ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบรายงานการโจมตีแบบ Phishing ที่ใช้ Google AppSheet เป็นช่องทางส่งอีเมลหลอกลวง โดยมุ่งเป้าขโมยบัญชี Facebook Business และบัญชี Facebook ของผู้ใช้งาน มีรายงานว่าบัญชีถูกขโมยประมาณ 30,000 บัญชี และข้อมูลที่ได้ถูกส่งต่อไปยัง Telegram อาจถูกนำไปขายต่อในช่องทางผิดกฎหมาย [1]
1. รายละเอียดภัยคุกคาม [2]
การโจมตีดังกล่าวมีชื่อว่า AccountDumpling โดยผู้โจมตีใช้ Google AppSheet เป็น “ตัวกลางส่งอีเมลหลอกลวง” ทำให้อีเมลถูกส่งจากที่อยู่ noreply@appsheet.com และ appsheet.bounces.google.com ซึ่งเป็นอีเมลที่ส่งผ่านบริการของ Google AppSheet และอาจผ่านการตรวจสอบ SPF, DKIM และ DMARC ได้ จึงทำให้ผู้ใช้งานหรือระบบกรองอีเมลเห็นว่าเป็นอีเมลที่น่าเชื่อถือ โดยอีเมลที่ใช้หลอกลวงจะแอบอ้างเป็น Meta Support หรือบริการที่เกี่ยวข้องกับ Facebook โดยใช้ข้อความเร่งด่วน เช่น บัญชีจะถูกปิดถาวร การละเมิดนโยบาย การร้องเรียนลิขสิทธิ์ การตรวจสอบยืนยันตัวตน หรือการขอรับเครื่องหมายยืนยัน เพื่อหลอกให้ผู้ใช้งานกดลิงก์และกรอกข้อมูลในเว็บไซต์ปลอม
รายงานระบุว่าการโจมตีถูกพบตลอดเดือนเมษายน 2026 โดยเริ่มจากการมุ่งเป้าผู้ใช้งาน Facebook Business ก่อนจะพบว่าเป็นการโจมตีหลายชั้นที่ใช้หลายแพลตฟอร์มร่วมกัน เช่น Netlify, Vercel, Google Drive และ Telegram เพื่อหลอกขโมยข้อมูล ส่งต่อข้อมูล และนำบัญชีที่ขโมยได้ไปใช้ประโยชน์ต่อ
2. รูปแบบการโจมตี
2.1 ผู้โจมตีส่งอีเมลหลอกลวงผ่าน Google AppSheet โดยแอบอ้างเป็น Meta หรือ Facebook Support และใช้ข้อความเร่งด่วน เช่น บัญชีจะถูกปิดถาวร การละเมิดนโยบาย การร้องเรียนลิขสิทธิ์ หรือการตรวจสอบยืนยันตัวตน
2.2 ผู้ใช้งานถูกพาไปยังหน้าเว็บไซต์ปลอม เช่น หน้า Facebook Help Center, Security Check หรือ Privacy Center เพื่อหลอกให้กรอกข้อมูลบัญชี รหัสผ่าน รหัสยืนยัน 2FA ข้อมูลธุรกิจ หรือเอกสารยืนยันตัวตน
2.3 มีการใช้หน้าเว็บไซต์ปลอมบน Netlify โดยบางกรณีสร้าง subdomain เฉพาะผู้ใช้งานแต่ละราย เพื่อหลบเลี่ยงการบล็อกหรือการตรวจจับจากระบบรักษาความปลอดภัย
2.4 มีการใช้หน้าเว็บไซต์ปลอมบน Vercel พร้อมวิธีหลอกลวง เช่น เสนอเครื่องหมายยืนยันตัวตน หรือสิทธิประโยชน์ด้านโฆษณา เพื่อหลอกให้ผู้ใช้งานกรอกข้อมูลบัญชีและรหัสยืนยันแบบสองขั้นตอน
2.5 บางกรณีใช้ไฟล์ PDF ที่โฮสต์บน Google Drive เป็นเหยื่อล่อ โดยฝังลิงก์ไปยังหน้า Phishing ที่สามารถโต้ตอบกับผู้ใช้งานแบบเรียลไทม์ผ่าน WebSockets เพื่อปรับวิธีหลอกลวงตามพฤติกรรมของผู้ใช้งาน
3. ผลกระทบที่อาจเกิดขึ้น
3.1 บัญชี Facebook หรือ Facebook Business อาจถูกยึดโดยไม่ได้รับอนุญาต
3.2 เพจหรือบัญชีโฆษณาอาจถูกนำไปใช้เผยแพร่โฆษณาหลอกลวงหรือเนื้อหาอันตราย
3.3 ข้อมูลส่วนบุคคล ข้อมูลธุรกิจ รูปบัตรประจำตัว หรือรหัสยืนยัน 2FA อาจรั่วไหล
3.4 ผู้โจมตีอาจนำบัญชีที่ถูกขโมยไปขายต่อ หรือเรียกเงินเพื่อให้เจ้าของบัญชีซื้อบัญชีคืน
3.5 องค์กรอาจได้รับผลกระทบด้านชื่อเสียง หากบัญชีธุรกิจถูกนำไปใช้หลอกลวงผู้อื่น
4. แนวทางการตรวจสอบและป้องกัน
4.1 ตรวจสอบอีเมลที่อ้างว่าเป็น Meta หรือ Facebook Support อย่างระมัดระวัง โดยเฉพาะอีเมลที่แจ้งให้รีบกดลิงก์หรือกรอกข้อมูล
4.2 ไม่กรอกรหัสผ่าน รหัสยืนยัน 2FA หรือข้อมูลสำคัญผ่านลิงก์ที่มากับอีเมล
4.3 เข้าตรวจสอบสถานะบัญชีผ่านเว็บไซต์หรือแอป Facebook โดยตรง ไม่ควรเข้าผ่านลิงก์ในอีเมล
4.4 เปิดใช้งานการยืนยันตัวตนหลายปัจจัย หรือ Multi-Factor Authentication (MFA) สำหรับบัญชี Facebook และบัญชีผู้ดูแลเพจ
4.5 ตรวจสอบผู้ดูแลเพจ บัญชีโฆษณา และ Business Manager ว่ามีบัญชีแปลกปลอมหรือการเปลี่ยนแปลงที่ผิดปกติหรือไม่
4.6 ตรวจสอบประวัติการเข้าสู่ระบบ อุปกรณ์ที่เชื่อมต่อ และลบ session ที่ไม่ทราบที่มาออกทันที
5. มาตรการลดความเสี่ยงหากสงสัยว่าถูกโจมตี
5.1 เปลี่ยนรหัสผ่านบัญชี Facebook และอีเมลที่ใช้ผูกบัญชีทันที
5.2 ตรวจสอบและยกเลิกการเชื่อมต่อแอปหรืออุปกรณ์ที่ไม่ทราบที่มา
5.3 ตรวจสอบการตั้งค่า MFA และเปลี่ยน recovery code หากสงสัยว่ารั่วไหล
5.4 ตรวจสอบผู้ดูแลเพจและ Business Manager พร้อมลบบัญชีที่ไม่ได้รับอนุญาต
5.5 แจ้งเตือนบุคลากรในองค์กร โดยเฉพาะผู้ดูแลเพจ บัญชีโฆษณา และผู้ดูแล Facebook Business ให้ระมัดระวังอีเมลลักษณะดังกล่าว
แหล่งอ้างอิง