ยิ่งกว่าไฟไหม้บ้าน! เมื่อ Laser ID อยู่ในมือมิจฉาชีพ

21 กุมภาพันธ์ 2569 - ผศ.ดร.นพดล กรรณิกา อาจารย์ประจำวิชา Cybersecurity วิทยาลัยเทคโนโลยีสยาม เผยแพร่ความเห็นเรื่อง ”ยิ่งกว่าไฟไหม้บ้าน เมื่อรหัสหลังบัตรประชาชน (Laser ID) อยู่ในมือมิจฉาชีพ“ มีเนื้อหาดังนี้

ในฐานะที่เป็นอาจารย์ประจำด้าน ความปลอดภัยทางไซเบอร์ วิทยาลัยเทคโนโลยีสยาม ศิษย์เก่า ความปลอดภัยทางไซเบอร์ (Cybersecurity and Policy) มหาวิทยาลัยจอร์จทาวน์ วอชิงตันดีซี สหรัฐอเมริกา และศิษย์เก่าด้านวิทยาศาสตร์ข้อมูลและระเบียบวิธี มหาวิทยาลัยมิชิแกน สหรัฐอเมริกา

ผมเขียนบทความนี้เพื่อเตือนภัยเชิงหลักการและเชิงระบบว่า หาก Laser ID หลุดไปอยู่ในมือมิจฉาชีพ ความเสียหายอาจรุนแรงและยืดเยื้อกว่าที่หลายคนคาดคิด ยิ่งกว่าไฟไหม้บ้าน

เพราะในยุคที่โลกกำลังเผชิญภัยไซเบอร์ขั้นสูงที่มาจากหลากหลายรูปแบบทั้งปัญญาประดิษฐ์ (Artificial Intelligence: AI) ดีพเฟก (Deepfake) แรนซัมแวร์ (Ransomware) และอาชญากรรมไซเบอร์แบบเป็นเครือข่าย (Organized Cybercrime) โดยที่ข้อมูลระบุตัวตนของประชาชนจะถูกยกระดับให้กลายเป็น “สินทรัพย์มูลค่าสูง” (High-Value Asset) ที่ผู้โจมตีมองหาโดยอัตโนมัติ ซึ่งเป็นหนึ่งในข้อมูลที่เกี่ยวข้องกับการยืนยันตัวตนของคนไทยคือ รหัสหลังบัตรประชาชน (Laser ID)

รหัสหลังบัตรประชาชน (Laser ID) คืออะไร

Laser ID คือรหัสตัวอักษรและตัวเลขที่ยิงเลเซอร์ไว้ด้านหลังบัตรประชาชนไทย ซึ่งมักถูกนำไปใช้ “ร่วมกับข้อมูลอื่น” เพื่อการยืนยันตัวตน เช่น

• ยืนยันตัวตนดิจิทัล (Digital identity verification)

• สมัครบริการออนไลน์ (Online onboarding)

• เปิดบัญชี/ทำธุรกรรมการเงิน (Financial services onboarding)

• ผูกกับกระบวนการ e-KYC (Electronic Know Your Customer)

ดังนั้น Laser ID จึงไม่ใช่ “ตัวเลขธรรมดา”แต่เป็นองค์ประกอบหนึ่งใน ห่วงโซ่การยืนยันตัวตน (Identity verification chain) และเกี่ยวข้องกับ โครงสร้างพื้นฐานตัวตนดิจิทัล (Digital Identity Infrastructure) 

Laser ID เชื่อมโยงกับภัยไซเบอร์โลกอย่างไรมีผลอะไรบ้างต่อตัวเราแต่ละคน

1) เมื่อ AI + ข้อมูลรั่ว = การปลอมตัวตนที่แนบเนียนขึ้น (AI + Identity Theft)

หาก Laser ID หลุดหรือถูกเก็บรักษาไม่ปลอดภัย และ “ไปอยู่ร่วมกับข้อมูลสำคัญอื่น” เช่น เลขบัตรประชาชน วันเกิด เบอร์โทร รูปถ่าย หรือข้อมูลชีวมิติ (Biometrics) ผู้โจมตีสามารถใช้ AI เพื่อยกระดับการโจมตีได้ เช่น

• ทำฟิชชิงแบบเจาะจง (Spear phishing)

• ปลอมเสียง/ปลอมใบหน้า (Voice cloning / Deepfake)

• หลอกผ่านขั้นตอนยืนยันตัวตน (e-KYC bypass / social engineering)

สิ่งนี้นำไปสู่ความเสี่ยงรูปแบบ “ตัวตนสังเคราะห์” (Synthetic Identity Fraud) และ การยึดบัญชี (Account takeover)

ผลกระทบโดยตรงที่ประชาชนอาจเจอ

• เปิดบัญชี “ในชื่อเรา” โดยเราไม่รู้ตัว (Mule account exposure)

• สมัครสินเชื่อ/บริการการเงินแทนเรา (Fraudulent loan/credit)

• ทำธุรกรรมผิดกฎหมายโดยโยงชื่อมาที่เรา (Impersonation liability)

2. Laser ID เป็น “องค์ประกอบสำคัญ” ของกลไกการควบคุมความเชื่อถือในยุคที่ระบบไม่เชื่อถือผู้ใช้งานใดโดยอัตโนมัติ และต้องยืนยันตัวตนก่อนทุกครั้ง (Zero Trust) โดยแนวคิด Zero Trust คือ การต้องตรวจสอบและยืนยันตัวตนอย่างต่อเนื่องตลอดเวลา

ดังนั้น เมื่อรหัสหลังบัตรประชาชนถูกเปิดเผยให้ผู้อื่น และเกิดการถูกขโมยหรือถูกนำไปใช้ผิดวัตถุประสงค์ ความเสี่ยงจะเพิ่มขึ้นอย่างมาก เพราะมิจฉาชีพสามารถปลอมตัวให้ดูเหมือนเป็นเจ้าของข้อมูลจริงได้ง่ายขึ้น โดยเฉพาะในกรณีที่ Laser ID ถูกใช้ร่วมกับ

• รหัส OTP

• การยืนยันตัวตนด้วยใบหน้า (Face recognition)

• บริการ Mobile Banking

• และข้อมูลส่วนบุคคลอื่น ๆ

หากมิจฉาชีพโจมตีแบบผสมผสาน เช่น การใช้ข้อมูลบัญชีที่รั่วไหลมาทดลองเข้าสู่ระบบ (Credential stuffing) ร่วมกับการหลอกลวงเพื่อให้เหยื่อเปิดเผยข้อมูล (Social engineering) ก็อาจทำให้มิจฉาชีพสามารถเข้ายึดและควบคุมตัวตนดิจิทัลของเหยื่อได้ (Identity takeover) ผลกระทบที่อาจเกิดขึ้นคือ

• มิจฉาชีพสามารถผ่านกระบวนการตรวจสอบบางขั้นตอนก่อน แล้วค่อย ๆ เข้ายึดบัญชีหรือสิทธิ์การใช้งานทีละลำดับ
• ผู้เสียหายต้องใช้เวลานานในการพิสูจน์ตัวตน แก้ไขข้อมูล และจัดการประวัติธุรกรรมที่ถูกมิจฉาชีพจัดการไปเรียบร้อยแล้ว

3) ความเสี่ยง “ห่วงโซ่อุปทาน” ต่อระบบยืนยันตัวตน (Supply Chain Attack)

ในโลกจริงของธุรกิจ เช่น การเงินการธนาคารหรือธุรกิจสุขภาพ โรงพยาบาล เครือข่ายมือถือ เป็นต้น ระบบพิสูจน์และยืนยันตัวตนลูกค้าทางดิจิทัล (e-KYC) และการตรวจสอบตัวตนมักพึ่งพาผู้ให้บริการภายนอก (Vendor / Third-party identity verification) หากผู้ให้บริการรายใดรายหนึ่งถูกเจาะ ข้อมูลจำนวนมากอาจรั่ว “ครั้งเดียวเป็นวงกว้าง” (Mass leakage) นี่คือความเสี่ยงระดับ การรั่วไหลขนาดใหญ่ (Large-scale / National-scale data breach) ซึ่งกระทบทั้งประชาชนและความเชื่อมั่นต่อบริการรัฐ/การเงินพร้อมกัน ตัวอย่างธนาคารต่างประเทศ (เทียบเคียงความเสี่ยงแบบ Laser ID) กรณีของธนาคาร Capital One (สหรัฐอเมริกา) เคยเกิดเหตุข้อมูลลูกค้ารั่วไหลครั้งใหญ่ในปี 2019 จากช่องโหว่ของระบบโครงสร้างพื้นฐานที่เชื่อมกับผู้ให้บริการภายนอก ข้อมูลที่ได้รับผลกระทบ

• ชื่อ–นามสกุล

• วันเกิด

• หมายเลขประจำตัว เช่น Social Security Number (SSN) เทียบเคียงคนไทยคือ Laser ID

• ข้อมูลสมัครสินเชื่อ

ซึ่ง “SSN” ทำหน้าที่คล้าย Laser ID + เลขบัตรประชาชน ในบริบทไทย คือเป็นข้อมูลสำคัญที่ใช้ยืนยันตัวตนได้

ในตัวอย่างนี้ แม้ธนาคารจะไม่ได้ถูกเจาะโดยตรง แต่เมื่อระบบที่เชื่อมต่อกับผู้ให้บริการภายนอกมีช่องโหว่ข้อมูลยืนยันตัวตนของประชาชนจำนวนมากสามารถรั่วได้ในครั้งเดียว นี่คือภาพชัดของความเสี่ยง Supply Chain Attack ต่อระบบยืนยันตัวตน และธนาคารต้องชดใช้ค่าเสียหายหลายพันล้านบาท แต่เมืองไทยยังไม่มีมาตรการชดใช้ค่าเสียหายแบบนี้ให้กับประชาชน

4) กลลวงขั้นสูงของ มิจฉาชีพ ที่คนทั่วไปแยกยาก(Deepfake-as-a-Service)

ยุคนี้มีบริการ “ปลอมเสียง/ปลอมหน้า” แบบสำเร็จรูป (Deepfake-as-a-Service) ถ้าผู้โจมตีมีทั้ง

ภาพจากโซเชียล + เสียงจากคลิป + ข้อมูลยืนยันตัวตนบางส่วน (เช่น Laser ID) จะสร้างเหตุหลอกลวงที่แนบเนียนขึ้นมาก เช่น

• โทรสั่งโอนเงินในนามผู้บริหาร/ญาติ

• ปลอมตัวติดต่อหน่วยงาน/ธนาคาร

• หลอกให้เปิดเผยข้อมูลเพิ่มจน “ครบชุด”

5) อาชญากรรมไซเบอร์เป็นระบบนิเวศธุรกิจ(Cybercrime-as-a-Service, Caas) ตลาดมืด (Dark web) มี “แพ็กเกจข้อมูลตัวตน” และเครื่องมือโจมตีให้เช่า หาก Laser ID กลายเป็นข้อมูลที่ถูกนำไปซื้อขายหรือใช้งานผิดวัตถุประสงค์ ความเสี่ยงจะขยายจาก “ประชาชนผู้บริสุทธิ์” ตก “เป็นเหยื่อ” ทำให้ “เป็นเครือข่ายมิจฉาชีพ” เช่น

• เครือข่ายบัญชีม้า

• ฟอกเงิน

• หลบเลี่ยงการตรวจสอบ (Evasion)

อาชญากรรมไซเบอร์แบบเป็นบริการ (Cybercrime-as-a-Service หรือ CaaS)หมายถึงรูปแบบที่การก่ออาชญากรรมไซเบอร์ถูกจัดเป็น“ธุรกิจให้เช่าหรือให้บริการ”เหมือนบริการออนไลน์ทั่วไป กล่าวง่าย ๆ คือ
ผู้ที่ไม่มีทักษะด้านแฮ็กก็สามารถ “ซื้อหรือเช่าเครื่องมือโจมตี” ได้

6) มุมความมั่นคง คือ ข้อมูลตัวตนถูกใช้เพื่อ “ทำแผนที่สังคม” และ “โจมตีแบบเจาะจง” (National Security Impact) หากข้อมูลยืนยันตัวตนถูกเจาะหรือถูกใช้ผิดทาง ผลกระทบไม่ได้หยุดที่การเงิน แต่รวมถึง

• การทำโปรไฟล์ประชาชน/กลุ่มเป้าหมาย (Profiling)

• การติดตามบุคคลสำคัญ/เจ้าหน้าที่รัฐ (Targeting officials)

• การจารกรรมและบ่อนทำลายความเชื่อมั่น (Espionage / influence)

และท้ายที่สุดกระทบต่อ อธิปไตยข้อมูล (Data Sovereignty) และความเชื่อถือในระบบรัฐ

ข้อเสนอเร่งด่วนสำหรับประชาชน คือ อาศัยกฎหมายคุ้มครองข้อมูลส่วนบุคคล PDPA ให้รีบติดต่อขอให้องค์กรใด ๆ หรือ ตามข่าวที่มีพรรคการเมืองได้รหัสหลังบัตรประชาชน (Laser ID) ของท่านไปนั้น ให้องค์กรหรือพรรคการเมืองเหล่านั้น ลบข้อมูลรหัสหลังบัตรประชาชนหรือทำลายทิ้งเสีย และแจ้งความลงบันทึกประจำวันเอาไว้ว่าครั้งหนึ่งเคยให้รหัสหลังบัตรประชาชน (Laser ID) ไว้กับที่ใดไว้เป็นหลักฐาน

ข้อเสนอสำหรับหน่วยงานความมั่นคงของรัฐ คือ การประกันความเสี่ยงด้านการเข้ารหัสในอนาคต (Quantum Computing & Post-Quantum Cryptography) หากระบบที่ป้องกันฐานข้อมูลสำคัญยังพึ่งพามาตรฐานเข้ารหัสเดิมบางประเภท (เช่น RSA/ECC) ในอนาคตอาจมีความเสี่ยงเพิ่มขึ้นเมื่อเทคโนโลยีก้าวหน้า จึงควรเริ่มวางแผน Post-Quantum Cryptography (PQC) ในระดับยุทธศาสตร์ และนำไปสู่การส่งเสริมผู้เชี่ยวชาญภาคเอกชนคนไทยที่มีการลงทุนขนาดใหญ่ด้านศูนย์ข้อมูล (Data Center) ร่วมภาครัฐและเอกชนของคนไทย เพื่อลดความเสี่ยงภัยไซเบอร์จากการโจมตีของต่างชาติและรักษาความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ

กล่าวโดยสรุป “ความเสี่ยงต่อคนไทย” หากการคุ้มครอง Laser ID ไม่รัดกุม หรือ ตกอยู่ในมือมิจฉาชีพ คือ

1. ถูกสวมชื่อเปิดบัญชี/บัญชีม้าโดยไม่รู้ตัว

2. ถูกสวมชื่อสมัครสินเชื่อ/บริการการเงิน

3. ถูกใช้เป็นส่วนหนึ่งของการฟอกเงิน/อาชญากรรม

4. ถูกหลอกด้วยปลอมหน้า ปลอมเสียง(Deepfake) ในครอบครัว/ที่ทำงาน

5. ถูกปลอมตัวทำธุรกรรม/ขอสิทธิประโยชน์รัฐ

6. สูญเสียเครดิตและเสียเวลาพิสูจน์ตัวตนเป็นเดือน/ปี

7. “อันตรายสุด” คือเหยื่อจำนวนมาก ไม่รู้ว่าตัวตนถูกใช้ไปแล้ว (Silent identity abuse)

ในยุค AI นี้ “ข้อมูลยืนยันตัวตน” ไม่ใช่ข้อมูลธรรมดาอีกต่อไป มันคือ กุญแจดิจิทัลของชีวิต (Digital key to your life) ถ้ากุญแจหลุดรั่วไป ความเสียหายอาจเกิดขึ้นได้โดยที่เจ้าของ “ยังไม่รู้ตัว” มันรุนแรงและทุกข์ยิ่งกว่าไฟไหม้บ้านหลายเท่าตัว.