เมื่อไม่นานมานี้ สำนักงานอาชญากรรมแห่งชาติ (NCA) ของสหราชอาณาจักรได้ประกาศข่าวสำคัญเกี่ยวกับการจับกุมบุคคลสี่รายที่เกี่ยวข้องกับการโจมตีทางไซเบอร์ครั้งใหญ่ต่อห้างสรรพสินค้าและซูเปอร์มาร์เก็ตชั้นนำอย่าง Marks & Spencer, Co-op และ Harrods การปฏิบัติการครั้งนี้ไม่เพียงแต่สะท้อนถึงความสามารถของหน่วยงานบังคับใช้กฎหมายในการไล่ล่าอาชญากรไซเบอร์ แต่ยังเผยให้เห็นถึงความซับซ้อนและผลกระทบอันมหาศาลของภัยคุกคามดิจิทัลในปัจจุบัน
เบื้องหลังการจับกุม: ใครคือผู้ต้องสงสัย?
ผู้ถูกจับกุมประกอบด้วยชายวัย 19 ปีสองคน ชายวัย 17 ปีหนึ่งคน และหญิงวัย 20 ปีหนึ่งคน พวกเขาถูกรวบตัวได้ในพื้นที่เวสต์มิดแลนด์และลอนดอน ภายใต้ข้อสงสัยในการกระทำผิดตามพระราชบัญญัติการใช้คอมพิวเตอร์ในทางที่ผิด การกรรโชกทรัพย์ การฟอกเงิน และการมีส่วนร่วมในกลุ่มอาชญากรรมจัดตั้ง
แม้จะไม่มีการเปิดเผยชื่ออย่างเป็นทางการในตอนแรก แต่รายงานล่าสุดจากนักข่าวความปลอดภัยไซเบอร์อย่าง Brian Krebs ได้ระบุชื่อผู้ต้องสงสัยวัย 19 ปีสองคนว่าคือ Owen David Flowers (นามแฝง bo764, Holy, Nazi) และ Thalha Jubair (นามแฝง Earth2Star, Operator) ซึ่ง Jubair ยังถูกกล่าวหาว่าเป็นสมาชิกหลักของกลุ่มอาชญากรไซเบอร์ LAPSUS$ และเคยทำหน้าที่เป็นผู้ดูแลเว็บไซต์ Doxbin อีกด้วย
เจ้าหน้าที่ได้ยึดอุปกรณ์อิเล็กทรอนิกส์ทั้งหมดของผู้ต้องสงสัย เพื่อนำไปวิเคราะห์ทางนิติวิทยาศาสตร์ ซึ่งเป็นขั้นตอนสำคัญในการรวบรวมพยานหลักฐานและคลี่คลายโครงข่ายอาชญากรรมไซเบอร์ในคดีนี้ให้ชัดเจนยิ่งขึ้น
ความเสียหายระดับชาติและชื่อที่อยู่เบื้องหลัง
การโจมตีทางไซเบอร์ที่เกิดขึ้นในเดือนเมษายน 2025 ต่อ Marks & Spencer และ Co-op ถูกจัดว่าเป็น "เหตุการณ์ไซเบอร์รวมกันครั้งเดียว" โดยศูนย์เฝ้าระวังไซเบอร์ (CMC) ซึ่งประเมินมูลค่าความเสียหายทางเศรษฐกิจไว้สูงถึง 270 ล้านปอนด์ถึง 440 ล้านปอนด์ (หรือประมาณ 12,000-20,000 ล้านบาท) ซึ่งเป็นตัวเลขที่บ่งชี้ถึงผลกระทบที่ร้ายแรงต่อภาคธุรกิจและเศรษฐกิจของสหราชอาณาจักร
แม้ NCA จะไม่ได้ระบุชื่อกลุ่มอาชญากรรมโดยตรง แต่เชื่อกันอย่างกว้างขวางว่าการโจมตีเหล่านี้ดำเนินการโดยกลุ่มไซเบอร์อาชญากรที่มีชื่อเสียงอย่าง Scattered Spider ซึ่งขึ้นชื่อเรื่องกลยุทธ์วิศวกรรมสังคมที่ซับซ้อนเพื่อเจาะระบบองค์กรและใช้แรนซัมแวร์ Marks & Spencer ยืนยันว่าการโจมตีระบบของตนเกี่ยวข้องกับแรนซัมแวร์ และดำเนินการโดยกลุ่ม DragonForce ซึ่งทำงานร่วมกับผู้ที่เกี่ยวข้องอื่นๆ
Scattered Spider: เมื่อแฮ็กเกอร์รุ่นใหม่เล่นของจริง
หนึ่งในจุดแข็งของกลุ่ม Scattered Spider คือการใช้ “มนุษย์” เป็นเครื่องมือหลักในการเจาะระบบ โดยอาศัยสมาชิกที่เป็นคนรุ่นใหม่ซึ่งพูดภาษาอังกฤษได้อย่างเป็นธรรมชาติ และใช้เทคนิค social engineering โทรศัพท์ปลอมตัวเป็นพนักงาน โทรติดต่อเข้าไปยังแผนก IT Support ขององค์กรเป้าหมาย เพื่อหลอกขอข้อมูลสำคัญ เช่น username และ password
กลุ่มนี้เป็นหนึ่งในเครือข่ายอาชญากรรมไซเบอร์ที่เรียกว่า “The Com” ซึ่งมีบทบาทในอาชญากรรมหลากหลายรูปแบบ ไม่ว่าจะเป็น phishing, SIM swapping, sextortion, การข่มขู่เรียกค่าไถ่ ไปจนถึงการก่ออาชญากรรมที่รุนแรงยิ่งขึ้น
รายงานจาก Halcyon และ Mandiant (ในเครือ Google) ระบุว่า กลุ่มนี้มีแนวทางการเลือกเหยื่อที่ยืดหยุ่นและฉวยโอกาส โดยพิจารณาจาก “มูลค่าทางการเงิน” ของเป้าหมายในช่วงเวลานั้น พร้อมทั้งใช้ phishing domain ที่ออกแบบให้เลียนแบบหน้า login ขององค์กรได้อย่างแนบเนียน เพื่อหลอกให้เหยื่อกรอกข้อมูลโดยไม่รู้ตัว
บทเรียนที่ต้องจำ: การป้องกันเริ่มจาก “คน”
Charles Carmakal CTO จาก Mandiant Consulting กล่าวถึงการจับกุมครั้งนี้ว่าเป็น "ชัยชนะสำคัญ" ที่แสดงให้เห็นถึงความร่วมมือระดับนานาชาติ และเป็นช่วงเวลาสำคัญที่องค์กรควรเสริมเกราะป้องกันของตนอย่างจริงจัง
เขาแนะนำแนวทางป้องกันที่องค์กรควรเริ่มต้นทันที เช่น:
- การฝึกอบรมทีม IT และพนักงานให้สามารถตรวจจับพฤติกรรมฟิชชิง
- การใช้ Multi-Factor Authentication (MFA) ที่ต้านทานฟิชชิง
- การยืนยันตัวตนที่รัดกุมในการช่วยเหลือพนักงานทางโทรศัพท์
Zach Edwards นักวิจัยด้านภัยคุกคามยังเตือนว่า กลุ่มแฮกเกอร์รุ่นเยาว์เหล่านี้มักคิดว่าตนเองเล่นเกมที่สนุกและได้เงินเร็ว แต่แท้จริงแล้วมันคือเกมที่นำไปสู่ “คุก” ไม่ใช่ “ความร่ำรวย”
สรุป: โลกไซเบอร์ไม่ใช่เรื่องไกลตัวอีกต่อไป
การจับกุมสมาชิก Scattered Spider เป็นเพียงจุดเริ่มต้นในการต่อสู้กับภัยคุกคามไซเบอร์ที่ซับซ้อนและพัฒนาไม่หยุด องค์กรและผู้ใช้จำเป็นต้องตระหนักรู้และลงทุนในการป้องกันอย่างจริงจัง เพราะ “ความเสียหาย” ที่เกิดขึ้น ไม่ได้จบแค่เงิน แต่ลุกลามไปถึงชื่อเสียง ความน่าเชื่อถือ และอนาคตของธุรกิจในระยะยาว
ที่มา: The Hacker News: Four Arrested in £440M Cyber Attack on Marks & Spencer, Co-op, and Harrods