ศูนย์ชัวร์ก่อนแชร์ สำนักข่าวไทย อสมท 16 ก.ค. – เว็บปลอมข่าวเท็จยังคงแพร่ระบาดสร้างความตื่นตระหนกไปทั่ว ถึงเวลาเจาะลึกถอดรหัสหาเจตนาเบื้องหลังคนสร้างเว็บปลอมเหล่านี้
เราพบราว 30-40 เว็บไซต์ที่เกี่ยวข้องกับการเผยแพร่ข่าวปลอมป่วนสังคม พวกเขาทำแล้วได้อะไร ?
“ไม่ทราบเหมือนกัน เมื่อก่อนมีพวกเพจที่เป็นคลิกเบต พยายามเอาข่าวมาเขียนข่าวให้มีสีสัน แล้วล่อให้เราคลิกเข้าไป และมีโฆษณาเต็มไปหมด ก็จะได้เงินค่าโฆษณา แต่พอปรับใหม่เป็นแบบนี้ ไม่มีโฆษณาก็ไม่มั่นใจว่าทำเพื่ออะไร แต่มันเกิดผลไม่ดีต่อสังคมแน่ ๆ”
รศ.ดร.เจษฎา เด่นดวงบริพันธ์ อาจารย์คณะวิทยาศาสตร์ จุฬาฯ ตั้งข้อสังเกตอย่างสงสัย เหตุใดเว็บไซต์ข่าวปลอมที่เกิดขึ้นจึงมีหน้าตาที่ไม่เหมือนกับเว็บระดมโฆษณาอื่น ๆ ที่เคยเห็น
ศูนย์ชัวร์ก่อนแชร์ สำนักข่าวไทย อสมท พบว่าข่าวปลอมที่เกิดขึ้นกว่า 60 ข่าวในช่วง 1 ปีที่ผ่านมา (ดูรายชื่อข่าวทั้งหมดได้ที่ ชัวร์ก่อนแชร์ : แฉเว็บปลอม ตอนที่ 1) ส่วนใหญ่เกิดขึ้นตั้งแต่ช่วงปลายปี 2558 และมีลักษณะวิธีการสร้างหน้าเว็บที่คล้ายคลึงกัน และเชื่อได้ว่ามีการคิดวางแผนการเผยแพร่อย่างเป็นระบบ
ฟิชชิ่ง Phishing
เว็บไซต์ปลอม หรือที่เรียกกันว่า เว็บฟิชชิ่ง ที่ถูกสร้างขึ้นมากมายทั่วโลกนั้น มีเป้าหมายแตกต่างกันไป บางเว็บก็สร้างขึ้นเพื่อหลอกเอารหัสผ่านของอีเมล์ หรือ บัญชีธนาคาร ขณะที่บางเว็บก็ต้องการทำลายชื่อเสียงของหน่วยงาน
แต่ในกรณีเว็บข่าวปลอมเหล่านี้ มีหลักฐานชี้ที่ทำให้เชื่อได้ว่า เป้าหมายหลักของพวกเขาอยู่ที่ “ค่าโฆษณา”
ปริญญา หอมเอนก ผู้เชี่ยวชาญความปลอดภัยทางสารสนเทศ ระบุว่า เนื่องจากคนไทยในโซเชียลส่วนใหญ่จะมีลักษณะชอบแชร์เรื่องต่าง ๆ บางเรื่องตัดสินใจแชร์เพียงแค่ได้เห็นพาดหัวเท่านั้น ไม่ได้ดูลึกลงไปถึงเนื้อหาจริง
“พอเห็นเรื่องน่าตื่นเต้นตกใจ ก็จะรีบกดแชร์ช่วยแพร่กระจายเว็บเหล่านี้ออกไป ซึ่งคาดว่าน่าจะทำเงินให้ผู้อยู่เบื้องหลังแต่ละเดือนเป็นหลักหมื่นหรือแสนบาท” นายปริญญากล่าว
แกะรอยเว็บปลอม
เมื่อลองนำหัวข้อข่าวปลอมสักหัวหนึ่งไปค้นใน Google ผลการค้นหาบางรายการก็จะลิงก์ไปที่เว็บรวมข่าวต่าง ๆ แต่บางรายการจะชี้ตรงไปยังเว็บปลอม
“เข้าเว็บพวกนี้ต้องระวัง” นักพัฒนาผู้เชี่ยวชาญด้านเครือข่ายคนหนึ่งเตือน ขณะที่ผมขอให้เขาช่วยวิเคราะห์เว็บปลอม
เขาอธิบายเพิ่มเติมว่า บางทีเว็บพวกนี้ฝังซอฟต์แวร์บางอย่างที่พร้อมจะโจมตีเราได้ทันที เพียงแค่กดเข้าเว็บไซต์เท่านั้น เขาพูดพลางเปิดโปรแกรมประเภท Virtual Machine ที่ช่วยจำลองคอมพิวเตอร์เครื่องใหม่ให้อยู่ในคอมพิวเตอร์อีกที
แล้วเข้าเว็บไซต์ปลอมเหล่านี้ผ่านจอเล็กที่อยู่ในจอใหญ่ เพราะหากโดนโจมตีขึ้นมาจริง ๆ ก็จะโดนแค่เจ้าเครื่องจำลองนั้น
(คำเตือนนี้ทำเอาผมผวา ขนาดคนที่คร่ำหวอดกับภัยไซเบอร์ยังป้องกันตัวเองขนาดนี้ แต่ก่อนหน้านี้ ผมเที่ยวตระเวนเข้าเว็บปลอมเป็นสิบ ๆ แห่ง โดยไม่ทันได้ป้องกันอะไรเลย!)
เมื่อคลิกเข้าไปในเว็บปลอม เราจะพบหน้าเว็บที่สร้างขึ้นมาให้เข้าใจว่านั่นคือเว็บจริง ๆ ของสำนักข่าวหรือหน่วยงาน เรียกว่า capture หน้าเว็บจริงมาวาง แล้วปรับแก้เล็กน้อยเท่านั้น แม้แต่แบนเนอร์โฆษณาแบรนด์ดัง ๆ ก็เอามาทำหน้าที่เสริมความน่าเชื่อถือเท่านั้น
แถบเมนูต่าง ๆ ของหน้าเว็บต้นฉบับก็เอามาด้วย แต่คลิกไม่ได้
ตรงกลางหน้าเว็บ พาดหัวข่าวเท็จขนาดใหญ่ ตามด้วยรูปภาพประกอบที่น่าตกใจ และมีเนื้อข่าวที่ปั้นขึ้นมาเป็นตุเป็นตะ
แกะ code เว็บปลอม
ผมเปิดรหัสโปรแกรมหรือโค้ดเบื้องหลังของหน้าเว็บปลอมเหล่านี้ ด้วยคำสั่ง view source ซึ่งเป็นคำสั่งพื้นฐานที่มากับบราวเซอร์ทุกตัว เพื่อจะดูว่า นอกจากสิ่งที่เราเห็นด้วยตาผ่านหน้าเว็บแล้ว ผู้สร้างยังแอบซ่อนอะไรไว้อีกบ้าง
* ไฟล์ HTML
เว็บไซต์เหล่านี้ใช้เทคนิค HTML พื้นฐานในการเขียนหน้าเว็บ แค่ประกอบร่างตัวอักษรกับภาพถ่ายเท่านั้น
* จัดเก็บแยกเดี่ยว
หน้าเว็บถูกจัดเก็บสร้างเป็นไฟล์ htm แยกเป็นข่าว ๆ ไม่เชื่อมโยงถึงกัน และวางอยู่โดด ๆ ไม่มีลิงก์เชื่อมโยงไปที่อื่น ซึ่งแปลว่าถ้าหากไม่ใช่การค้นหาผ่าน Google แล้ว คนทั่วไปแทบจะไม่มีโอกาสรู้ว่า มีหน้าเว็บนี้อยู่
* ส่วนประกอบในหน้าเว็บ
องค์ประกอบต่าง ๆ ในหน้าเว็บ มีเพียงเนื้อข่าวเป็นข้อความ นอกนั้นเป็นไฟล์ภาพที่ถูกจัดวางต่อกัน ไม่ว่าจะเป็นเมนู แบนเนอร์โฆษณาต่าง ๆ โดยภาพเหล่านั้นจัดเก็บอยู่ในโฟลเดอร์เดียวกันกับหน้าเว็บแต่ละเว็บไป
ทั้งนี้ ไม่มีโฆษณาและเมนูใดที่คลิกได้ ทุกอย่างจัดวางเป็นเหมือนฉากละครเวที คือสร้างบรรยากาศให้ แต่ใช้งานไม่ได้จริง
* สิ่งที่ซ่อนไว้
ในช่วงท้ายของหน้าเว็บปลอม จะซ่อนตัวเก็บสถิติผู้เข้าชมเว็บไซต์ แต่ละหน้าจะมีรหัสที่แตกต่างกัน เพื่อทำให้ผู้สร้างเว็บรู้ได้ว่า ในขณะนี้แต่ละหน้า มีคนเข้าเว็บกี่คน ซึ่งบริการเก็บสถิติเว็บไซต์นี้สามารถรายงานผลให้ทราบได้โดยละเอียด
ขณะที่ตอนท้ายของโค้ด พบรหัสโปรแกรมที่สั่งการเรียกลิงก์โฆษณาผ่านคำสั่ง iframe แบบซ่อนตัว ซึ่งจะไปแอบอยู่แถว ๆ บนสุดของหน้าเว็บ ถ้าเราไม่สังเกตแหวกหาก็จะไม่เห็นได้ง่าย ๆ
ระบบโฆษณาหมกเม็ด
ความจริงแล้ว เมื่อเทียบโค้ดของเว็บไซต์ข่าวปลอม ในช่วงแรก ๆ ไม่พบว่ามีการใส่โฆษณาเข้าไป แต่ในช่วงไม่กี่เดือนที่ผ่านมา ผู้สร้างเริ่มแอบใส่โฆษณาเข้าไปแล้ว
โฆษณาที่แอบใส่ในข่าวปลอมปัจจุบัน เป็นแบบ Pop-Under หรือเปิดซ้อนด้านหลัง และยังใช้เทคนิค iframe ให้มีการเปิดหน้าเว็บซ่อน และเว็บโฆษณาขึ้นมาโดยอัตโนมัติ
กลไกการทำงาน ขั้นแรกหน้าเว็บหลักจะตรวจสอบก่อนว่าผู้ชมเข้าเว็บไซต์ด้วยอุปกรณ์อะไร หากเป็นคอมพิวเตอร์ตั้งโต๊ะ ก็จะส่งหน้าเว็บที่ไม่มีโฆษณามาแสดงผล
แต่ถ้าคลิกเข้าด้วยมือถือ ระบบจะคัดแยกว่าเป็น iOS หรือ Android แล้วจึงส่งหน้าเว็บที่เขียนขึ้นสำหรับมือถือโดยเฉพาะเข้ามา ซึ่งรหัสเบื้องหลังหน้าเว็บนั้น สั่งให้มีการแสดงโฆษณาทันที
เปรียบเทียบเหมือนว่า เพียงเราเข้าไปที่เว็บนั้น ก็เหมือนเรากดคลิกโฆษณา สร้างรายได้ให้เขาทันที หลายคนที่เคยโดนหลอกให้คลิกเข้าไป
เข้าใจแล้วใช่ไหมว่า ทำไมจู่ ๆ จึงมีโฆษณาเว็บอนาจารพรึ่บขึ้นมาบนหน้าจอมากมาย
เจตนาแฝง ?
ตรงนี้ชี้เจตนาชัดว่า คนสร้างเว็บปลอมเหล่านี้ พุ่งเป้าไปที่ประชาชนที่ใช้มือถือเป็นหลัก และในระยะหลังเราพบว่า เจาะจงเลือกเล่นงานแต่มือถือ แอนดรอยด์ โดยตัวเว็บจะตรวจสอบว่าถ้าคลิกเข้าด้วยมือถือแอนดรอยด์ มันจะส่งหน้าเว็บเฉพาะที่มีรหัสสำหรับเรียกโฆษณามากมายมาให้เอง
ไม่อยากจะคิดว่า การที่ผู้สร้างเลือกแบ่งเป้าหมายแบบนี้ กำลังจะเตรียมตัวใช้เว็บปลอมเพื่อ “ปล่อย” อะไรที่ไปไกลกว่าโฆษณาหรือไม่ ?
ไม่อยากจะนึกภาพ หากมีข่าวปลอมที่น่าตื่นตระหนกสักข่าวถูกสร้างขึ้นมาล่อ แล้วคนไทยแห่คลิกเข้าไป ปรากฏว่ากลายเป็นกับดัก แพร่มัลแวร์ หรือ แรนซัมแวร์ (ไวรัสเรียกค่าไถ่) แล้วทำให้ผู้ใช้มากมาย ตกเป็นเหยื่อ
สืบสาวให้ลึก
เบาะแสที่เราได้จากการแกะรอยดูหน้าเว็บมีประมาณนี้ หลังจากนี้เราจะต้องใช้เครื่องมืออื่นในการเจาะลึกลงไปอีกขั้น เพื่อตามให้ถึงคนที่ดำเนินการเบื้องหลัง
เมื่อต้องการรู้เจ้าของเว็บไซต์ หรือ สถานที่เก็บเว็บไซต์ โดยทั่วไปเราจะใช้คำสั่ง WHOIS เพื่อดึงข้อมูลการจดทะเบียนและเส้นทางจราจรเว็บไซต์ขึ้นมา
แต่เมื่อใช้เครื่องมือในการเข้าดูต้นตอเว็บไซต์ ผมไม่พบอะไรนอกจากทางตัน ซึ่งแปลว่าวิธีแกะรอยมาตรฐานแบบนี้ใช้กับเว็บปลอมเหล่านี้ไม่ได้!
ผมไล่ตรวจเว็บปลอมเกือบ 40 แห่ง พบการปกปิดในลักษณะเดียวกันนี้ทั้งหมด!
เว็บปลอมเหล่านี้ลงทุนซื้อบริการที่ช่วยปกปิดชื่อเจ้าของเว็บ ทำให้เมื่อค้นด้วยคำสั่ง WHOIS จึงพบแต่ชื่อของบริษัทรับจ้างปกปิดตัวตนนี้ ซึ่งจดแจ้งสถานที่ตั้งอยู่แถวประเทศปานามา
ปิดบังในชั้นแรกยังไม่พอ ผู้สร้างเว็บยังลงทุนจ่ายเงินใช้บริการระบบคลาวด์ที่ช่วยปกปิดสถานที่เก็บเว็บไซต์จริง ซึ่งบริการนี้มีเว็บไซต์ใหญ่ ๆ ใช้บริการ แต่ขณะเดียวกันก็ได้รับความนิยมจากพวกกลุ่มก่อการร้าย ใช้สำหรับปกปิดเส้นทางชี้โยงมาถึงตัวผู้จัดทำ
ในต่างประเทศถึงขั้นมีการเคลื่อนไหวต่อต้านประณามบริษัทคลาวด์ Startup รายนี้ ที่เปิดบริการซึ่งกลายเป็นเครื่องมือช่วยปกปิดตัวตนให้พวกผู้ร้ายทั้งหลาย
ผลจากทางที่ดูเหมือนตันทั้ง 2 แห่ง ทำให้เรายังไม่สามารถรู้ได้ว่า “ใคร” คือคนที่อยู่เบื้องหลังเว็บปลอมเหล่านี้…
…แต่เรายังเหลืออีกพื้นที่กลไกหนึ่งที่น่าสนใจ…
(โปรดติดตามต่อตอนที่ 3 – ชัวร์ก่อนแชร์ : แฉเว็บปลอม ตอนที่ 3 – ขบวนการขายความเท็จ)
หากได้รับอะไรมา อย่าเพิ่งแชร์ต่อ ส่งมาตรวจสอบกับ “ศูนย์ชัวร์ก่อนแชร์”
LINE :: @SureAndShare หรือคลิก http://line.sure.guru
FB :: https://www.facebook.com/SureAndShare
YouTube :: https://www.youtube.com/@SureAndShare
Twitter :: https://www.twitter.com/SureAndShare
IG :: https://instagram.com/SureAndShare
Website :: http://www.ชัวร์ก่อนแชร์.com
TikTok :: https://www.tiktok.com/@sureandshare
สมัครรับฟรี ชัวร์ก่อนแชร์ Newsletter ส่งถึงกล่องอีเมลของคุณทุกสัปดาห์ :: https://i.sure.guru/sureandshareNewsletter
