จับ 3 ขบวนการขายข้อมูลส่วนบุคคล 15 ล. รายชื่อ อึ้งพบมีโปรแกรมล้วงตับธนาคาร
ตร.ไซเบอร์ จับ 3 ผู้ต้องหา ขบวนการขายข้อมูลส่วนบุคคลกลุ่มมิจฉาชีพ กว่า 15 ล้านรายชื่อ พบเชื่อมโยงโบรกเกอร์ประกันภัยชื่อดัง ส่วนอีกรายโปรแกรมเมอร์พัฒนาโปรแกรมยกเลิกระบบสแกนใบหน้าของธนาคาร
6 พฤศจิกายน 2566 กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี หรือ ตำรวจไซเบอร์ แถลงข่าวการจับกุมปฏิบัติการ Data Guardians Operation ล่าทรชน คนค้าข้อมูล โดยมีการจับกุมผู้ต้องหารวม 3 ราย ที่มีส่วนเกี่ยวข้องกับขบวนการขายข้อมูลส่วนบุคคลให้กลุ่มมิจฉาชีพกว่า 15 ล้านรายชื่อ
พล.ต.ท.ธนา ชูวงศ์ ผู้ช่วยผู้บัญชาการตำรวจแห่งชาติ รักษาราชการแทนรองผู้บัญชาการตำรวจแห่งชาติ กล่าวว่า ปัจจุบันกลุ่มมิจฉาชีพ มีขั้นตอนในการสื่อสารหลอกลวงประชาชน ไปจนถึงขั้นตอนการโอนเงินได้อย่างรวดเร็วมากขึ้น ซึ่งตำรวจได้มีการปฎิบัติการเพื่อรวบรวมข้อมูลมาโดยตลอด นำมาสู่การเปิดปฏิบัติการเข้าจับกุมในครั้งนี้
โดยมีการนำข้อมูลส่วนบุคคลของประชาชน ไปใช้ในเชิงลึกลงเรื่อยๆ ทำให้เจ้าของข้อมูลหลงเชื่อได้ง่ายขึ้น นำไปสู่การโอนเงินให้กลุ่มมิจฉาชีพ รวมไปถึงยังมีการพัฒนาโปรแกรม ที่ทำให้สามารถโอนเงินจำนวนมากได้โดยไม่ต้องสแกนใบหน้า ตามมาตรฐานการรักษาความปลอดภัยของธนาคาร ซึ่งจากการจับกุมผู้ต้องทำให้ทราบว่า งานแบบนี้เป็นงานที่ทำง่าย ทำที่บ้าน และผู้ต้องหาแต่ละคนมีรายได้เดือนละหลักแสน จึงยั่วยวนให้มากระทำผิด
ขณะที่ พล.ต.ท.วรวัฒน์ วัฒน์นครบัญชา ผู้บัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี กล่าวว่า การเข้าจับกุมผู้ต้องหาในครั้งนี้ เป็นการขยายผลมาจากกรณีที่ตำรวจไซเบอร์ ได้เคยเข้าจับกุมผู้ต้องหาวิศวกรหนุ่มที่จังหวัดภูเก็ต เมื่อเดือน ก.ค. ที่ผ่านมา โดยผู้ต้องหามีการนำข้อมูลส่วนบุคคล ไปขายต่อให้ธุรกิจสีเทากว่า 2 ล้านรายชื่อ
“ได้มีการนำไปขยายผลต่อ จนนำไปสู่การเข้าจับกุมผู้ต้องหา ที่เป็นพ่อค้าคนกลางรับซื้อข้อมูล จากธุรกิจขายอาหารเสริม ไปขายต่อให้กับวิศวกรหนุ่ม โดยผู้ต้องหารายนี้อ้างว่าได้ซื้อข้อมูลมากกว่า 15 ล้านรายชื่อ แล้วนำมาแบ่งขายให้กับกลุ่มที่สนใจในดาร์คเว็บ ทำรายได้กว่า 4 แสนบาทต่อเดือน”
พล.ต.ท.วรวัฒน์ เปิดเผยอีกว่า จากปฏิบัติการทั้ง 2 ครั้ง ตำรวจไซเบอร์ได้ทำการขยายผล จนพบความเชื่อมโยงและนำกำลังเข้าตรวจค้น และจับกุมผู้ต้องหาที่มีส่วนเกี่ยวข้อง ได้เพิ่มเติมอีก 3 ราย รายแรก คือ นายพศิน อายุ 41 ปี ซึ่งเป็นโบรกเกอร์ของบริษัทประกันภัยชื่อดัง ลักลอบนำข้อมูลส่วนบุคคลของลูกค้าประกันนับล้านรายชื่อ ไปขายให้กับกลุ่มมิจฉาชีพ
ซึ่งข้อมูลของลูกค้าประกันถือว่า เป็นข้อมูล เกรด A เป็นข้อมูลในเชิงลึกที่มีมากกว่าแค่ชื่อ-นามสกุล / เลขบัตรประชาชน 13 หลัก / และเบอร์โทร แต่มีข้อมูลเกี่ยวกับบัญชีธนาคารด้วย โดยจากการสืบสวนพบว่า นายพศินเป็นผู้ขายข้อมูลเหล่านี้ ให้กับผู้ต้องหาที่ถูกจับกุมได้ก่อนหน้านี้
ผู้ต้องหารายที่ 2 คือ นายณัฐพงษ์ อายุ 28 ปี เป็นโปรแกรมเมอร์ ที่ได้ทำการพัฒนาโปรแกรม API Bypass Face Scan และนำโปรแกรมนี้ไปขายให้กลุ่มมิจฉาชีพ โดยเป็นโปรแกรมที่สามารถเข้าไปแก้ไขโค้ดของแอปพลิเคชั่นธนาคาร ให้ยกเลิกเงื่อนไขการสแกนใบหน้า เมื่อมีการโอนเงินจำนวนมากกว่า 5 หมื่นบาท สร้างความสะดวกให้กลุ่มมิจฉาชีพมากยิ่งขึ้น
และผู้ต้องหารายที่ 3 คือ นายยอดชาย อายุ 24 ปี ทำหน้าที่เป็นแอดมินกลุ่มเฟซบุ๊กซื้อขายข้อมูลส่วนบุคคล โดยมีข้อมูลที่ใช้ซื้อขายมากกว่า 15 ล้านรายชื่อ ซึ่งนายยอดชายรับทำหน้าที่ไลฟ์สด ให้แก่เว็บไซต์พนันออนไลน์ และได้นำข้อมูลมาจากฐานข้อมูลของเว็บพนันออนไลน์ มาขายในกลุ่มดาร์คเว็บ
โดยตำรวจได้ดำเนินคดีกับผู้ต้องหาทั้ง 3 รายในความผิดเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลและ พ.ร.บ.คอมพิวเตอร์ ซึ่งหลังจากนี้จะมีการขยายผลไปยังผู้ที่มีส่วนเกี่ยวข้องเพิ่มเติมต่อไป
พล.ต.ต.วรวัฒน์ กล่าวอีกว่า ในจำนวนข้อมูลทั้งกว่า 15 ล้านรายชื่อที่ผู้ต้องหาทั้ง 3 รายนำมาซื้อขายนี้ จากการตรวจสอบพบว่า บางส่วนก็เป็นข้อมูลที่ซ้ำกัน และส่วนใหญ่จะเป็นเพียงข้อมูลพื้นฐาน มีแค่บางส่วนที่เป็นข้อมูลในเชิงลึก อย่างไรก็ตาม ในส่วนของโบรกเกอร์ประกันภัยนั้น จะต้องขยายผลต่อไปว่า มีการนำข้อมูลออกมาได้อย่างไร และมีใครเกี่ยวข้องอีกบ้าง แต่ในส่วนของพฤติการณ์ ขอให้เป็นรายละเอียดในสำนวน เพราะยังต้องขยายผลเพิ่มเติม โดยโบรกเกอร์ที่มีพฤติกรรมแบบนี้ก็อาจจะเพียงแค่บางส่วน ไม่ใช่ทุกคน
นอกจากการแถลงข่าวแล้ว ตำรวจยังได้เปิดคลิปวิดีโอ ขณะที่ให้นายณัฐพงษ์ ผู้ต้องหาที่พัฒนาโปรแกรม API Bypass สาธิตวิธีการใช้โปรแกรมด้วย โดยโปรแกรมที่พัฒนาขึ้นมาจะมี 2 รูปแบบ รูปแบบแรกคือ ใช้วิธีการโอนเงินได้ผ่านระบบเบราเซอร์ได้เลย โดยไม่จำเป็นต้องเข้าแอปพลิเคชั่นธนาคาร ซึ่งหากกลุ่มมิจฉาชีพรู้ข้อมูลบัญชีธนาคาร ก็สามารถกรอกเข้าไปได้เลย
ระบบก็จะส่งหมายเลข OTP ไปยังเบอร์โทรศัพท์เจ้าของบัญชี และเพียงแค่กรอก OTP ก็สามารถกดโอนเงินจำนวนมากผ่านระบบเบราเซอร์ที่ควบคุมโดยมิจฉาชีพได้ทันที / ส่วนอีกรูปแบบคือการเขียนโค้ดยกเลิกการสแกนใบหน้าเมื่อโอนเงินจำนวนมากกว่า 5 หมื่นบาท ซึ่งตำรวจไซเบอร์ จะขยายผลหลักการทำงานในรูปแบบนี้ต่อไป
ขณะที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC ระบุว่า กรณีแบบนี้ผู้ที่นำข้อมูลไปขาย ถือว่ามีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ขณะเดียวกันผู้ซื้อเอง ก็เข้าข่ายมีความผิดฐานเก็บรวบรวมข้อมูล จากแหล่งอื่นซึ่งไม่ใช่เจ้าของ และความผิดตาม พ.ร.บ.คอมพิวเตอร์ ส่วนหน่วยงานที่เป็นต้นเหตุ ที่ทำให้ข้อมูลรั่วไหล ก็จะต้องมีการเข้าไปตรวจสอบเกี่ยวกับ มาตรการการรักษาความมั่นคงปลอดภัยต่อไปว่า รัดกุมเพียงพอหรือไม่
