ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
กลโกง ‘จดหมายปลอม’ เล็งผู้ใช้กระเป๋าฮาร์ดแวร์ทั่วโลกกลับมาระบาดอีกครั้ง โดยเฉพาะผู้ใช้เรเจอร์(Ledger) และเทรเซอร์(Trezor) ที่กำลังถูกหลอกให้เปิดเผย ‘วลีซีด(Seed Phrase)’ หรือวลีสำหรับกู้คืนกระเป๋าผ่านจดหมายจริงที่ส่งถึงบ้าน สร้างความเสี่ยงต่อการถูกขโมยคริปโตจากกระเป๋าฮาร์ดแวร์ที่คิดว่า ‘ปลอดภัยสุด’
จุดเริ่มต้นของเรื่องนี้มาจาก ดมิทรี สมีลยานเนตซ์(Dmitry Smilyanets) ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ ที่ออกมาเผยเมื่อวันที่ 13 กุมภาพันธ์ว่าเขาได้รับจดหมายต้องสงสัยหนึ่งฉบับในนามเทรเซอร์ เนื้อหาจดหมายอ้างว่าผู้ใช้ต้องทำ ‘การตรวจสอบสิทธิ์(Authentication Check)’ ให้เสร็จภายในวันที่ 15 กุมภาพันธ์ ไม่เช่นนั้นอุปกรณ์อาจถูกจำกัดการใช้งาน ตัวจดหมายถูกออกแบบให้ดูเหมือนเอกสารทางการ ทั้งโฮโลแกรมและคิวอาร์โค้ดครบ แต่แท้จริงแล้วเป็นฟิชชิงที่พาเหยื่อไปยังเว็บไซต์อันตราย
ตามข้อมูลของสมีลยานเนตซ์ จดหมายฉบับนี้ถูกทำให้เหมือนมีลายเซ็นของ มาเทย์ ซาก(Matěj Žák) ซีอีโอเทรเซอร์ แต่ในเนื้อหากลับเรียกเขาว่า ‘ซีอีโอเลเจอร์’ สลับชื่อบริษัทไปมาเพื่อสร้างความสับสน ก่อนหน้านี้ในเดือนตุลาคมปีที่แล้ว ผู้ใช้เรเจอร์รายหนึ่งก็เคยรายงานว่าได้รับจดหมายลักษณะเดียวกัน โดยอ้างว่าผู้ใช้ต้องทำ ‘การตรวจสอบธุรกรรม(Transaction Check)’ แบบภาคบังคับให้เรียบร้อย
‘การตรวจบังคับ’ ผ่านคิวอาร์โค้ด ดูดวลีซีดไปทั้งชุด
หัวใจของจดหมายปลอมเหล่านี้คือ ‘คิวอาร์โค้ด’ เมื่อผู้ใช้สแกนโดยไม่เอะใจ ระบบจะพาไปยังหน้าเว็บที่เลียนแบบหน้าตั้งค่ากระเป๋าฮาร์ดแวร์ของเรเจอร์หรือเทรเซอร์อย่างแนบเนียน ดีไซน์ใกล้เคียงของจริงจนผู้ใช้ที่ไม่ชำนาญด้านความปลอดภัยมีโอกาสหลงเชื่อได้ง่าย
ปัญหาคือหน้าเว็บนั้นจะอ้างว่าเป็นขั้นตอนกู้คืนกระเป๋า และบังคับให้ผู้ใช้กรอก ‘วลีซีด’ ครบทุกคำ เมื่อกรอกเสร็จ ข้อมูลทั้งหมดจะถูกส่งไปยังเซิร์ฟเวอร์ของแฮกเกอร์ผ่าน API ฝั่งแบ็กเอนด์ จากนั้นผู้โจมตีก็สามารถนำวลีซีดดังกล่าวไปกู้คืนกระเป๋าบนเครื่องของตัวเอง แล้วดูดสินทรัพย์ดิจิทัลอย่างบิตคอยน์(BTC), อีเธอเรียม(ETH) และเหรียญอื่น ๆ ออกไปได้อย่างง่ายดาย
ตามมาตรฐานแล้ว ผู้ให้บริการกระเป๋าฮาร์ดแวร์ ‘จะไม่ขอวลีซีดจากผู้ใช้ไม่ว่ากรณีใด’ ไม่ว่าจะผ่านเว็บไซต์ อีเมล โทรศัพท์ หรือจดหมายทางไปรษณีย์ เรเจอร์และเทรเซอร์ต่างก็ย้ำในเอกสารทางการมาโดยตลอดว่า ‘วลีซีดเป็นข้อมูลส่วนตัวสูงสุด’ และการแชร์ให้ผู้อื่นแม้เพียงครั้งเดียวก็เท่ากับทำลายความปลอดภัยของกระเป๋าทันที
ผลพวงการรั่วไหลข้อมูลต่อเนื่อง 6 ปี เปิดช่องให้มิจฉาชีพโจมตี
เหตุที่เหตุการณ์รอบนี้ถูกจับตามองเป็นพิเศษ เพราะเรเจอร์และเทรเซอร์เผชิญปัญหาข้อมูลลูกค้ารั่วไหลต่อเนื่องมาหลายปีทั้งจากฝั่งบริษัทเองและพาร์ตเนอร์ด้านโลจิสติกส์–มาร์เก็ตติ้ง ฐานข้อมูลหลายชุดถูกเจาะจนมีทั้งชื่อ อีเมล หมายเลขโทรศัพท์ ไปจนถึง ‘ที่อยู่จัดส่งของจริง’ หลุดออกสู่ภายนอก
ข้อมูลเหล่านี้ถูกนำไปขายต่อในดาร์กเว็บและช่องทางใต้ดินต่าง ๆ ก่อนจะถูกใช้โจมตีในหลายรูปแบบ ตั้งแต่สแปม ข้อความฟิชชิง ไปจนถึงการส่ง ‘จดหมายจริง’ อย่างกรณีที่เกิดขึ้นตอนนี้ ‘ความคิดเห็น’ วงการความปลอดภัยกังวลว่า เมื่อมิจฉาชีพรู้ทั้งชื่อและที่อยู่ของเหยื่อ การโจมตีอาจลุกลามจากการขโมยคริปโต ไปสู่การข่มขู่ คุกคาม หรือปล้นในโลกจริง โดยเล็งเป้าผู้ถือครองรายใหญ่เป็นพิเศษ
ด้านเทรเซอร์เองก็เพิ่งยอมรับในเดือนมกราคม 2024 ว่ามีเหตุข้อมูลลูกค้ารั่วไหลครั้งใหม่ กระทบผู้ใช้ราว 66,000 ราย แม้บริษัทจะย้ำว่าข้อมูลสำคัญอย่างวลีซีดและรหัสผ่านกระเป๋า ‘ไม่ถูกเปิดเผย’ แต่ผู้เชี่ยวชาญชี้ว่า แค่ชื่อ เบอร์โทร หรือที่อยู่ ก็เพียงพอให้มิจฉาชีพออกแบบแคมเปญฟิชชิงที่ตรงตัวและน่าเชื่อถือได้แล้ว
กลโกงออฟไลน์ไฮบริด: ตั้งแต่เครื่องปลอมถึงแอปปลอม
การโจมตีผู้ใช้เรเจอร์และเทรเซอร์ผ่านช่องทางออฟไลน์ไม่ใช่เรื่องใหม่ ย้อนกลับไปปี 2021 ผู้ที่ได้รับผลกระทบจากเหตุข้อมูลรั่วไหลของเรเจอร์ในปี 2020 เคยถูกส่ง ‘อุปกรณ์เรเจอร์ นาโน(Ledger Nano) ปลอม’ ถึงหน้าบ้าน ตัวกล่องและเอกสารถูกทำให้เหมือนของแท้แทบทั้งหมด เพื่อหลอกให้ผู้ใช้เชื่อว่าเป็นเครื่องใหม่ แล้วกรอกวลีซีดลงไป
ในเดือนเมษายน 2025 ก็มีรายงานว่ามีจดหมายที่ใช้คิวอาร์โค้ดลักษณะเดียวกันถูกส่งออกเป็นวงกว้างอีกระลอก จากนั้นในเดือนพฤษภาคมยังพบ ‘แอปปลอม’ ที่แอบอ้างเป็นเรเจอร์ ไลฟ์(Ledger Live) โผล่บนแพลตฟอร์มดาวน์โหลดแอป เมื่อผู้ใช้ติดตั้งและกรอกวลีซีด แอปดังกล่าวก็จะส่งข้อมูลไปให้คนร้าย พร้อมดึงคริปโตออกจากกระเป๋าอย่างเงียบ ๆ
เมื่อการฟิชชิงผ่านจดหมายจริงเริ่มเกิดซ้ำ เรเจอร์จึงออกประกาศเตือนอย่างเป็นทางการผ่านเว็บไซต์ในเดือนตุลาคม 2025 ระบุชัดว่า ‘คำขอให้กรอกวลีซีดผ่านทางจดหมายไปรษณีย์ทุกกรณีคือกลโกง’ และย้ำให้ผู้ใช้เมินข้อความลักษณะนี้ทั้งหมด ขณะที่เทรเซอร์ก็ออกคำเตือนคล้ายกัน โดยกำชับว่าผู้ใช้ควรเชื่อเฉพาะประกาศจากช่องทางทางการเท่านั้น
นักลงทุนไทยไม่รอดวงจรเสี่ยง ย้ำ ‘วลีซีดห้ามแชร์เด็ดขาด’
แม้เรเจอร์และเทรเซอร์จะเป็นบริษัทต่างประเทศ แต่ในไทยก็มีนักลงทุนที่ใช้กระเป๋าฮาร์ดแวร์เหล่านี้เป็นจำนวนไม่น้อย โดยเฉพาะสายที่ถือบิตคอยน์(BTC), อีเธอเรียม(ETH), โซลานา(SOL) และเหรียญหลักอื่น ๆ แบบยาว ๆ ทำให้ความเสี่ยงจากกลโกง ‘จดหมายปลอม’ และฟิชชิงออฟไลน์รูปแบบต่าง ๆ มีโอกาสขยายมาถึงผู้ใช้ชาวไทยเช่นกัน
ผู้เชี่ยวชาญในตลาดมองตรงกันว่า แม้ ‘กระเป๋าฮาร์ดแวร์’ จะช่วยเก็บสินทรัพย์บนบล็อกเชนให้ปลอดภัยจากการแฮกระบบออนไลน์ แต่ถ้าพฤติกรรมด้านความปลอดภัยของผู้ใช้ถูกหลอก ก็ไม่มีเทคโนโลยีใดช่วยได้ “ความคิดเห็น” ช่องโหว่ที่ใหญ่ที่สุดมักไม่ใช่ตัวอุปกรณ์ แต่คือ ‘คน’ โดยเฉพาะการโจมตีที่มาในรูปแบบดูธรรมดาอย่างจดหมาย โทรศัพท์ หรือแชท ที่ทำให้เหยื่อเผลอลดการ์ดลง
สำหรับผู้ใช้กระเป๋าฮาร์ดแวร์ทุกคน ควรตั้งสมมติฐานแบบ ‘เลวร้ายที่สุด’ ไว้ก่อนว่า ชื่อและที่อยู่ของตนเองอาจถูกเปิดเผยไปแล้ว และทบทวนวินัยด้านความปลอดภัยของตัวเองใหม่อีกครั้ง ‘วลีซีดต้องมีแต่ตัวเราเท่านั้นที่รู้’ และควรถูกเก็บแบบออฟไลน์ในที่ปลอดภัย ห้ามถ่ายรูป เก็บในคลาวด์ หรือส่งให้ใครผ่านช่องทางใดทั้งสิ้น
ไม่ว่าช่องทางไหน—จดหมาย อีเมล เว็บไซต์ แอป โทรศัพท์ หรือโซเชียล—หากมีข้อความใดก็ตามอ้างว่าเป็นการตรวจสอบ ยืนยัน หรือกู้คืนบัญชี แล้วขอให้กรอก ‘วลีซีด’ ให้ถือได้ทันทีว่าเป็น ‘กลโกง’ และควรหยุดทุกอย่าง ตรวจสอบกับช่องทางทางการของผู้ให้บริการก่อนเสมอ เพื่อป้องกันไม่ให้สินทรัพย์ดิจิทัลสะสมมานานหายไปในพริบตา
ความคิดเห็น 0