🚨 "กับดักห้องประชุมล่องหน" เมื่อ Zoom & Google Meet กลายเป็นอาวุธสอดแนม (พร้อมแผนรับมือฉบับสมบูรณ์)

รายงานจากนักวิจัย Malwarebytes ล่าสุดได้ตีแผ่แคมเปญฟิชชิ่งที่แนบเนียนที่สุดในปีนี้ โดยการเปลี่ยน "หน้าจอรอประชุม" ให้กลายเป็น "ประตูหลัง" เพื่อแอบดูหน้าจอและขโมยข้อมูลของคุณตลอด 24 ชั่วโมง

🎭 1. กลยุทธ์ "จิตวิทยาหมู่" (The Attack Strategy)
แฮกเกอร์ไม่ได้ใช้แค่โปรแกรม แต่ใช้ "ละครฉากใหญ่" เพื่อหลอกคุณ:
    •    สร้างความรีบเร่ง: ลิงก์ฟิชชิ่งจะพาคุณไปหน้า "Waiting Room" ปลอมที่มีเสียงคนกดเข้าประชุม (Audio Cues) เพื่อให้คุณรู้สึกว่า "ทุกคนรอฉันอยู่"
    •    สร้างปัญหาหลอกๆ: หน้าจอจะค้างและแจ้งว่า "Browser ของคุณไม่รองรับระบบเสียง" หรือ "ต้องอัปเดตตัวเชื่อมต่อ" * ปุ่มอันตราย: มีปุ่มสีฟ้าสดใสให้กด "Download Fix/Update" ซึ่งเมื่อกดแล้ว คุณจะได้ไฟล์นามสกุล .exe ที่ดูเหมือนของจริงเป๊ะมาติดตั้งในเครื่อง

🕵️ 2. ความน่ากลัวของ "สปายล่องหน" (The Payload)
สิ่งที่น่ากลัวที่สุดคือไฟล์นั้นไม่ใช่ไวรัสทำลายเครื่อง แต่เป็น "Employee Monitoring Tool" (เครื่องมือส่องพนักงาน) ที่ถูกนำมาใช้ผิดวัตถุประสงค์:
    •    แอบดูสด: คนร้ายเห็นหน้าจอคุณเหมือนนั่งอยู่ข้างๆ (Live Screen Stream)
    •    ดักทุกคำ: บันทึกทุกอย่างที่คุณพิมพ์ (Keylogging) รวมถึงรหัสผ่านธนาคารและแชทส่วนตัว
    •    พรางตัวขั้นเทพ: มันจะแฝงตัวในชื่อบริการระบบชื่อ tsvchst (เลียนแบบไฟล์ Windows จริงชื่อ svchost) และ pmon (Process Monitor) ซึ่งหากคุณสั่งปิด มันจะ "ฟื้นคืนชีพ" เองทันทีในไม่กี่วินาที

🔍 3. วิธีตรวจสอบ: "โดนหรือยัง?" (How to Detect)
หากคุณเคยเผลอกดโหลดไฟล์จากการประชุมออนไลน์ ให้เช็ก 3 จุดนี้ด่วน:
    1.    Task Manager: กด Ctrl+Shift+Esc ดูที่แท็บ Details หากเจอชื่อ tsvchst.exe หรือ pmon.exe ให้สงสัยไว้ก่อนเลย (ไฟล์จริงของ Windows จะไม่มีตัว 't' นำหน้า)
    2.    Services: กด Windows + R พิมพ์ services.msc แล้วหาชื่อบริการชื่อเดียวกันนี้ หากพบสถานะ Running แสดงว่าติดแล้ว
    3.    Startup Apps: เช็กโปรแกรมที่เริ่มพร้อมเครื่อง หากเจอรายการที่ไม่มีชื่อผู้ผลิต (Unknown Publisher) ให้รีบตรวจสอบเส้นทางไฟล์ (File Location)
                                                
🛡️ 4. แนวทางป้องกัน: "เกราะ 3 ชั้น" (Prevention Guide)
    •    ชั้นที่ 1 (User): จำกฎเหล็ก "No EXE on Browser"—Zoom และ Google Meet จะอัปเดตผ่านตัวแอปฯ หรือ Store เท่านั้น จะไม่มีการให้โหลดไฟล์ .exe แยกต่างหากจากหน้าเว็บรอสายเด็ดขาด!
    •    ชั้นที่ 2 (Technical): สำหรับไอทีบริษัท ให้ใช้ระบบ Endpoint Privilege Management (EPM) เพื่อจำกัดไม่ให้พนักงานรันไฟล์ .exe แปลกปลอมได้เองโดยไม่มีรหัสผ่าน Admin
    •    ชั้นที่ 3 (Cleanup): หากพบว่าติดมัลแวร์ ให้ใช้คำสั่งระบบสั่งหยุดและลบทิ้ง (เช่น sc stop และ sc delete) จากนั้นให้ "เปลี่ยนรหัสผ่านทุกอย่างจากเครื่องอื่นที่สะอาด" ทันที เพราะรหัสเดิมอาจถูกส่งไปให้คนร้ายแล้ว

💡 บทสรุปจากกองบรรณาธิการ
ภัยคุกคามในปี 2026 ไม่ได้มาในรูปของไฟล์ที่น่ากลัว แต่มาในรูปของ "บริการที่ดูช่วยเหลือ" การมีสติและไม่ดาวน์โหลดไฟล์ติดตั้งใดๆ จากหน้าเบราว์เซอร์คือวิธีป้องกันที่ดีที่สุดครับ!

อ้างอิง : Hackread - Zoom & Google Meet Phishing Monitoring Tool