จากข่าว เมลปลอม(จากโดเมนจริง) หลอกลงทุน
https://prachatai.com/journal/2025/11/115462
รมว.ดีอี แจงมิจฉาชีพส่ง e-mail อ้าง 4 หน่วยงาน ใช้โดเมนจริง แฮก taximail ไม่ใช่แฮกระบบ 4 หน่วยงาน
เรามีความเข้าใจแบบนี้
0. แฮ็คเข้า taximail ไม่ได้ แฮ็คเข้าระบบใด ๆ ของบริษัท
1. ทั้งสี่บริษัท ใช้ระบบของ taximail ในการส่ง mail
2. ระบบ taximail จะมีสิทธิ์ในการส่งเมลโดยใช้โดเมลของบริษัททั้งสี่ดังกล่าว (อันนี้ไม่แปลก มีหลายระบบให้ส่ง on behalf แบบี้)
3. มีระบบ 2FA ใช้ OTP ป้องกันแล้ว บริษัทไม่ได้หละหลวม
3. แต่ taximail ให้อายุ OTP 24 ชั่วโมง (ระบบอื่นเขาให้กันระดับนาที)
4. hacker มันก็ bruce force OTP กันอย่างเมามันจนเข้าได้ (ระบบที่ดีมันต้องเปิด shield เวลาเจอการบุกรุก)
5. เมื่อเข้าไปได้ ความเสียหายก็เป็นในข่าว
6. ระบบ taximail = Thai+Singapore เน้นให้บริการระดับ AP ไม่ถึงกับ world
7. 2FA คือ 1. password + 2. OTP
แสดงว่า hacker รู้พาสเวิร์ด ที่พนักงานบริษัททั้งสี่ ตั้งค่าไว้ หรือ bruce-force password ได้ด้วย
ภาพประกอบจากเนื้อข่าว เพื่อสนับสนุนความคิดในข้อ 3
ทางรัฐมนตรี จะเสนอ ครม.ให้ควบคุมหรือห้ามส่งลิงค์ทางอีเมล (ของหน่วยงานในกำกับ ทั้งหมด!)
ปวดตับ ชีวิตเริ่มอยู่ยากขึ้นเรื่อย ๆ ทั้งที่มันไม่ได้เป็นความผิดของบริษัทหรือเหยื่อ
สรุปข่าว ทางเทคนิคของการส่งเมลปลอมด้วยโดเมนของ 4 บริษัทใหญ่
https://prachatai.com/journal/2025/11/115462
รมว.ดีอี แจงมิจฉาชีพส่ง e-mail อ้าง 4 หน่วยงาน ใช้โดเมนจริง แฮก taximail ไม่ใช่แฮกระบบ 4 หน่วยงาน
เรามีความเข้าใจแบบนี้
0. แฮ็คเข้า taximail ไม่ได้ แฮ็คเข้าระบบใด ๆ ของบริษัท
1. ทั้งสี่บริษัท ใช้ระบบของ taximail ในการส่ง mail
2. ระบบ taximail จะมีสิทธิ์ในการส่งเมลโดยใช้โดเมลของบริษัททั้งสี่ดังกล่าว (อันนี้ไม่แปลก มีหลายระบบให้ส่ง on behalf แบบี้)
3. มีระบบ 2FA ใช้ OTP ป้องกันแล้ว บริษัทไม่ได้หละหลวม
3. แต่ taximail ให้อายุ OTP 24 ชั่วโมง (ระบบอื่นเขาให้กันระดับนาที)
4. hacker มันก็ bruce force OTP กันอย่างเมามันจนเข้าได้ (ระบบที่ดีมันต้องเปิด shield เวลาเจอการบุกรุก)
5. เมื่อเข้าไปได้ ความเสียหายก็เป็นในข่าว
6. ระบบ taximail = Thai+Singapore เน้นให้บริการระดับ AP ไม่ถึงกับ world
7. 2FA คือ 1. password + 2. OTP
แสดงว่า hacker รู้พาสเวิร์ด ที่พนักงานบริษัททั้งสี่ ตั้งค่าไว้ หรือ bruce-force password ได้ด้วย
ภาพประกอบจากเนื้อข่าว เพื่อสนับสนุนความคิดในข้อ 3
ทางรัฐมนตรี จะเสนอ ครม.ให้ควบคุมหรือห้ามส่งลิงค์ทางอีเมล (ของหน่วยงานในกำกับ ทั้งหมด!)
ปวดตับ ชีวิตเริ่มอยู่ยากขึ้นเรื่อย ๆ ทั้งที่มันไม่ได้เป็นความผิดของบริษัทหรือเหยื่อ