อาชญากรรมไซเบอร์โสมแดงทุบสถิติใหม่! หลังปี 2025 กวาดทรัพย์สินดิจิทัลไปกว่า 2 พันล้านดอลลาร์สหรัฐฯ เพิ่มขึ้นถึง 51% เป้าถัดไป “สถาบันการเงินและธนาคารพาณิชย์” CrowdStrike เผยแผนประทุษกรรมสุดล้ำ การปลอมโปรไฟล์แทรกซึม บ.เทคอเมริกา ชี้เงินที่ขโมยได้อาจถูกนำไปอุดหนุนโครงการนิวเคลียร์ของคิม จองอึน

จากรายงาน 2026 Financial Services Threat Landscape Report โดย CrowdStrike ระบุว่าในปี 2025 ที่ผ่านมา กลุ่มจารกรรมไซเบอร์ที่เชื่อมโยงกับเกาหลีเหนือ หรือ ‘DPRK’ ประสบความสำเร็จอย่างสูงในการโจมตีสินทรัพย์ดิจิทัล โดยมีตัวเลขที่น่าสนใจดังนี้

• ยอดรวมความเสียหาย 2.02 พันล้านดอลลาร์สหรัฐ ตีมูลค่าเป็นเงินไทยมีมูลค่าสูงเกือบ 6.6 หมื่นล้านบาท เพิ่มขึ้นสูงถึง 51% เมื่อเทียบกับปีก่อนหน้า
• คดีใหญ่ที่สุด การโจมตีแพลตฟอร์มเทรดคริปโต Bybit กวาดเงินไปได้ถึง 1.46 พันล้านดอลลาร์ หรือ 4.8 หมื่นล้านบาท ในการปฏิบัติการเพียงครั้งเดียว

วิธีการที่ใช้ คือ แฮกเกอร์เข้าไปเจาะระบบผ่านแล็ปท็อปของนักพัฒนาซอฟต์แวร์ในบริษัทคู่ค้า (Third-party) จากนั้นขโมยสิทธิ์การเข้าถึง (Credentials) เพื่อดึงเงินออกจากกระดานเทรด

เป้าหมายใหม่ จาก ‘คริปโต’ สู่ ‘ธนาคารกระแสหลัก’

แหล่งข่าว Fortune ระบุว่า ข้อมูลระหว่างเดือนเมษายน 2025 ถึงมีนาคม 2026 ชี้ให้เห็นว่า เกาหลีเหนือเริ่มเปลี่ยนเป้าหมายจากกลุ่มคริปโตเคอร์เรนซี มายัง “กลุ่มสถาบันการเงินและธนาคารพาณิชย์” มากขึ้น โดยปัจจุบันกลุ่มการเงินขยับขึ้นมาเป็นเป้าหมายอันดับ 4 ของแฮกเกอร์เกาหลีเหนือ รองจากกลุ่มเทคโนโลยี ที่ปรึกษา และการผลิต

ที่น่าตกใจคือ สถิติการเจาะระบบแบบ “Hands-on-keyboard” หรือการที่มีแฮกเกอร์ตัวจริงเข้าไปควบคุมระบบภายในเครือข่ายของสถาบันการเงินโดยตรง เพิ่มขึ้นถึง 43% ทั่วโลกในช่วง 2 ปีที่ผ่านมา

แผนลับ ‘IT Worker’ และเครือข่าย ‘Laptop Farm’ ในสหรัฐฯ

หนึ่งในกลยุทธ์ที่ได้ผลที่สุดของเกาหลีเหนือคือการส่งพนักงานไอที (ตั้งฐานในจีนและรัสเซีย) ปลอมตัวเป็นชาวอเมริกันเพื่อสมัครงานแบบ Remote Work ในบริษัทไอทีชั้นนำ โดยใช้แผนผังดังนี้

1. สร้างโปรไฟล์เทพ (Golden Unicorn) ใช้ตัวตนที่ขโมยมาสร้างเรซูเม่ให้ดูเก่งกาจจนฝ่ายบุคคลต้องรีบรับเข้าทำงาน
2. เครือข่าย Laptop Farm จ้างคนอเมริกันให้ช่วยรับแล็ปท็อปจากบริษัทไปติดตั้งไว้ที่บ้าน เช่น ในแนชวิลล์และนิวยอร์ก เป็นต้น แล้วติดตั้งซอฟต์แวร์ Remote Access เพื่อให้แฮกเกอร์ในต่างประเทศล็อกอินเข้ามาทำงานได้เสมือนนั่งอยู่ในสหรัฐฯ จริงๆ
3. ฟอกเงินและจารกรรม เงินเดือนที่ได้จะถูกส่งกลับเกาหลีเหนือเพื่อเป็นทุนสร้างอาวุธนิวเคลียร์ ขณะเดียวกันพนักงานเหล่านี้จะทำหน้าที่เป็น “สายลับภายใน” คอยส่งข้อมูลให้กองทัพแฮกเกอร์เข้าโจมตีบริษัทได้ในภายหลัง

การใช้ AI และ Deepfake ขั้นสูง

CrowdStrike ยังพบการใช้ AI ในช่วงไตรมาสสุดท้ายของปี 2025 เพื่อสร้างตัวตนปลอมในการสัมภาษณ์งานผ่านวิดีโอคอล โดยแฮกเกอร์สามารถปลอมทั้งใบหน้าและสภาพแวดล้อมในออฟฟิศให้ดูน่าเชื่อถือเพื่อหลอกลวงรีครูทเตอร์ รวมถึงการส่งแบบทดสอบการเขียนโค้ดที่ฝังมัลแวร์ (Malware-laced coding tests) ไปให้เหยื่อที่กำลังหางานผ่าน LinkedIn และ Telegram

บทเรียนราคาแพงที่สถาบันการเงินต้องรีบเรียนรู้

Adam Meyers รองประธานอาวุโสของ CrowdStrike เตือนว่า สถาบันการเงินแบบดั้งเดิมต้องรีบนำ “บทเรียนราคาแพง” จากอุตสาหกรรมคริปโตมาปรับใช้โดยด่วน ก่อนที่จะตกเป็นเหยื่อรายถัดไป โดยควรปฏิบัติตามดังนี้

• ยกระดับความปลอดภัย ต้องมีระบบ Multi-factor Authentication (MFA) ที่แข็งแกร่ง และการควบคุมการโอนเงินหลายชั้น
• ระบบ Cold Storage การแยกเก็บสินทรัพย์ดิจิทัลที่สำคัญไว้แบบออฟไลน์
• ตรวจสอบประวัติเชิงลึก สถาบันการเงินต้องเพิ่มความเข้มงวดในการตรวจสอบตัวตนพนักงาน Remote Work เพื่อป้องกันการแทรกซึมจากพนักงานไอทีนอมินี

ภายใต้แรงกดดันจากการคว่ำบาตรระหว่างประเทศ เกาหลีเหนือคงจะยิ่งทวีความรุนแรงในการโจมตีทางไซเบอร์ตลอดปี 2026 เพื่อหาเงินเข้าประเทศ ศึกชิงไหวชิงพริบบนโลกไซเบอร์นี้จึงเป็นเดิมพันครั้งใหญ่ที่สถาบันการเงินทั่วโลกไม่อาจละสายตาได้ ควรเร่งมีมาตรการรองรับอย่างรัดกุม

อ่านข่าวต้นฉบับ: แฮกเกอร์เกาหลีเหนือ ทุบสถิติปล้นทะลุ 6 หมื่นล้าน แฉกล ‘Laptop Farm’ แทรกซึมแบงก์