รวบโบรกเกอร์บริษัทดัง ขายข้อมูลลูกค้าประกัน นับล้านชื่อ ให้มิจฉาชีพ

กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยีแถลงข่าวการจับกุมปฏิบัติการ Data Guardians Operation ล่าทรชน คนค้าข้อมูล โดยมีการจับกุมผู้ต้องหารวม 3 ราย ที่มีส่วนเกี่ยวข้องกับขบวนการขายข้อมูลส่วนบุคคลให้กลุ่มมิจฉาชีพกว่า 15 ล้านรายชื่อ



พลตำรวจโทธนา ชูวงศ์ ผู้ช่วยผู้บัญชาการตำรวจแห่งชาติ รักษาราชการแทนรองผู้บัญชาการตำรวจแห่งชาติ กล่าวว่า ปัจจุบันกลุ่มมิจฉาชีพมีขั้นตอนในการสื่อสารหลอกลวงประชาชนไปจนถึงขั้นตอนการโอนเงินได้อย่างรวดเร็วมากขึ้น ซึ่งตำรวจได้มีการปฎิบัติการเพื่อรวบรวมข้อมูลมาโดยตลอด นำมาสู่การเปิดปฏิบัติการเข้าจับกุมในครั้งนี้ ซึ่งมีการนำข้อมูลส่วนบุคคลของประชาชนไปใช้ในเชิงลึกลงเรื่อยๆ ทำให้เจ้าของข้อมูลหลงเชื่อได้ง่ายขึ้นนำไปสู่การโอนเงินให้กลุ่มมิจฉาชีพ รวมไปถึงยังมีการพัฒนาโปรแกรมที่ทำให้สามารถโอนเงินจำนวนมากได้โดยไม่ต้องสแกนใบหน้าตามมาตรฐานการรักษาความปลอดภัยของธนาคาร ซึ่งจากการจับกุมผู้ต้องทำให้ทราบว่า งานแบบนี้เป็นงานที่ทำง่าย ทำที่บ้าน และผู้ต้องหาแต่ละคนมีรายได้เดือนละหลักแสน จึงยั่วยวนให้มากระทำผิด



พลตำรวจโทวรวัฒน์ วัฒน์นครบัญชา ผู้บัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี กล่าวว่า การเข้าจับกุมผู้ต้องหาในครั้งนี้ เป็นการขยายผลมาจากกรณีที่ตำรวจไซเบอร์ได้เคยเข้าจับกุมผู้ต้องหาวิศวกรหนุ่มที่จังหวัดภูเก็ต เมื่อเดือนกรกฎาคมที่ผ่านมา โดยผู้ต้องหามีการนำข้อมูลส่วนบุคคลไปขายต่อให้ธุรกิจสีเทากว่า 2 ล้านรายชื่อ และเมื่อขยายผลต่อก็นำไปสู่การเข้าจับกุมผู้ต้องหาที่เป็นพ่อค้าคนกลางรับซื้อข้อมูลจากธุรกิจขายอาหารเสริม ไปขายต่อให้กับวิศวกรหนุ่ม โดยผู้ต้องหารายนี้อ้างว่าได้ซื้อข้อมูลมากกว่า 15 ล้านรายชื่อแล้วนำมาแบ่งขายให้กับกลุ่มที่สนใจในดาร์กเว็บ ทำรายได้กว่า 4 แสนบาทต่อเดือน



จากปฏิบัติการทั้ง 2 ครั้ง ตำรวจไซเบอร์ได้ทำการขยายผลจนพบความเชื่อมโยงและนำกำลังเข้าตรวจค้นและจับกุมผู้ต้องหาที่มีส่วนเกี่ยวข้องได้เพิ่มเติมอีก 3 ราย



ผู้ต้องหารายแรก คือ นายพศิน อายุ 41 ปี ซึ่งเป็นโบรกเกอร์ของบริษัทประกันภัยชื่อดัง ลักลอบนำข้อมูลส่วนบุคคลของลูกค้าประกันนับล้านรายชื่อไปขายให้กับกลุ่มมิจฉาชีพ ซึ่งข้อมูลของลูกค้าประกันถือว่าเป็นข้อมูล เกรด A เป็นข้อมูลในเชิงลึกที่มีมากกว่าแค่ชื่อ-นามสกุล / เลขบัตรประชาชน 13 หลัก / และเบอร์โทร แต่มีข้อมูลเกี่ยวกับบัญชีธนาคารด้วย โดยจากการสืบสวนพบว่านายพศินเป็นผู้ขายข้อมูลเหล่านี้ ให้กับผู้ต้องหาที่ถูกจับกุมได้ก่อนหน้านี้



ผู้ต้องหารายที่ 2 คือ นายณัฐพงษ์ อายุ 28 ปี เป็นโปรแกรมเมอร์ ที่ได้ทำการพัฒนาโปรแกรม API Bypass Face Scan และนำโปรแกรมนี้ไปขายให้กลุ่มมิจฉาชีพ โดยเป็นโปรแกรมที่สามารถเข้าไปแก้ไขโค้ดของแอปพลิเคชั่นธนาคาร ให้ยกเลิกเงื่อนไขการสแกนใบหน้า เมื่อมีการโอนเงินจำนวนมากกว่า 5 หมื่นบาท สร้างความสะดวกให้กลุ่มมิจฉาชีพมากยิ่งขึ้น



ผู้ต้องหารายที่ 3 คือ นายยอดชาย อายุ 24 ปี ทำหน้าที่เป็นแอดมินกลุ่มเฟซบุ๊กซื้อขายข้อมูลส่วนบุคคล โดยมีข้อมูลที่ใช้ซื้อขายมากกว่า 15 ล้านรายชื่อ ซึ่งนายยอดชายรับทำหน้าที่ไลฟ์สดให้แก่เว็บไซต์พนันออนไลน์ และได้นำข้อมูลมาจากฐานข้อมูลของเว็บพนันออนไลน์ มาขายในกลุ่มดาร์คเว็บ



โดยตำรวจได้ดำเนินคดีกับผู้ต้องหาทั้ง 3 รายในความผิดเกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลและ พ.ร.บ.คอมพิวเตอร์ ซึ่งหลังจากนี้จะมีการขยายผลไปยังผู้ที่มีส่วนเกี่ยวข้องเพิ่มเติมต่อไป



พลตำรวจตรีวรวัฒน์ กล่าวอีกว่า ในจำนวนข้อมูลทั้งกว่า 15 ล้านรายชื่อที่ผู้ต้องหาทั้ง 3 รายนำมาซื้อขายนี้ จากการตรวจสอบพบว่าบางส่วนก็เป็นข้อมูลที่ซ้ำกัน และส่วนใหญ่จะเป็นเพียงข้อมูลพื้นฐาน มีแค่บางส่วนที่เป็นข้อมูลในเชิงลึก อย่างไรก็ตาม ในส่วนของโบรกเกอร์ประกันภัยนั้น จะต้องขยายผลต่อไปว่ามีการนำข้อมูลออกมาได้อย่างไร และมีใครเกี่ยวข้องอีกบ้าง แต่ในส่วนของพฤติการณ์ ขอให้เป็นรายละเอียดในสำนวนเพราะยังต้องขยายผลเพิ่มเติม โดยโบรกเกอร์ที่มีพฤติกรรมแบบนี้ก็อาจจะเพียงแค่บางส่วน ไม่ใช่ทุกคน



ในการแถลงข่าว ตำรวจยังได้เปิดคลิปวิดีโอ ขณะที่ให้นายณัฐพงษ์ ผู้ต้องหาที่พัฒนาโปรแกรม API Bypass สาธิตวิธีการใช้โปรแกรมด้วย โดยโปรแกรมที่พัฒนาขึ้นมาจะมี 2 รูปแบบ รูปแบบแรกคือ ใช้วิธีการโอนเงินได้ผ่านระบบเบราเซอร์ได้เลยโดยไม่จำเป็นต้องเข้าแอปพลิเคชั่นธนาคาร ซึ่งหากกลุ่มมิจฉาชีพรู้ข้อมูลบัญชีธนาคาร ก็สามารถกรอกเข้าไปได้เลย ระบบก็จะส่งหมายเลข OTP ไปยังเบอร์โทรศัพท์เจ้าของบัญชี และเพียงแค่กรอก OTP ก็สามารถกดโอนเงินจำนวนมากผ่านระบบเบราเซอร์ที่ควบคุมโดยมิจฉาชีพได้ทันที / ส่วนอีกรูปแบบคือการเขียนโค้ดยกเลิกการสแกนใบหน้าเมื่อโอนเงินจำนวนมากกว่า 5 หมื่นบาท ซึ่งตำรวจไซเบอร์จะขยายผลหลักการทำงานในรูปแบบนี้ต่อไป



ขณะที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC ระบุว่า กรณีแบบนี้ผู้ที่นำข้อมูลไปขาย ถือว่ามีความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ขณะเดียวกันผู้ซื้อเองก็เข้าข่ายมีความผิดฐานเก็บรวบรวมข้อมูลจากแหล่งอื่นซึ่งไม่ใช่เจ้าของ และความผิดตาม พ.ร.บ.คอมพิวเตอร์ ส่วนหน่วยงานที่เป็นต้นเหตุที่ทำให้ข้อมูลรั่วไหล ก็จะต้องมีการเข้าไปตรวจสอบเกี่ยวกับมาตรการการรักษาความมั่นคงปลอดภัยต่อไปว่ารัดกุมเพียงพอหรือไม่