรระวัง อย่าถามคำถามที่โจรอาจรู้ได้จากโซเชียลมีเดีย เช่น “เมื่อวานเราไปกินข้าวร้านไหนกัน?” เพราะเราอาจเผลอโพสต์ลงสตอรี่ไปแล้ว
  • หากอีกฝ่ายตอบไม่ได้ หรือมีลักษณะภาพและเสียงที่กระตุกผิดปกติ ให้สันนิษฐานไว้ก่อนว่าเป็น Deepfake

 

  1. Quishing (QR Phishing)

Quishing คือการโจมตีแบบฟิชชิ่งโดยใช้ QR Code เป็นเครื่องมือ หรือการรวมร่างของ QR Code กับPhishing เมื่อเหยื่อสแกน QR Code ปลอม ก็อาจถูกนำไปยังเว็บไซต์ปลอมเพื่อขโมยข้อมูล หรืออาจนำไปสู่การติดตั้งแอปเพื่อดูดเงินออกจากบัญชีของคุณในทันที มิจฉาชีพอาจนำสติกเกอร์ QR Code ปลอมไปแปะทับของจริงตามสถานที่ต่างๆ เช่น เมนูอาหารบนโต๊ะในร้านอาหาร หรือตู้รับบริจาค เพื่อหลอกให้เราสแกนและเข้าไปยังเว็บไซต์ปลอม

วิธีป้องกันและจุดสังเกต

  • ใช้ความระมัดระวังเป็นพิเศษก่อนสแกน QR Code ในที่สาธารณะ
  • หลังจากสแกนแล้ว ให้ตรวจสอบ URL หรือชื่อเว็บไซต์ที่ปรากฏขึ้นมาบนหน้าจอมือถือให้ดีก่อนกดยืนยันหรือกรอกข้อมูลใดๆ

 

  1. MFA Fatigue

MFA Fatigue คือการโจมตีที่อาศัยช่องโหว่ทางจิตวิทยาของผู้ใช้งาน เมื่อมิจฉาชีพได้ชื่อผู้ใช้และรหัสผ่านของเหยื่อไปแล้ว จะพยายามล็อกอินเข้าระบบของเหยื่อซ้ำๆ ทำให้ระบบการยืนยันตัวตนหลายชั้น (Multi-Factor Authentication หรือ MFA) ส่งการแจ้งเตือนเพื่อยืนยันตัวตนไปยังอุปกรณ์ของเหยื่ออย่างต่อเนื่องจนเกิดความรำคาญ และสุดท้ายเหยื่อก็เผลอกด “ยอมรับ” หรือ “Approve” เพื่อให้การแจ้งเตือนหยุดลง ซึ่งเท่ากับเป็นการเปิดประตูให้แฮกเกอร์เข้าสู่ระบบได้สำเร็จ หรือเรียกเทคนิคนี้ว่า “Authentication Bombing” เป็นแผน “ตื๊อจนกว่าจะยอม”

วิธีป้องกันและจุดสังเกต

  • จำไว้เสมอว่า “ถ้าเราไม่ได้กำลังทำธุรกรรม หรือไม่ได้เป็นคนล็อกอินเอง ห้ามกดอนุมัติ (Approve) เด็ดขาด”
  • ให้กด “ปฏิเสธ (Deny)” ทุกครั้ง และควรรีบเปลี่ยนรหัสผ่านของบัญชีนั้นทันที

 

 

หมวดที่ 2 : การโจมตีระบบและข้อมูล (System & Data Attacks)

  1. RaaS (Ransomware-as-a-Service)

RaaS คือโมเดลธุรกิจในโลกใต้ดินที่เปิดให้ “เช่า” มัลแวร์เรียกค่าไถ่ (Ransomware) พร้อมเครื่องมือและบริการสนับสนุน ทำให้ใครๆ ก็สามารถทำการโจมตีเพื่อเข้ารหัสไฟล์ของเหยื่อและเรียกเงินค่าไถ่ได้

ผลกระทบที่น่ากลัวที่สุด ของโมเดลนี้คือ มันได้ลดกำแพงทางเทคนิคลง ทำให้แฮกเกอร์มือใหม่ที่ไม่มีความสามารถในการเขียนโค้ด ก็สามารถทำการโจมตีด้วยแรนซัมแวร์ที่ซับซ้อนได้ ส่งผลให้จำนวนการโจมตีประเภทนี้เพิ่มขึ้นอย่างมหาศาลทั่วโลก

 

  1. Infostealer Malware

Infostealer คือมัลแวร์ประเภทหนึ่งที่ถูกออกแบบมาเพื่อ “ล้วง” หรือขโมยข้อมูลที่ถูกบันทึกไว้ในเครื่องคอมพิวเตอร์ของเหยื่อ โดยเฉพาะข้อมูลที่อยู่ในโปรแกรมต่างๆ เช่น เว็บเบราว์เซอร์ โดยมักแฝงตัวมากับโปรแกรมผิดกฎหมายหรือของฟรี เช่น เกมเถื่อน โปรแกรมแคร็ก หรือเว็บดูหนังฟรี

ประเภทข้อมูลที่มักถูกขโมย

  • ข้อมูลรับรอง (Credentials):ชื่อผู้ใช้และรหัสผ่านที่เหยื่อเคยบันทึกไว้ในเบราว์เซอร์เพื่อความสะดวกในการล็อกอิน
  • คุกกี้ (Cookies):ไฟล์ข้อมูลขนาดเล็กที่เว็บไซต์ใช้จดจำการล็อกอิน หากแฮกเกอร์ขโมยคุกกี้ไปได้ ก็สามารถสวมรอยเข้าสู่ระบบบัญชีต่างๆ ของเหยื่อได้ทันทีโดยไม่ต้องใช้รหัสผ่าน

 

  1. SIM Swap / eSIM Port-Out

SIM Swap คือการที่มิจฉาชีพหลอกลวงผู้ให้บริการเครือข่ายมือถือให้โอนย้ายเบอร์โทรศัพท์ของเหยื่อไปยังซิมการ์ดใหม่ที่ตนเองควบคุมอยู่

เป้าหมายสูงสุด ของการโจมตีนี้คือการเข้าควบคุมเบอร์โทรศัพท์เพื่อดักรับรหัสผ่านแบบใช้ครั้งเดียว (OTP) ที่ถูกส่งมาทาง SMS ซึ่งเป็นกุญแจสำคัญในการเข้าถึงและทำธุรกรรมในบัญชีธนาคารออนไลน์ โซเชียลมีเดีย หรือบริการสำคัญอื่นๆ ของเหยื่อ

นี่คือการ “ปล้นซิมกลางวันแสกๆ” ที่อันตรายอย่างยิ่ง เพราะมิจฉาชีพจะรวบรวมข้อมูลส่วนตัวของเรา จากนั้นจะใช้เอกสารปลอมโทรศัพท์ไปที่ศูนย์บริการค่ายมือถือ แล้วปลอมตัวเป็นเราเพื่ออ้างว่าทำซิมการ์ดหายและขอออกซิมใหม่ หากเจ้าหน้าที่หลงเชื่อ ซิมการ์ดในมือของเราจะถูกตัดสัญญาณและขึ้นว่า “No Service” ทันที หลังจากนั้น สัญญาณโทรศัพท์รวมถึงรหัส OTP สำหรับทำธุรกรรมทางการเงินทั้งหมดจะถูกส่งไปที่ซิมใหม่ในมือของโจรแทน

วิธีแก้ปัญหา

หากจู่ๆ สัญญาณโทรศัพท์มือถือหายไปอย่างผิดปกติ ให้รีบหา Wi-Fi เพื่อติดต่อผู้ให้บริการเครือข่ายและธนาคารเพื่อตรวจสอบและอายัดบัญชีทันที

 

  1. AiTM (Adversary-in-the-Middle)

AiTM คือการโจมตีที่ซับซ้อนกว่าฟิชชิ่งทั่วไป โดยแฮกเกอร์จะสร้างเว็บไซต์ปลอมที่ทำหน้าที่เป็น “คนกลาง” ระหว่างผู้ใช้กับเว็บไซต์จริง เมื่อผู้ใช้กรอกข้อมูลล็อกอินบนเว็บปลอม ระบบของแฮกเกอร์จะส่งข้อมูลนั้นไปยังเว็บจริงแบบเรียลไทม์ และดักจับข้อมูลการตอบกลับทั้งหมด สิ่งที่ทำให้ AiTM อันตรายกว่า ฟิชชิ่งทั่วไปคือ มันสามารถดักจับได้แม้กระทั่งรหัสยืนยันตัวตนแบบสองปัจจัย (2FA) หรือ Session Cookies ทำให้สามารถบายพาสการป้องกันที่แข็งแกร่งที่สุดได้

เปรียบเทียบการทำงานของมันเหมือน “แม่สื่อจอมฉวยโอกาส” ที่คอยดักอยู่ตรงกลาง โดยโจรจะสร้างเว็บไซต์ปลอม (เช่น เว็บธนาคาร) ที่มีหน้าตาเหมือนของจริงทุกประการ เมื่อเราหลงเชื่อและกรอกชื่อผู้ใช้ รหัสผ่าน และรหัส OTP ลงบนเว็บปลอมนั้น ระบบของโจรจะทำหน้าที่เป็น “แม่สื่อ” นำข้อมูลที่เรากรอกไปล็อกอินที่เว็บธนาคารของจริงให้ทันทีแบบเรียลไทม์ หน้าจอของเราอาจขึ้นว่า “ล็อกอินสำเร็จ” แต่ความจริงแล้ว คือ โจรต่างหากที่ล็อกอินสำเร็จไปแล้ว และเข้าควบคุมบัญชีของเราได้เรียบร้อย

 

  1. Credential Stuffing

Credential Stuffing คือการโจมตีที่นำชื่อผู้ใช้และรหัสผ่านที่เคยรั่วไหลมาจากเว็บไซต์หนึ่ง มาลองสุ่มล็อกอินกับเว็บไซต์อื่นๆ โดย สาเหตุหลัก ที่ทำให้การโจมตีรูปแบบนี้ประสบความสำเร็จก็คือ “พฤติกรรมการใช้รหัสผ่านเดียวกันในหลายๆ บริการ” ของผู้ใช้เอง

เมื่อมิจฉาชีพแฮกข้อมูลชื่อผู้ใช้และรหัสผ่านจากเว็บไซต์เล็กๆ ที่มีระบบความปลอดภัยต่ำได้สำเร็จ พวกเขาจะนำข้อมูลชุดนั้น (อีเมล + รหัสผ่าน) ไปลองล็อกอินกับบริการอื่นๆ ที่สำคัญทั้งหมดโดยอัตโนมัติ เช่น Facebook, Instagram, Shopee, Line หากเราใช้รหัสผ่านเดียวกันในทุกแพลตฟอร์ม ก็เท่ากับว่าบัญชีทั้งหมดของเราจะถูกยึดครองในคราวเดียว

วิธีป้องกัน

  • ห้ามใช้รหัสผ่านเดียวกันในทุกแพลตฟอร์มเด็ดขาด!
  • ถ้าใช้รหัสเดียวกัน รีบไปเปลี่ยนด่วน

 

หมวดที่ 3 : ความเสี่ยงโครงสร้างและอุปกรณ์ (Infrastructure & Device Risks)

  1. Data Leak / Megadump

Data Leak คือเหตุการณ์ที่ข้อมูลส่วนตัวจำนวนมหาศาล (อาจเป็นหลักล้านหรือหลายสิบล้านรายการ) ของผู้ใช้งานจากบริการใดบริการหนึ่งรั่วไหลออกไป และถูกนำไปรวบรวมเป็นชุดข้อมูลขนาดใหญ่ที่เรียกว่า “Megadump” เพื่อขายในตลาดมืด ความเสี่ยงต่อเนื่อง ที่น่ากังวลคือ ข้อมูลเหล่านี้ (เช่น ชื่อ, อีเมล, เบอร์โทรศัพท์, รหัสผ่าน) จะกลายเป็นวัตถุดิบชั้นดีให้แฮกเกอร์นำไปใช้ในการโจมตีประเภทอื่นๆ ต่อไป ข้อมูลที่รั่วไหลไปเปรียบเสมือนกุญแจบ้านที่ถูกปั๊มขายในตลาดมืด รอวันที่จะมีคนนำไปใช้ไขเข้าสู่ชีวิตดิจิทัลของคุณ

เหตุการณ์ข้อมูลรั่วไหลส่วนใหญ่มักเกิดจากความผิดพลาดขององค์กร ซึ่งเปรียบได้กับ “คนดูแลระบบลืมล็อกประตูบ้าน”

 

  1. Botnet / IoT Attack

Botnet คือเครือข่ายของอุปกรณ์คอมพิวเตอร์หรืออุปกรณ์ IoT (เช่น กล้องวงจรปิด, เราเตอร์, สมาร์ททีวี) ที่ยังคงใช้รหัสผ่านตั้งต้นจากโรงงาน (เช่น admin/admin) มีความเสี่ยงสูงที่ถูกแฮกเกอร์เข้ายึดครองและควบคุมจากระยะไกลโดยที่เจ้าของไม่รู้ตัวและฝังโปรแกรมอันตราย เพื่อเปลี่ยนอุปกรณ์เหล่านี้ให้กลายเป็น “ซอมบี้” แล้วสั่งการให้อุปกรณ์ทั้งหมดในเครือข่ายช่วยกันโจมตีเป้าหมายอื่นพร้อมๆ กัน เช่น การโจมตีเพื่อทำให้เว็บไซต์ล่ม (DDoS Attack)

 

  1. Malvertising

Malvertising (Malicious Advertising) คือการใช้โฆษณาออนไลน์เป็นเครื่องมือในการเผยแพร่มัลแวร์ กลไกการหลอกลวง คือการสร้างโฆษณาที่ดูน่าเชื่อถือและนำไปแสดงผลบนเว็บไซต์ที่มีผู้เข้าชมจำนวนมาก เช่น การสร้างปุ่ม “ดาวน์โหลด” ปลอมที่ดูน่าเชื่อถือบนเว็บไซต์ที่คุณเข้าเป็นประจำ  เมื่อผู้ใช้หลงเชื่อและคลิกโฆษณาดังกล่าว ก็จะถูกนำทางไปยังหน้าเว็บอันตราย หรือถูกหลอกให้ดาวน์โหลดไฟล์ที่มีมัลแวร์แฝงอยู่โดยไม่รู้ตัว หรือเว็บดูหนังฟรี เว็บพนัน ปรากฏป๊อปอัปที่น่าตกใจ เช่น “ตรวจพบไวรัสในเครื่องของคุณ! กดเพื่อล้างทันที” หรือมีปุ่มดาวน์โหลดปลอมๆ หลอกให้กด ในบางกรณีที่ร้ายแรง แค่เราเปิดหน้าเว็บนั้นทิ้งไว้ มัลแวร์ก็สามารถติดตั้งตัวเองลงในเครื่องได้โดยอัตโนมัติ (Drive-by download)

นิยามสั้นๆ ของมันคือ “โฆษณาแฝงพิษ” (Malware + Advertising)

  1. Supply-Chain Attack

Supply-Chain Attack คือการโจมตีทางไซเบอร์ที่ไม่ได้มุ่งเป้าไปที่องค์กรเป้าหมายโดยตรง แต่เลือกที่จะโจมตีผ่าน Supply Chain หรือบริษัทผู้ผลิตซอฟต์แวร์ที่เราใช้งาน

จุดเด่นของการโจมตีประเภทนี้คือ แฮกเกอร์จะมองหาบริษัทคู่ค้าหรือผู้ให้บริการซอฟต์แวร์ (Supplier) ที่มีระบบรักษาความปลอดภัยที่อ่อนแอกว่า เพื่อใช้เป็นช่องทางในการเจาะเข้าไปยังระบบขององค์กรเป้าหมายหลักที่ตนเองต้องการ

 

  1. Social Engineering 2.0

Social Engineering 2.0 คือการใช้หลักจิตวิทยาสังคมเพื่อหลอกลวงเหยื่อในเวอร์ชันที่ล้ำหน้าขึ้น โดยการนำ AI เข้ามาช่วยวิเคราะห์ข้อมูลส่วนตัวของเหยื่อที่หาได้จากโลกออนไลน์อย่างละเอียด เพื่อสร้างเรื่องราวการหลอกลวงที่เฉพาะเจาะจง มีความน่าเชื่อถือสูง และออกแบบมาเพื่อเหยื่อรายนั้นๆ โดยเฉพาะ

นี่คือ “วิชามารของนักสืบโซเชียล” ที่ใช้ข้อมูลจริงมาสร้างเรื่องหลอกลวง

มิจฉาชีพจะใช้เทคนิคที่เรียกว่า OSINT (Open-Source Intelligence) คือการรวบรวมข้อมูลสาธารณะเกี่ยวกับตัวเราจากโซเชียลมีเดีย เช่น Facebook หรือ Instagram เพื่อศึกษาวิถีชีวิตของเราว่าชอบทำอะไร ไปเที่ยวที่ไหน ลูกเรียนที่ไหน จากนั้นจะนำข้อมูลจริงเหล่านี้มาผูกเป็นเรื่องราวเพื่อหลอกลวงให้แนบเนียนยิ่งขึ้น เช่น “สวัสดีครับคุณปุ้ม พอดีเห็นว่าเพิ่งกลับจากญี่ปุ่น มีพัสดุของคุณติดอยู่ที่ด่านศุลกากรนะครับ” เมื่อโจรพูดข้อมูลที่ถูกต้อง เราก็จะหลงเชื่อได้ง่าย

 

หมวดที่ 4 : ภัยคุกคามต่อ AI และองค์กร (AI & Organizational Threats)

  1. Data Poisoning

Data Poisoning คือการโจมตีระบบ AI โดยการแอบป้อนข้อมูลที่ผิดพลาดเข้าไปในชุดข้อมูลที่ AI ใช้ในการเรียนรู้ (Training Data) เพื่อบิดเบือนการทำงานและทำให้ AI ตัดสินใจผิดพลาดในอนาคต

นี่คือการ “วางยา AI ด้วยข้อมูลขยะ”

เปรียบเทียบง่ายๆ เหมือนการสอนเด็ก ถ้าเราเอารูปแมวให้เด็กดูแล้วบอกว่า “นี่คือหมา” ซ้ำๆ เด็กก็จะจดจำข้อมูลที่ผิดๆ ไป โจรก็ใช้วิธีเดียวกันนี้โดยการป้อนข้อมูลขยะหรือข้อมูลที่ถูกบิดเบือนเข้าไปในระบบ AI ขององค์กร (เช่น ระบบตรวจจับทุจริตของธนาคาร) เพื่อทำให้ AI เรียนรู้และตัดสินใจผิดพลาด ซึ่งจะสร้างช่องโหว่ให้แฮกเกอร์สามารถโจมตีระบบได้ในภายหลัง

 

  1. Prompt Injection

Prompt Injection คือเทคนิคการโจมตีโมเดลภาษาขนาดใหญ่ (Large Language Models) เช่น ChatGPT โดยการสร้างชุดคำสั่ง (Prompt) ที่แยบยลเพื่อหลอกล่อให้ AI ทำงานนอกเหนือขอบเขตที่ถูกกำหนดไว้ เป้าหมายหลัก คือการหลอกให้ AI เปิดเผยข้อมูลที่เป็นความลับขององค์กร หรือทำงานที่เป็นอันตรายตามคำสั่งของแฮกเกอร์ มันคล้ายกับการใช้คำพูดที่ฉลาดหลักแหลมเพื่อหลอกให้บรรณารักษ์ผู้เชี่ยวชาญหยิบหนังสือจากห้องสมุดโซนต้องห้ามมาให้คุณ ทั้งๆที่เป็นสิ่งที่ไม่ควรทำ

เทคนิคนี้เปรียบเสมือนการ “สะกดจิต AI” หรือที่เรียกกันว่า “Jailbreaking”

 

  1. BEC (Business Email Compromise)

BEC คือกลโกงที่มุ่งเป้าไปที่องค์กร โดยแฮกเกอร์จะปลอมแปลงอีเมลให้ดูเหมือนว่าถูกส่งมาจากผู้บริหารระดับสูง เช่น CEO หรือ CFO เพื่อหลอกลวงให้พนักงาน โดยเฉพาะฝ่ายการเงินหรือบัญชี โอนเงินไปยังบัญชีของมิจฉาชีพ

หลักสำคัญของกลโกง

  • การปลอมตัว :แฮกเกอร์จะปลอมอีเมลเป็น C-Level หรือผู้บริหารที่น่าเชื่อถือ
  • การสร้างความเร่งด่วน :มักอ้างว่าเป็นธุรกรรมที่ “ด่วนที่สุด” และ “เป็นความลับ” เพื่อไม่ให้พนักงานมีเวลาตรวจสอบ
  • เป้าหมาย :หลอกให้ฝ่ายการเงินโอนเงินของบริษัทไปยังบัญชีที่แฮกเกอร์เตรียมไว้

 

  1. Zero-Day Exploit

Zero-Day Exploit คือการโจมตีที่ใช้ประโยชน์จากช่องโหว่ (Vulnerability) ในซอฟต์แวร์หรือระบบที่เพิ่งถูกค้นพบใหม่ล่าสุด ความอันตรายร้ายแรง ของมันคือ ณ วันที่ถูกโจมตี (Day “Zero”) ช่องโหว่นี้ยังไม่เป็นที่รู้จักของใคร แม้กระทั่งบริษัทผู้พัฒนาซอฟต์แวร์เอง ทำให้ยังไม่มีแพตช์ (Patch) หรือวิธีการป้องกันออกมาแก้ไขได้ทันท่วงที

 

  1. Shadow IT / Shadow AI

Shadow IT คือการที่พนักงานในองค์กรนำแอปพลิเคชัน ฮาร์ดแวร์ หรือบริการคลาวด์ที่ไม่ได้รับการอนุมัติจากฝ่าย IT มาใช้ในการทำงาน และในยุคนี้ยังรวมถึง Shadow AI ซึ่งคือการที่พนักงานนำข้อมูลของบริษัทไปใช้กับบริการ AI สาธารณะต่างๆ

ความเสี่ยงหลัก คือองค์กรจะสูญเสียการควบคุมและความสามารถในการมองเห็นว่าข้อมูลสำคัญของบริษัทถูกนำไปใช้งานที่ไหนบ้าง ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลที่เป็นความลับได้โดยง่าย

 

เทคโนโลยีและภัยคุกคามทางไซเบอร์พัฒนาควบคู่กันไปเสมอ ไม่มีเครื่องมือใดที่จะป้องกันเราได้ 100% เกราะป้องกันที่ดีที่สุดจึงเป็นการติดตามข่าวสารและอัปเดต “วัคซีนความรู้” ของเราให้ทันสมัยอยู่ตลอดเวลา

การทำความเข้าใจข้อมูลเหล่านี้ไม่ใช่เรื่องน่ากลัว แต่เป็นสิ่งจำเป็นที่ช่วยให้เราตระหนักรู้และเพิ่มความระมัดระวังในการใช้ชีวิตบนโลกออนไลน์ได้อย่างปลอดภัยยิ่งขึ้น การแชร์บทความนี้จึงไม่ใช่แค่การส่งต่อข้อมูล แต่คือการช่วยกันฉีด “วัคซีนไซเบอร์” ให้กับเพื่อนและคนในครอบครัว เพื่อให้ทุกคนในสังคมออนไลน์ของเราปลอดภัยไปด้วยกัน