1 คะแนน โดย GN⁺ 2023-12-10 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ช่องโหว่ในกระบวนการรับคำขอจากหน่วยงานบังคับใช้กฎหมายของผู้ให้บริการเครือข่าย ทำให้ Verizon Wireless ส่งมอบที่อยู่และประวัติการโทรของเหยื่อให้กับผู้ที่ปลอมตัวเป็นตำรวจ
  • Robert Michael Glauner ขอข้อมูลของเหยื่อด้วยที่อยู่ Proton Mailและหมายค้นปลอม โดย Verizon ไม่สามารถคัดกรองคำขอที่ไม่ได้มาจากโดเมนของสถานีตำรวจหรือหน่วยงานรัฐได้
  • เอกสารปลอมมีชื่อ “Detective Steven Cooper” แห่งสถานีตำรวจ Cary ที่ไม่มีอยู่จริง และลายเซ็นปลอมของผู้พิพากษาตัวจริง อีกทั้งยังไม่มีแบบฟอร์ม AOC-CR-119 ซึ่งเป็นข้อบังคับของหมายค้นในรัฐ North Carolina
  • หลังจาก Verizon ให้ข้อมูลเมื่อวันที่ 5 ตุลาคม 2023 แล้ว Glauner ได้ติดต่อครอบครัวและที่ทำงานของเหยื่อซ้ำ ๆ และส่งข้อความข่มขู่ถึงเหยื่อ
  • เมื่อข้อมูลสมาชิกที่ละเอียดอ่อนรั่วไหลจากคำขอปลอมเพียงครั้งเดียว การสตอล์กออนไลน์ก็อาจลุกลามเป็นภัยคุกคามทางกายภาพได้

ข้อมูลสมาชิก Verizon รั่วไหลจากคำขอปลอมของเจ้าหน้าที่บังคับใช้กฎหมาย

  • Verizon Wireless ส่งมอบที่อยู่และประวัติการโทรของเหยื่อผู้หญิงให้กับ Robert Michael Glauner ที่ปลอมตัวเป็นตำรวจ
  • ต่อมา Glauner ถูกจับใกล้ที่พักของเหยื่อ และในตอนนั้นพกมีดอยู่ด้วย
  • พบว่าเขาเดินทางจาก New Mexico ไปยัง Raleigh, North Carolina หลังจากรู้ที่อยู่ของเหยื่อ
  • ก่อนจะมาถึง เขาส่งข้อความข่มขู่ถึงเหยื่อว่า “if I can’t have you no one can” และยังถูกกล่าวหาว่าขู่ว่าจะส่งภาพเปลือยของเหยื่อให้ครอบครัว
  • Glauner ถูกตั้งข้อหาในศาลแขวงสหรัฐประจำเขตตะวันออกของ North Carolina ในคดีสตอล์กและฉ้อโกงที่ “เกี่ยวข้องกับการได้มาซึ่งบันทึกการโทรที่เป็นความลับ”
  • ก่อนหน้านี้ 404 Media เคยรายงานเหตุการณ์นี้

การติดต่อที่ต่อเนื่องหลังยุติความสัมพันธ์ออนไลน์

  • Glauner และเหยื่อพบกันราวเดือนสิงหาคมหรือกันยายน 2023 บน xhamster.com เว็บไซต์ลามกที่มีฟีเจอร์หาคู่ และมีความสัมพันธ์เชิงรักใคร่ออนไลน์
  • หลังจากเหยื่อยุติความสัมพันธ์ Glauner ยังคงติดต่อหรือพยายามติดต่ออย่างต่อเนื่อง
  • คำขอที่ส่งถึง Verizon ถูกส่งไปยัง vsat.cct@one.verizon.com ซึ่งเป็นอีเมลของ Verizon Security Assistance Team (VSAT)
  • VSAT เป็นหน่วยงานที่จัดการคำขอทางกฎหมาย โดยเว็บไซต์ของ Verizon ระบุว่าบริษัทจะจัดการคำสั่งศาล หมายค้น หมายเรียก และคำขอทางกฎหมายอื่น ๆ อย่างเป็นความลับและเป็นไปตามกฎหมายที่เกี่ยวข้อง
  • หน้าเดียวกันยังระบุว่า VSAT รับเฉพาะคำขอทางกฎหมายที่มีผลใช้บังคับสำหรับการขอบันทึกข้อมูล

ตำรวจปลอมและหมายค้นปลอม

  • วันที่ 26 กันยายน 2023 มีอีเมลถูกส่งถึง Verizon จาก steven1966c@proton.me
    • ในอีเมลระบุว่าแนบไฟล์ PDF หมายค้นมาด้วย และเขียนว่าจำเป็นต้องใช้ข้อมูลโทรศัพท์มือถือ “เพื่อค้นหาและจับกุมผู้ต้องสงสัย”
    • ยังขอชื่อเต็มของสมาชิก Verizon ของเหยื่อ และหมายเลขโทรศัพท์ใหม่ที่เพิ่งถูกกำหนดให้
  • เอกสารแนบมีหนังสือรับรองปลอมที่ทำให้ดูเหมือนจัดทำโดย “Detective Steven Cooper” แห่งสถานีตำรวจ Cary, North Carolina
    • สถานีตำรวจ Cary ยืนยันว่าไม่มีเจ้าหน้าที่ชื่อ Steven Cooper สังกัดอยู่
  • ในวันเดียวกัน VSAT ได้รับสายจากชายคนหนึ่งที่อ้างว่าตัวเองคือ Cooper
    • เขาบอกว่าต้องการข้อมูลเกี่ยวกับผู้ต้องสงสัยในคดีฆาตกรรม
    • และยังบอกด้วยว่าบุคคลที่เกี่ยวข้องได้เปลี่ยนหมายเลขโทรศัพท์แล้ว
  • หนังสือรับรองปลอมดังกล่าวขอหมายเลขโทรศัพท์ใหม่ ประวัติการโทรเข้า-ออก ข้อมูลตำแหน่ง และข้อความเข้า-ออก
  • เอกสารยังแสดงให้เห็นเหมือนกับว่า Superior Court Judge Gale Adams เป็นผู้อนุมัติหมายค้น
    • Adams เป็นผู้พิพากษาตัวจริง แต่ยืนยันว่าลายเซ็นในเอกสารไม่ใช่ของตน
    • “หมายค้น” ฉบับนี้ยังไม่มีแบบฟอร์ม AOC-CR-119 ซึ่งจำเป็นสำหรับหมายค้นของรัฐ North Carolina

ข้อมูลที่ Verizon ส่งมอบและคำขอเพิ่มเติมที่ตามมา

  • หลังจากตรวจสอบอีเมลและเอกสารที่ “Cooper” ส่งมา Verizon ก็ส่งมอบบันทึกโทรศัพท์ของเหยื่อเมื่อวันที่ 5 ตุลาคม 2023
    • บันทึกที่ส่งมอบมีทั้งที่อยู่และประวัติการโทร
  • Verizon ไม่ได้ตอบคำถามเกี่ยวกับกรณีนี้ในทันที และโฆษกของ Verizon บอกกับ 404 Media ว่าบริษัทกำลังให้ความร่วมมือกับหน่วยงานบังคับใช้กฎหมาย
  • วันที่ 9 ตุลาคม VSAT ได้รับสายจาก “Officer Cooper” อีกครั้ง
    • ผู้โทรถามวิธีอ่านข้อมูล
    • จากเนื้อหาการสนทนาที่ถูกบันทึกไว้ ยืนยันได้ว่า Glauner ได้รับบันทึกจาก Verizon Wireless แล้ว
    • ผู้โทรยังบอกว่าสมาชิกได้เปลี่ยนหมายเลขโทรศัพท์และตัวเขาได้หมายเลขใหม่มาแล้ว
  • ขณะนั้นยังมีความเป็นไปได้ว่า Glauner อาจยังไม่ได้หมายเลขใหม่จริง ๆ
    • หลังจากนั้น VSAT ยังคงได้รับอีเมลขอหมายเลขของเหยื่อและข้อมูลอื่น ๆ ต่อเนื่อง
    • “หมายค้น” ปลอมอีกฉบับยังขอพิกัด GPS ของหมายเลขดังกล่าวและรูปภาพทั้งหมดที่รับส่งผ่านเครื่อง

การติดต่อขยายไปถึงครอบครัวและที่ทำงานของเหยื่อ

  • วันที่ 13 ตุลาคม 2023 แม่ของเหยื่อได้รับข้อความเสียงว่า Glauner กำลังพยายามติดต่อเหยื่อ
  • ตั้งแต่วันที่ 13 ถึง 22 ตุลาคม แม่ของเหยื่อได้รับข้อความเสียงจาก Glauner ต่อเนื่อง10 ข้อความ
    • เนื้อหาของข้อความระบุว่าเขาจะไม่หยุดจนกว่าจะได้ติดต่อกับเหยื่อ
  • วันที่ 16 ตุลาคม พ่อของเหยื่อได้รับข้อความที่มีภาพของเหยื่อและข้อความว่า “Do you know this girl?”
  • พบว่า Glauner ยังโทรไปยังสถานประกอบการใน Raleigh ที่เหยื่อทำงานอยู่ซ้ำ ๆ ด้วย
  • วันที่ 15 ตุลาคม มีการแจ้งเหตุฉุกเฉินขอตรวจสวัสดิภาพไปยังสถานที่ที่ดูเหมือนเป็นที่อยู่ของเหยื่อ และตำรวจที่ไปถึงจุดเกิดเหตุเห็นว่าเป็นการแจ้งเหตุเท็จ
  • วันที่ 23 ตุลาคม ตำรวจได้หมายค้นสำหรับบัญชี Google ที่เชื่อมโยงกับหมายเลขโทรศัพท์ที่ “Officer Cooper” ใช้ติดต่อ Verizon
  • ตำรวจยังยืนยันว่า Glauner เป็นผู้ต้องหาที่สำนักงานนายอำเภอ San Diego กำลังตามจับในคดีสตอล์กอดีตแฟนสาว
    • รายงานตำรวจในคดี California ระบุว่าเหยื่อ “เปลี่ยนหมายเลขโทรศัพท์มาแล้ว 4 ครั้งในช่วง 4 เดือนที่ผ่านมา แต่ไม่ว่าอย่างไร Glauner ก็ยังหาหมายเลขเจออยู่เสมอ”

ถูกจับทันทีหลังเดินทางถึง North Carolina

  • วันที่ 26 ตุลาคม เหยื่อใน North Carolina จัดหา Tracphone มาใช้เพื่อลดจำนวนสายโทรเข้าหาเพื่อน ครอบครัว และนายจ้าง แล้วบอกหมายเลขนั้นกับ Glauner
  • วันที่ 5 พฤศจิกายน เหยื่อแจ้งว่าได้รับข้อมูลว่า Glauner กำลังมุ่งหน้ามายัง North Carolina
    • ข้อความยาวดังกล่าวมีเนื้อหาเกี่ยวกับการจะหาปืนและกระสุน พร้อมคำขู่ว่า “if I can’t have you no one can”
  • ด้วยความกังวลต่อชีวิตและความปลอดภัย เหยื่อจึงส่งข้อมูลตำแหน่งของ Glauner ที่กำลังเดินทางจาก New Mexico ไปยัง Raleigh ให้หน่วยงานบังคับใช้กฎหมาย
  • วันที่ 6 พฤศจิกายน ตำรวจได้ขอหมายจับ Glauner
    • ข้อหาประกอบด้วยกรรโชกทรัพย์จากการขู่ว่าจะเผยแพร่ภาพเปลือยของเหยื่อให้ครอบครัว สตอล์ก ไซเบอร์สตอล์ก และสื่อสารข่มขู่
  • ตำรวจเฝ้าสังเกตที่อยู่ที่ Glauner กำลังมุ่งหน้าไป ระหว่างที่เหยื่อและครอบครัวออกจากบ้านในช่วงเย็น
  • Glauner มาถึงราว 21:00 น. ของวันที่ 6 พฤศจิกายน ขับ Jeep Cherokee ที่ติดป้ายทะเบียน New Mexico และถูกจับกุม
    • เขาจอดรถตรงหน้าที่อยู่นั้นพอดี ก่อนเดินเข้าไปในสนามหญ้าบ้านข้าง ๆ และยืนอยู่ในจุดมืด
    • จากการตรวจค้นขณะจับกุม พบมีดพับใบมีดโกนสีดำและโทรศัพท์มือถือ 2 เครื่อง
    • หน้าจอล็อกของโทรศัพท์เครื่องหนึ่งแสดงภาพของเหยื่อ และบนหน้าจอมีการแจ้งเตือนข้อความจาก “Victim 1”
  • จากการค้น Jeep Cherokee ยังพบไปป์แก้วสำหรับเสพยาเมท สารต้องสงสัยว่าเป็นเมทแอมเฟตามีน 8 กรัม และเชือกใหม่ที่ยังอยู่ในบรรจุภัณฑ์ 2 มัด
  • นอกจากข้อหาใน North Carolina แล้ว Glauner ยังถูกตั้งข้อหา Fugitive from Justice เนื่องจากมีหมายจับค้างอยู่ใน California และถูกคุมขังที่ Wake County Jail โดยกำหนดวงเงินประกัน 550,000 ดอลลาร์

1 ความคิดเห็น

 
GN⁺ 2023-12-10
ความคิดเห็นบน Hacker News
  • การปลอมแปลงคำสั่งศาล ทำได้ง่ายมาก Verizon หรือผู้ให้บริการรายอื่นไม่มีทางรู้ได้ว่าเคาน์ตีใดเคาน์ตีหนึ่งจากกว่า 1,700 เคาน์ตีในสหรัฐฯ ใช้แบบฟอร์มอะไร
    หมายเรียกของรัฐบาลกลางยิ่งง่ายกว่า เพราะแบบฟอร์มเป็นมาตรฐานเดียวกันและยื่นแบบไม่เปิดเผยต่อสาธารณะ Verizon โทรไปถามสำนักงานเสมียนศาลว่า “คณะลูกขุนใหญ่ได้ออกหมายเรียกจริงหรือไม่?” ก็ไม่ได้ และเอกสารก็เป็นแค่กระดาษถ่ายเอกสารธรรมดา ไม่มีฟีเจอร์ด้านความปลอดภัย ถ้าข้อเท็จจริงนี้แพร่กระจายออกไป คิดว่าคงจะมีกรณีแบบนี้เพิ่มขึ้น การยื่นคดีมโนสาเร่เพื่อให้ได้หมายเรียกก็ง่ายพออยู่แล้ว และโดยปกติก็ไม่มีใครออกมายื่นขอเพิกถอนหมายเรียกนั้นด้วย หมายเรียกทางแพ่งใช้เวลานานกว่าหมายเรียกทางอาญานิดหน่อย และต้องจ่ายค่าส่งเอกสารด้วย แต่นั่นก็ไม่ใช่อุปสรรคใหญ่

    • Verizon ตรวจสอบทางโทรศัพท์ได้จริง หมายเรียกต้องมีข้อมูลติดต่อ และ Verizon สามารถตรวจสอบว่าข้อมูลติดต่อนั้นถูกต้องตามกฎหมายหรือไม่ จากนั้นติดต่อไปเองเพื่อยืนยัน ความแท้จริงของหมายเรียก ได้
      เรื่องแบบนี้เกิดขึ้นในวงการแพทย์เช่นกัน และเพราะบทลงโทษเมื่อตอบสนองต่อคำขอปลอมรุนแรงกว่ามาก บุคลากรทางการแพทย์จึงได้รับการฝึกให้ทำขั้นตอนตรวจสอบเหล่านี้ HIPAA ไม่ผ่อนปรนให้เพียงเพราะถูกหลอกให้เปิดเผยข้อมูลตาม HIPAA
      https://www.hipaaexams.com/blog/medical-record-subpoena
    • เดี๋ยวก่อน หมายแบบนี้ส่งมาเป็น เอกสารกระดาษพิมพ์ออกมา จริง ๆ เหรอ?
      หมายความว่าคำสั่งทางการที่สั่งให้บริษัทโทรคมนาคมส่งมอบข้อมูลการสื่อสารส่วนบุคคล ถูกส่งมาในรูปแบบเม็ดสีบนเยื่อไม้บาง ๆ แทนที่จะเป็นไฟล์ลงลายมือชื่อดิจิทัลที่ตรวจสอบได้ง่ายด้วย public key ของหน่วยงานผู้ออกคำสั่งงั้นหรือ?
    • ไม่รู้ว่าใครเป็นคนกำหนดว่า “Verizon โทรไปถามสำนักงานเสมียนศาลว่า ‘คณะลูกขุนใหญ่ได้ออกหมายเรียกจริงหรือไม่?’ ไม่ได้” ผมไม่ทราบว่ามีกฎหรือกฎหมายใดที่ห้ามผู้รับหมายเรียกตรวจสอบความชอบด้วยกฎหมายกับศาล
      คนที่จะยื่นขอเพิกถอนหมายเรียกมีอยู่เสมอ ก็คือผู้รับหมายนั่นเอง โดยปกติจะทำได้สองฝ่าย คือผู้รับหมายกับคู่ความอีกฝ่าย หมายเรียกของรัฐบาลกลางมีขั้นตอนการเพิกถอนระบุอยู่ในตัวหมายเรียกเอง
      https://www.uscourts.gov/sites/default/files/ao088b.pdf
      เพิ่มเติมคือ มีกฎหมายและแนวบรรทัดฐานคดีจำนวนมากที่อาจใช้กับการขอบันทึกการโทร ขึ้นอยู่กับว่าขออะไร อาจไม่จำเป็นต้องมีหมายเรียกก็ได้
    • หมายค้น ไม่ใช่หมายเรียกแบบไม่เปิดเผยต่อสาธารณะ และอย่างน้อยควรตรวจสอบได้เสมอว่าผู้ออกหมายนั้นมีตัวตนจริงและมีอำนาจจริงหรือไม่
      ก็หวังว่าจะตรวจสอบเลขระบุและรายละเอียดสำคัญได้ด้วย แต่ผมรู้แค่ระบบกฎหมายเยอรมัน ไม่ใช่ของสหรัฐฯ เลยยืนยันแน่ชัดไม่ได้
    • การบอกว่าปลอมคำสั่งศาลได้ง่าย ก็คล้ายกับบอกว่าปลอมจดหมายหลอกลวงเจ้าชายไนจีเรียได้ง่าย Verizon ควรอับอายอย่างหนักกับเรื่องนี้ คำขอแรกมาจากบัญชี Proton แถมยังมีคำสะกดผิดและไวยากรณ์ผิดแบบเด็ก ๆ
      ผมไม่รู้ว่า Verizon จัดการภายในอย่างไร แต่มีเพื่อนคนหนึ่งทำงานใน “ทีมตอบคำขอจากหน่วยงานบังคับใช้กฎหมาย” ของบริษัทหนึ่งในกลุ่ม FAANG บริษัทนั้นได้รับคำขอทางกฎหมายให้ส่งข้อมูลจำนวนมหาศาล มีทั้งคำขอปลอมจำนวนมาก และคำขอที่มาจากหน่วยงานรัฐจริงแต่ก็น่าสงสัยจนต้องโต้แย้ง ดังนั้นพวกเขาจึงมีกระบวนการและเทคนิคที่ละเอียดมากในการรับมือ Verizon เป็นผู้ให้บริการมือถือรายใหญ่ที่สุดในสหรัฐฯ ก็น่าจะมีความสามารถพอที่จะไม่ดูเหมือน ละครตลกเละเทะ โดยสิ้นเชิงในด้านนี้ได้
  • การที่ Verizon ออก คำตอบสำเร็จรูป แบบว่า “กำลังให้ความร่วมมือกับหน่วยงานบังคับใช้กฎหมายในเรื่องนี้” ออกมาตรง ๆ อาจเป็นกรณีที่ควรปรับถ้อยคำให้ต่างออกไปสักหน่อย
    จริง ๆ แล้วไม่ใช่เรื่องน่าขำ แต่ก็ยังค่อนข้างขำอยู่ดี ผมทำงานพาร์ตไทม์กับ ISP ท้องถิ่นขนาดเล็ก และเคยจัดการคำขอทางกฎหมายสองครั้ง ตอนที่ได้รับคำขอครั้งแรก ผมกังวลว่าจะยืนยันตัวตนอย่างไรดี และขั้นตอนของเรากลายเป็นการทิ้งข้อมูลติดต่อทั้งหมดที่ระบุอยู่ในหมาย แล้วไปหาข้อมูลติดต่อใหม่จากแหล่งที่เชื่อถือได้เพื่อตรวจสอบทางโทรศัพท์ ทั้งสองครั้งผมหาจากเว็บไซต์ทางการของรัฐ ถ้า Verizon ใช้ขั้นตอนนี้ก็น่าจะจับกรณีนี้ได้ เพราะ Cary Police Department ยืนยันว่าไม่มีตำรวจชื่อ Steven Cooper

    • การออกหมายค้นปลอมน่าจะเป็นอาชญากรรม ดังนั้น Verizon ก็น่าจะให้ความร่วมมือกับหน่วยงานบังคับใช้กฎหมายในประเด็นนั้นจริง ๆ
  • น่าแปลกใจที่วิธีหลักในการยืนยันว่าคำสั่งได้รับอนุมัติจากผู้พิพากษาหรือไม่ คือ การตรวจลายเซ็น ซึ่งปลอมได้ง่าย

    • แค่ปลอมลายเซ็นผู้พิพากษาก็อาจติดคุกได้แล้ว ในรัฐส่วนใหญ่ การแอบอ้างเป็นเจ้าหน้าที่ตำรวจก็เช่นกัน สตอล์กเกอร์รายนี้พอใช้วิธีนี้ตามหาผู้หญิง ก็เท่ากับแทบจะจองตั๋วเข้าคุกให้ตัวเองแล้ว
      สตอล์กเกอร์จำนวนมากทำเรื่องน่ากลัวจริง ๆ แต่ก็ไม่ได้รับโทษจำคุก อย่างไรก็ตามแต่ละรัฐต่างกันมาก และที่น่าแปลกคือไม่ใช่ทุกรัฐที่ถือว่าเป็นอาชญากรรมร้ายแรง และอย่างน้อยในรัฐหนึ่ง ต้องมีเจตนาจะได้ประโยชน์จากอำนาจที่ถูกมอบให้ จึงจะเป็นอาชญากรรมร้ายแรง
    • เรื่องนี้ดูเหมือนเป็นความรับผิดชอบของรัฐบาล ในแทบทุกด้านอื่นที่สำคัญแม้แต่นิดเดียว ก็ใช้ระบบยืนยันตัวตนที่ดีกว่าและพัฒนากว่านี้ แต่รัฐบาลทั่วโลกยังคงพึ่งพาลายเซ็นอยู่
      แค่กระดาษที่มีรหัสผ่านให้ไปค้นหาข้อมูลยืนยันตัวตนบนเว็บไซต์ศาล อีเมล หรือหมายเลขโทรศัพท์หรืออีเมลอัตโนมัติที่ใช้ยืนยันออนไลน์ได้ ก็น่าจะพอแล้ว
  • ผมจำได้เลือน ๆ ว่ามีฉากคล้าย ๆ กันในซีรีส์ทีวี Mr. Robot
    มีคนได้รับมอบหมายให้ตามหาบุคคลที่สนใจจากเบอร์มือถือ และเหมือนจะปลอมตัวเป็นหรือดักสายแฟกซ์ของ NYPD พวกเขาปลอมเอกสารที่ NYPD ใช้เพื่อขอข้อมูลจากบริษัทโทรคมนาคม แล้วส่งทางแฟกซ์และรอคำตอบ วิธีนี้ดูมีชั้นเชิงกว่าการส่งเอกสารปลอมจากที่อยู่ Proton Mail แน่นอน แต่สุดท้ายก็เป็นวิธีเดียวกัน
    เจอแล้ว: https://youtu.be/AdHE5Nss4HI?si=b4Et34pHKx8p1uP9
    ดูแล้วเหมือนว่าเขาใช้ Wi‑Fi สาธารณะเพื่อรักษาความเป็นนิรนาม และปลอมหมายเลขแฟกซ์ของ NYPD เพื่อให้ดูน่าเชื่อถือขึ้น ผมคงต้องกลับไปดูซีรีส์เรื่องนี้ใหม่แล้ว

  • น่าตกใจที่ในอีเมลยังมีลายเซ็นเริ่มต้นของ Proton อย่าง “sent with Proton Mail secure email” อยู่ด้วย ต่อให้ยอมรับได้ว่าอาจมองไม่ออกจากช่องผู้ส่ง แต่ก็ยังเข้าใจยากว่าทำไมสิ่งนั้นถึงไม่ถูกมองเป็น สัญญาณอันตราย
    ต่อให้คำตอบคือเพราะตำรวจใช้บัญชีส่วนตัวกับเรื่องแบบนี้เป็นประจำ ก็คงไม่แปลกใจ

    • เคยทำงานข้างสำนักงานทีมประสานงานกับหน่วยบังคับใช้กฎหมายของบริษัทโทรคมนาคม เลยได้ยินสายโทรศัพท์และบทสนทนาเยอะมาก ทุกคนเป็นอดีตตำรวจ และมีแนวโน้มแรงมากที่จะส่งต่อทุกอย่างที่ถูกขอมา พูดตรง ๆ คือไม่ได้เฉียบคมนักด้วย
    • Kevin Mitnick สอนเราไว้ตั้งแต่หลายสิบปีก่อนว่า ไม่ว่าสภาพแวดล้อมแบบไหน จุดอ่อนที่สุด ก็คือคน Social engineering ง่ายกว่าที่คิดมาก
    • อีกมุมหนึ่งอาจหมายความว่าไม่มีใครอ่านหรือดู signature อีเมลเลยก็ได้
    • หรืออาจจงใจทำแบบนั้นเพื่อคัดกรองเจ้าหน้าที่ที่ระแวดระวังด้านความปลอดภัยสูงออกไปก็เป็นได้
  • นอกเหนือจากความพิลึกของคดีเดิมเอง ส่วนที่ทำให้ประหลาดใจที่สุดคือเหยื่อกับ Glauner พบกันบนเว็บไซต์โป๊ที่มีฟีเจอร์เดตชื่อ hamster.com แล้วคบกันทางออนไลน์
    ไม่เคยรู้มาก่อนว่าฟีเจอร์เดตของเว็บไซต์โป๊อาจไม่ใช่การหลอกลวงหรือความพยายามฟิชชิงในตัวมันเอง

    • ครีเอเตอร์คอนเทนต์ OF บางคนใช้แพลตฟอร์มแบบนี้เพื่อโปรโมตคอนเทนต์ของตัวเอง
  • การปลอมแปลงแบบนี้พบได้บ่อยมาก
    โดยเฉพาะถ้าใส่แรงกดดันเรื่องความเร่งด่วน เช่น เป็นเรื่องเป็นตาย พร้อมอ้างกฎหมายและบทลงโทษที่จะใช้หากไม่รีบดำเนินการ และยังแนบกฎหมายกับบทลงโทษที่ห้ามเปิดเผยเข้าไปด้วย ก็จะยิ่งได้ผลดีขึ้น ตอนนี้ทนายผู้น่าสงสารคนหนึ่งต้องตัดสินใจว่าควรทำอย่างไร คดีที่ถูกเปิดเผยเป็นเพียง ยอดภูเขาน้ำแข็ง เท่านั้น และขนาดจริงน่าจะใหญ่กว่านั้นมาก
    แม้อยากโทษ Verizon หรือองค์กรอื่น ๆ แต่ประเด็นหลักคือวิธีจัดการหมายลักษณะนี้ไม่เหมาะกับยุคอินเทอร์เน็ตโดยสิ้นเชิง การปลอมแปลงโดยทั่วไปเป็นอาชญากรรม ดังนั้นวิธีส่งหมายทางไปรษณีย์กระดาษจึงค่อนข้างปลอดภัยในระดับหนึ่ง เพราะสามารถติดตามคนร้ายผ่านที่อยู่ผู้ส่งกลับและข้อมูลอื่น ๆ ได้ แต่บนอินเทอร์เน็ตสถานการณ์เปลี่ยนไป คนที่อยู่อีกประเทศหรือแทบไม่ระบุตัวตนสามารถปลอมและส่งหมายได้ด้วยต้นทุนแทบเป็นศูนย์ แบบฟอร์มที่ดูสมจริงหาได้จากสถานีตำรวจที่ถูกแฮ็ก และบางครั้งยังได้สิทธิ์เข้าถึงอีเมลด้วย สมดุลระหว่างต้นทุน ประโยชน์ และความเสี่ยงเอื้อให้อยู่ฝั่งผู้โจมตีแล้ว และการที่ประเทศส่วนใหญ่พยายามจัดการคำขอแบบนี้ให้เร็วขึ้นก็ไม่ได้ช่วยอะไร

  • ต่อไป AI จะทำให้อาชญากรปลอมแปลงทุกแง่มุมของกลโกงแบบนี้ได้ดีจนน่าเหลือเชื่อ
    รวมถึงแบบฟอร์ม โรงเรียนกฎหมายปลอม เว็บไซต์โรงเรียนปลอม เว็บไซต์กฎหมายปลอม รีวิวปลอม และอื่น ๆ การตรวจสอบแม้แต่เรื่องเล็กน้อยหนึ่งอย่างจะต้องใช้ทรัพยากรมากขึ้นเรื่อย ๆ

  • นี่แหละเหตุผลที่คนมองแปลก ๆ เวลาบอกว่าไม่อยากส่งต่อข้อมูลส่วนบุคคล

  • อีเมลแบบนี้ดูเหมือนควรต้องมี ลายเซ็น PGP แนบมาด้วย

    • แล้วจะยืนยันได้อย่างไรว่าคีย์ PGP เฉพาะคีย์หนึ่งกำลังถูกใช้โดยผู้มีอำนาจจริง เพื่อสถานะทางการและวัตถุประสงค์ที่ถูกต้อง?
      ถ้าพูดว่า S/MIME ก็ยังพอฟังขึ้น เพราะมีระบบผู้ออกใบรับรอง X.509 อยู่จริง แต่ PGP ที่ใช้ web of trust (WoT) เป็นเครื่องมือที่ผิดโดยสิ้นเชิงสำหรับกรณีนี้
    • ระบบความเชื่อถือของ PGP ล้าสมัยแล้ว และในกรณีนี้มีโอกาสสูงว่าจะช่วยอะไรไม่ได้มาก