ช่วงปลายปีคือเวลาที่หลายองค์กร “ยุ่ง” มากกว่าปกติ งานปิดงบ งานเร่งส่งมอบ วันหยุดยาว เวรผลัดเปลี่ยน ทีมไอทีอาจมีคนอยู่ไม่เต็ม และผู้ใช้งานก็รีบเปิดอีเมล–กดลิงก์ให้จบ ๆ ไป นี่แหละคือจังหวะที่แฮกเกอร์ชอบที่สุด เพราะความเร่งรีบทำให้ความระแวงลดลงโดยธรรมชาติ
ปลายปี 2025 มีเคสที่สะท้อนภาพนี้ชัดเจน คือแคมเปญฟิชชิ่งปริมาณสูงจากกลุ่มที่ Microsoft ติดตามในชื่อ Storm-0900 ซึ่งอาศัยธีม “ใบสั่งจอดรถค้างชำระ” และ “ผลตรวจทางการแพทย์” เพื่อสร้างความกดดันให้เหยื่อรีบคลิก ก่อนนำไปสู่การแพร่กระจายมัลแวร์ตระกูล XWorm ที่ใช้กันกว้างในโลกอาชญากรรมไซเบอร์
ทำไม “ช่วงเทศกาล” ถึงเป็นสนามที่ฟิชชิ่งเล่นได้ง่าย
ฟิชชิ่งที่ได้ผล ไม่ได้ชนะด้วยความซับซ้อนเสมอไป แต่ชนะด้วย “จิตวิทยา” และ “จังหวะเวลา” ช่วงเทศกาลเป็นช่วงที่คนจำนวนมากอยู่ในโหมดเร่งรีบ ตอบอีเมลงานไวขึ้น เปิดดูข้อความที่ดูเหมือนเรื่องเร่งด่วนมากขึ้น และมีแนวโน้มเชื่อสิ่งที่ดู “เกี่ยวกับชีวิตจริง” เช่น ค่าปรับ การนัดหมาย หรือเอกสารสำคัญ
ฝั่งองค์กรเองก็มีแรงเสียดทานที่ทำให้การป้องกันยากขึ้นเช่นกัน ทั้งการลดกำลังคน การทำงานแบบ hybrid และปริมาณอีเมลภายนอกที่เพิ่มขึ้นจากคู่ค้า/ลูกค้าในช่วงปีใหม่ เมื่อสัญญาณรบกวนเพิ่ม ความผิดปกติจึง “ซ่อนตัว” ได้ง่ายกว่าเดิม
ภาพรวมแคมเปญ Storm-0900: “ใบสั่งจอดรถ” และ “ผลตรวจ” ที่ทำให้คนรีบกด
จากข้อมูลที่รายงานโดย Microsoft Threat Intelligence แคมเปญนี้ถูกตรวจพบและบล็อกได้ในช่วงก่อนเทศกาล Thanksgiving (รายงานว่าเริ่มพุ่งขึ้นวันที่ 26 พฤศจิกายน) และมีปริมาณอีเมลระดับ “หลักหมื่น” โดยเน้นโจมตีผู้ใช้ในสหรัฐฯ เป็นหลัก จุดเด่นคือการเลือกหัวข้อที่ทำให้เหยื่อรู้สึกว่า “ต้องทำเดี๋ยวนี้” ไม่ว่าจะเป็นใบสั่งจอดรถที่เหมือนค้างค่าปรับ หรือผลตรวจแพทย์ที่ชวนให้กังวล
เมื่อเหยื่อถูกดึงให้กดลิงก์ ระบบจะพาไปยังหน้าเว็บที่ผู้โจมตีควบคุม และใช้ขั้นตอนหลอกล่อเพิ่มเติมเพื่อให้ดูเหมือนเป็นกระบวนการจริง ก่อนนำไปสู่การดาวน์โหลด/รันไฟล์ที่เกี่ยวข้องกับ XWorm ในท้ายที่สุด โดยมีการอ้างถึงโดเมนที่พบในรายงานอย่าง permit-service[.]top เป็นหนึ่งในจุดพัก/หน้าแลนดิ้งของแคมเปญ
เส้นทางการโจมตีแบบเล่าให้เห็นภาพ: จาก “คลิกเดียว” ไปสู่การยึดเครื่อง
สิ่งที่อันตรายของฟิชชิ่งยุคนี้คือมันไม่หยุดแค่การหลอกเอารหัสผ่าน แต่พยายามพาเหยื่อไปให้ไกลกว่านั้น—ไปถึงจุดที่เครื่องถูกควบคุมได้จริง ๆ แคมเปญลักษณะนี้มักเริ่มจากอีเมลที่เหมือนแจ้งเตือนทางการ มีถ้อยคำเร่งด่วน และมีลิงก์ให้ “ตรวจสอบรายละเอียด”
หลังคลิก ลิงก์จะพาไปยังหน้าเว็บที่จัดฉากให้ดูน่าเชื่อถือ บางกรณีเพิ่มลูกเล่นเพื่อหลบการตรวจจับ/ทำให้ผู้ใช้รู้สึกว่ากำลังทำตามขั้นตอนปกติ และสุดท้ายจบที่การดาวน์โหลดไฟล์หรือการรันสิ่งที่ไม่ควรรัน ซึ่งเป็นจุดที่มัลแวร์เริ่มทำงาน และเปิดทางให้ผู้โจมตี “อยู่ในระบบ” ได้นานขึ้น
XWorm คืออะไร และทำไมองค์กรควรกังวล
XWorm มักถูกจัดอยู่ในกลุ่มมัลแวร์แบบ Remote Access Trojan (RAT) ที่ถูกใช้ในวงกว้างในโลกอาชญากรรมไซเบอร์ กล่าวให้เข้าใจง่ายคือ หากติดแล้ว ผู้โจมตีมีโอกาสได้ “ช่องทางควบคุมเครื่องจากระยะไกล” และต่อยอดไปสู่การขโมยข้อมูล เก็บรหัสผ่าน เฝ้าดูพฤติกรรมผู้ใช้ หรือใช้เครื่องเป็นฐานโจมตีต่อ
ความน่ากังวลไม่ได้อยู่ที่ชื่อมัลแวร์เพียงอย่างเดียว แต่อยู่ที่ความเป็น “โมดูล” และ “ต่อยอดได้” ของมัน ในบางรายงานชี้ว่ามีการใช้ปลั๊กอินเพิ่มเติมได้ตามเป้าหมาย เช่น การขโมยข้อมูลหรือความสามารถที่รุนแรงขึ้นในรูปแบบที่ใกล้เคียงกับแรนซัมแวร์ นั่นหมายความว่า ถ้าองค์กรปล่อยให้เหตุการณ์ฟิชชิ่งลุกลามไปถึงขั้นติด RAT ผลกระทบอาจขยายจากผู้ใช้คนเดียว ไปสู่ทั้งแผนกหรือทั้งระบบได้อย่างรวดเร็ว
สัญญาณที่บอกว่า “อีเมลนี้กำลังพาเราไปเจอปัญหา”
ฟิชชิ่งที่อันตรายมักไม่ได้มีคำผิดชัด ๆ เสมอไป แต่จะมีรายละเอียดเล็ก ๆ ที่ “ขัดกับธรรมชาติ” ของการสื่อสารจริง เช่น การบีบให้ตัดสินใจเร็วเกินเหตุ การใช้ถ้อยคำที่กระตุ้นความกลัวหรือความกังวล และการส่งลิงก์ไปยังโดเมนที่ไม่ใช่ของหน่วยงานจริง
อีกจุดที่พบบ่อยคือการทำให้เรื่องดูเป็นทางการโดยใส่โลโก้ ชื่อหน่วยงาน หรืออ้าง “หมายเลขอ้างอิง” หลอก ๆ แต่เมื่อสังเกตโดเมนผู้ส่งหรือโดเมนปลายทาง จะพบว่ามีความแปลก เช่น เป็นโดเมนที่ไม่คุ้นเคย มีคำต่อท้ายประหลาด หรือไม่สอดคล้องกับหน่วยงานที่อ้างถึง
ถ้าเป็นธีมแนว “ค่าปรับ/ใบสั่ง” หรือ “ผลตรวจแพทย์” ให้ตั้งหลักเสมอว่า หน่วยงานจริงมักไม่เร่งให้เรากดลิงก์จากอีเมลแบบนั้น และไม่ควรให้เราเปิดไฟล์/ติดตั้งอะไรเพื่อ “ดูรายละเอียด” หากมีข้อสงสัย ทางที่ปลอดภัยคือกลับไปเข้าระบบผ่านช่องทางทางการเอง (เช่น พิมพ์เว็บตรง หรือโทรสอบถาม) แทนการคลิกจากอีเมล
องค์กรควรทำอะไร “ตอนนี้” เพื่อกันเกมฟิชชิ่งช่วงเทศกาล
การรับมือฟิชชิ่งให้ได้ผล ต้องทำทั้งมุมคนและมุมระบบ พร้อมกัน และต้องยอมรับความจริงข้อหนึ่งว่า “ยิ่งเทศกาลยาว ความเสี่ยงยิ่งยาว” ดังนั้นสิ่งที่ควรทำไม่ใช่แค่เตือนพนักงานหนึ่งรอบแล้วจบ แต่ต้องทำให้การป้องกันเกิดขึ้นได้แม้ในวันที่ทีมทำงานไม่ครบ
ในมุมการปฏิบัติ องค์กรควรทำให้การตรวจจับเร็วขึ้นและจำกัดความเสียหายให้แคบที่สุด เช่น การเสริมการกรองอีเมลและ URL ในเกตเวย์ การบล็อกโดเมน/URL ที่เกี่ยวข้องเมื่อได้รับข่าวกรองที่เชื่อถือได้ การบังคับใช้ MFA และลดโอกาสที่บัญชีผู้ใช้จะถูกนำไปใช้ต่อ รวมถึงการเตรียม playbook สำหรับเหตุการณ์ฟิชชิ่งโดยเฉพาะ เพื่อให้ทีมช่วยเหลือผู้ใช้ได้ทันทีเมื่อมีรายงานเข้ามา
ถ้าจะสรุปเป็นแนวทางให้เห็นภาพชัด โดยไม่ทำให้ยุ่งยากเกินไป สิ่งที่ควรให้ความสำคัญในช่วงนี้คือ “ลดการคลิกที่พาไปไกล” และ “ลดเวลาที่ผู้โจมตีอยู่ในระบบ” เพราะนั่นคือจุดที่ทำให้เหตุการณ์เล็กกลายเป็นเหตุการณ์ใหญ่
บทส่งท้าย: เทศกาลควรเป็นเวลาพัก ไม่ใช่เวลาวิกฤตไซเบอร์
แคมเปญของ Storm-0900 เป็นตัวอย่างที่ดีว่าผู้โจมตีเข้าใจพฤติกรรมคนในช่วงเทศกาลมากแค่ไหน และใช้เรื่องใกล้ตัวอย่าง “ใบสั่ง” หรือ “ผลตรวจแพทย์” มาบีบให้เหยื่อรีบคลิกได้อย่างแนบเนียน องค์กรที่ผ่านช่วงปลายปีได้อย่างปลอดภัยจึงไม่ใช่องค์กรที่ “ไม่เคยโดนโจมตี” แต่เป็นองค์กรที่ตรวจจับได้เร็ว ตอบสนองได้เป็นระบบ และทำให้ความเสียหายไม่ลุกลาม
ถ้ากำลังวางแผนรับมือช่วงเทศกาลปีนี้ ลองมอง SOC/ทีมเฝ้าระวังเป็นเหมือน “เวรยามของธุรกิจ” ที่ทำให้ทุกอย่างยังปลอดภัย แม้วันที่คนส่วนใหญ่กำลังพักผ่อนอยู่ก็ตาม
Reference
Red Hot Cyber. (2025, December 4). Storm-0900 phishing campaign spreads XWorm malware. Retrieved December 15, 2025, from https://www.redhotcyber.com/
Leave a Reply