Deepfake ปล้น KYC ไทย! | ภัย AI มาเร็ว แต่ Cybersecurity กลับตามไม่ทัน

"AI ก้าวไกลแต่ความปลอดภัยยังตามไม่ทัน! เปิดเหตุการณ์แก๊งสแกมเมอร์จีนใช้ AI หลอกระบบ KYC ในไทย พร้อมรายงาน 65% ของบริษัท AI ชั้นนำ พบข้อมูลสำคัญรั่วไหล – ถึงเวลาองค์กรไทยต้องยกระดับมาตรการเชิงรุก”

AI ทลายระบบ KYC: Deepfake สร้างวิดีโอปลอมหลอกธนาคารไทย

เมื่อต้นสัปดาห์ที่ผ่านมา เจ้าหน้าที่ตำรวจไทยได้จับกุมแก๊งสแกมเมอร์ชาวจีน 4 ราย ที่คอนโดย่านทองหล่อ กรุงเทพฯ โดยผู้ต้องหานำเทคโนโลยี AI สร้างคลิปวิดีโอปลอมจาก “ภาพนิ่ง” ของเหยื่อ เพื่อหลอก ระบบยืนยันตัวตน (KYC) ของธนาคารและแพลตฟอร์มเงินดิจิทัลในไทย เหตุการณ์นี้ไม่เพียงชี้ให้เห็นว่า AI สามารถถูกนำไปสร้างภัยไซเบอร์รูปแบบใหม่ได้ไม่ยาก หากที่น่าสนใจคือ ระบบความปลอดภัยที่ยังตามไม่ทัน ชี้ให้เห็นว่า ภัยไซเบอร์ไม่ได้เกิดเฉพาะบริษัท AI ในต่างประเทศ แต่สามารถเกิดกับองค์กรไทยทุกประเภทที่ใช้ AI หรือ นวัตกรรมดิจิทัลได้

การรั่วไหลของข้อมูลลับ ในบริษัท AI ชั้นนำ

รายงานของ Wiz พบว่า 65% ของบริษัท AI ชั้นนำ จากรายชื่อของ Forbes AI 50 มีการรั่วไหลของข้อมูลลับและช้อมูลส่วนตัว เช่น API key, Token และข้อมูลรับรองต่าง ๆ บน GitHub หรือแพลตฟอร์มสาธารณะ ซึ่งอาจทำให้โมเดล AI, ข้อมูลฝึกสอน หรือระบบ DevOps ถูกเข้าถึงโดยไม่ได้รับอนุญาต โดยการรั่วไหลเกิดในพื้นที่มุมอับของการจัดการข้อมูล ที่มาตรการทั่วไปมักมองไม่เห็น

ช่องโหว่ของมาตรการ Cybersecurity

1. ความเร็วของนวัตกรรม vs ความปลอดภัย – บริษัท AI มักเร่งพัฒนาผลิตภัณฑ์ แต่การจัดการกับความเสี่ยงยังไม่เพียงพอ ทำให้เกิดการแก้ปัญหาแบบ 'รอให้เกิดเหตุแล้วค่อยแก้ไข' (Reactive Approach)
2. ระบบ KYC/ยืนยันตัวตนเดิม ไม่พร้อมรับ AI ปลอม – Deepfake และ Face‑Swap สามารถหลอกระบบตรวจจับใบหน้าได้
3. ภัยคุกคามข้ามชาติ – แก๊งสแกมเมอร์ย้ายฐานปฏิบัติการเข้ามาในไทย ทำให้การตรวจสอบยากขึ้น

ผลกระทบต่อองค์กรไทย

1. ความเชื่อมั่นของลูกค้า – ลูกค้าอาจไม่มั่นใจระบบ KYC หรือบริการทางการเงินดิจิทัล
2. ความเสี่ยงด้านการเงินและข้อมูล – API key หรือ token รั่วไหลอาจถูกใช้โจมตีระบบและเข้าถึงข้อมูลสำคัญ
3. โอกาสเกิดการโจมตีซับซ้อน – การโจมตีแบบ Phishing, AI scam, การปลอมตัวออนไลน์

แนวทางป้องกันภัยไซเบอร์สำหรับองค์กรไทย

1. ตรวจสอบ และจัดการ Secrets – ใช้ Secret Scanning ตรวจสอบ Commit History, Deleted Forks, Gists เพื่อป้องกันการรั่วไหลของข้อมูล รับรองการยกระดับการตรวจจับ Biometric Spoofing – เพิ่ม Liveness Detection (การตรวจจับว่าบุคคลที่กำลังยืนยันตัวตนนั้น "มีชีวิต" จริงหรือไม่) Multi-Factor Authentication และ Verification แบบหลายช่องทาง
2. ฝึกอบรมพนักงานและลูกค้า – สร้าง Awareness เรื่อง Phishing, Social Engineering, และ AI scam
3. ใช้ Anomaly Detection – ตรวจจับธุรกรรมหรือ API access ผิดปกติแบบ Real-Time
4. วางแผน Incident Response – เตรียมความพร้อมและทีมรับมือทันทีเมื่อเกิดเหตุการณ์โจมตี

จากรายงานของ Wiz และกรณีแก๊งสแกมเมอร์ AI ในไทย ย้ำชัดว่า แม้ AI จะก้าวหน้าอย่างรวดเร็ว แต่ Cybersecurity ยังตามไม่ทัน องค์กรไทยไม่ว่าจะเป็น ธนาคาร, Telecom, Operator, แพลตฟอร์มดิจิทัล ต้องยกระดับมาตรการรักษาความปลอดภัยเชิงรุก และเตรียมระบบป้องกัน AI-Generated Threats เพื่อให้เทคโนโลยี AI สร้างประโยชน์อย่างปลอดภัย และไม่สร้างความเสี่ยงต่อผู้ใช้งาน

อ้างอิง : Infosecurity, Wiz.io, ฐานเศรษฐกิจ