ชัวร์ก่อนแชร์ : แฉเว็บปลอม ตอนที่ 2 ผ่าเว็บปลอม

ศูนย์ชัวร์ก่อนแชร์ สำนักข่าวไทย อสมท 16 ก.ค. – เว็บปลอมข่าวเท็จยังคงแพร่ระบาดสร้างความตื่นตระหนกไปทั่ว ถึงเวลาเจาะลึกถอดรหัสหาเจตนาเบื้องหลังคนสร้างเว็บปลอมเหล่านี้

เราพบราว 30-40 เว็บไซต์ที่เกี่ยวข้องกับการเผยแพร่ข่าวปลอมป่วนสังคม พวกเขาทำแล้วได้อะไร ?

 


“ไม่ทราบเหมือนกัน เมื่อก่อนมีพวกเพจที่เป็นคลิกเบต พยายามเอาข่าวมาเขียนข่าวให้มีสีสัน แล้วล่อให้เราคลิกเข้าไป และมีโฆษณาเต็มไปหมด ก็จะได้เงินค่าโฆษณา แต่พอปรับใหม่เป็นแบบนี้ ไม่มีโฆษณาก็ไม่มั่นใจว่าทำเพื่ออะไร แต่มันเกิดผลไม่ดีต่อสังคมแน่ ๆ”

รศ.ดร.เจษฎา เด่นดวงบริพันธ์ อาจารย์คณะวิทยาศาสตร์ จุฬาฯ ตั้งข้อสังเกตอย่างสงสัย เหตุใดเว็บไซต์ข่าวปลอมที่เกิดขึ้นจึงมีหน้าตาที่ไม่เหมือนกับเว็บระดมโฆษณาอื่น ๆ ที่เคยเห็น


ศูนย์ชัวร์ก่อนแชร์ สำนักข่าวไทย อสมท พบว่าข่าวปลอมที่เกิดขึ้นกว่า 60 ข่าวในช่วง 1 ปีที่ผ่านมา (ดูรายชื่อข่าวทั้งหมดได้ที่ ชัวร์ก่อนแชร์ : แฉเว็บปลอม ตอนที่ 1) ส่วนใหญ่เกิดขึ้นตั้งแต่ช่วงปลายปี 2558 และมีลักษณะวิธีการสร้างหน้าเว็บที่คล้ายคลึงกัน และเชื่อได้ว่ามีการคิดวางแผนการเผยแพร่อย่างเป็นระบบ

ฟิชชิ่ง Phishing

เว็บไซต์ปลอม หรือที่เรียกกันว่า เว็บฟิชชิ่ง ที่ถูกสร้างขึ้นมากมายทั่วโลกนั้น มีเป้าหมายแตกต่างกันไป บางเว็บก็สร้างขึ้นเพื่อหลอกเอารหัสผ่านของอีเมล์ หรือ บัญชีธนาคาร ขณะที่บางเว็บก็ต้องการทำลายชื่อเสียงของหน่วยงาน

แต่ในกรณีเว็บข่าวปลอมเหล่านี้ มีหลักฐานชี้ที่ทำให้เชื่อได้ว่า เป้าหมายหลักของพวกเขาอยู่ที่ “ค่าโฆษณา”


ปริญญา หอมเอนก ผู้เชี่ยวชาญความปลอดภัยทางสารสนเทศ ระบุว่า เนื่องจากคนไทยในโซเชียลส่วนใหญ่จะมีลักษณะชอบแชร์เรื่องต่าง ๆ บางเรื่องตัดสินใจแชร์เพียงแค่ได้เห็นพาดหัวเท่านั้น ไม่ได้ดูลึกลงไปถึงเนื้อหาจริง

“พอเห็นเรื่องน่าตื่นเต้นตกใจ ก็จะรีบกดแชร์ช่วยแพร่กระจายเว็บเหล่านี้ออกไป ซึ่งคาดว่าน่าจะทำเงินให้ผู้อยู่เบื้องหลังแต่ละเดือนเป็นหลักหมื่นหรือแสนบาท” นายปริญญากล่าว

แกะรอยเว็บปลอม

เมื่อลองนำหัวข้อข่าวปลอมสักหัวหนึ่งไปค้นใน Google ผลการค้นหาบางรายการก็จะลิงก์ไปที่เว็บรวมข่าวต่าง ๆ แต่บางรายการจะชี้ตรงไปยังเว็บปลอม

“เข้าเว็บพวกนี้ต้องระวัง” นักพัฒนาผู้เชี่ยวชาญด้านเครือข่ายคนหนึ่งเตือน ขณะที่ผมขอให้เขาช่วยวิเคราะห์เว็บปลอม

เขาอธิบายเพิ่มเติมว่า บางทีเว็บพวกนี้ฝังซอฟต์แวร์บางอย่างที่พร้อมจะโจมตีเราได้ทันที เพียงแค่กดเข้าเว็บไซต์เท่านั้น เขาพูดพลางเปิดโปรแกรมประเภท Virtual Machine ที่ช่วยจำลองคอมพิวเตอร์เครื่องใหม่ให้อยู่ในคอมพิวเตอร์อีกที

แล้วเข้าเว็บไซต์ปลอมเหล่านี้ผ่านจอเล็กที่อยู่ในจอใหญ่ เพราะหากโดนโจมตีขึ้นมาจริง ๆ ก็จะโดนแค่เจ้าเครื่องจำลองนั้น

(คำเตือนนี้ทำเอาผมผวา ขนาดคนที่คร่ำหวอดกับภัยไซเบอร์ยังป้องกันตัวเองขนาดนี้ แต่ก่อนหน้านี้ ผมเที่ยวตระเวนเข้าเว็บปลอมเป็นสิบ ๆ แห่ง โดยไม่ทันได้ป้องกันอะไรเลย!)

เมื่อคลิกเข้าไปในเว็บปลอม เราจะพบหน้าเว็บที่สร้างขึ้นมาให้เข้าใจว่านั่นคือเว็บจริง ๆ ของสำนักข่าวหรือหน่วยงาน เรียกว่า capture หน้าเว็บจริงมาวาง แล้วปรับแก้เล็กน้อยเท่านั้น แม้แต่แบนเนอร์โฆษณาแบรนด์ดัง ๆ ก็เอามาทำหน้าที่เสริมความน่าเชื่อถือเท่านั้น

แถบเมนูต่าง ๆ ของหน้าเว็บต้นฉบับก็เอามาด้วย แต่คลิกไม่ได้

ตรงกลางหน้าเว็บ พาดหัวข่าวเท็จขนาดใหญ่ ตามด้วยรูปภาพประกอบที่น่าตกใจ และมีเนื้อข่าวที่ปั้นขึ้นมาเป็นตุเป็นตะ

แฉเว็บปลอม 2

แกะ code เว็บปลอม

ผมเปิดรหัสโปรแกรมหรือโค้ดเบื้องหลังของหน้าเว็บปลอมเหล่านี้ ด้วยคำสั่ง view source ซึ่งเป็นคำสั่งพื้นฐานที่มากับบราวเซอร์ทุกตัว เพื่อจะดูว่า นอกจากสิ่งที่เราเห็นด้วยตาผ่านหน้าเว็บแล้ว ผู้สร้างยังแอบซ่อนอะไรไว้อีกบ้าง

* ไฟล์ HTML

เว็บไซต์เหล่านี้ใช้เทคนิค HTML พื้นฐานในการเขียนหน้าเว็บ แค่ประกอบร่างตัวอักษรกับภาพถ่ายเท่านั้น

* จัดเก็บแยกเดี่ยว

หน้าเว็บถูกจัดเก็บสร้างเป็นไฟล์ htm แยกเป็นข่าว ๆ ไม่เชื่อมโยงถึงกัน และวางอยู่โดด ๆ ไม่มีลิงก์เชื่อมโยงไปที่อื่น ซึ่งแปลว่าถ้าหากไม่ใช่การค้นหาผ่าน Google แล้ว คนทั่วไปแทบจะไม่มีโอกาสรู้ว่า มีหน้าเว็บนี้อยู่

* ส่วนประกอบในหน้าเว็บ

องค์ประกอบต่าง ๆ ในหน้าเว็บ มีเพียงเนื้อข่าวเป็นข้อความ นอกนั้นเป็นไฟล์ภาพที่ถูกจัดวางต่อกัน ไม่ว่าจะเป็นเมนู แบนเนอร์โฆษณาต่าง ๆ โดยภาพเหล่านั้นจัดเก็บอยู่ในโฟลเดอร์เดียวกันกับหน้าเว็บแต่ละเว็บไป

ทั้งนี้ ไม่มีโฆษณาและเมนูใดที่คลิกได้ ทุกอย่างจัดวางเป็นเหมือนฉากละครเวที คือสร้างบรรยากาศให้ แต่ใช้งานไม่ได้จริง

* สิ่งที่ซ่อนไว้

ในช่วงท้ายของหน้าเว็บปลอม จะซ่อนตัวเก็บสถิติผู้เข้าชมเว็บไซต์ แต่ละหน้าจะมีรหัสที่แตกต่างกัน เพื่อทำให้ผู้สร้างเว็บรู้ได้ว่า ในขณะนี้แต่ละหน้า มีคนเข้าเว็บกี่คน ซึ่งบริการเก็บสถิติเว็บไซต์นี้สามารถรายงานผลให้ทราบได้โดยละเอียด

ขณะที่ตอนท้ายของโค้ด พบรหัสโปรแกรมที่สั่งการเรียกลิงก์โฆษณาผ่านคำสั่ง iframe แบบซ่อนตัว ซึ่งจะไปแอบอยู่แถว ๆ บนสุดของหน้าเว็บ ถ้าเราไม่สังเกตแหวกหาก็จะไม่เห็นได้ง่าย ๆ

ระบบโฆษณาหมกเม็ด

ความจริงแล้ว เมื่อเทียบโค้ดของเว็บไซต์ข่าวปลอม ในช่วงแรก ๆ ไม่พบว่ามีการใส่โฆษณาเข้าไป แต่ในช่วงไม่กี่เดือนที่ผ่านมา ผู้สร้างเริ่มแอบใส่โฆษณาเข้าไปแล้ว

โฆษณาที่แอบใส่ในข่าวปลอมปัจจุบัน เป็นแบบ Pop-Under หรือเปิดซ้อนด้านหลัง และยังใช้เทคนิค iframe ให้มีการเปิดหน้าเว็บซ่อน และเว็บโฆษณาขึ้นมาโดยอัตโนมัติ

กลไกการทำงาน ขั้นแรกหน้าเว็บหลักจะตรวจสอบก่อนว่าผู้ชมเข้าเว็บไซต์ด้วยอุปกรณ์อะไร หากเป็นคอมพิวเตอร์ตั้งโต๊ะ ก็จะส่งหน้าเว็บที่ไม่มีโฆษณามาแสดงผล

แต่ถ้าคลิกเข้าด้วยมือถือ ระบบจะคัดแยกว่าเป็น iOS หรือ Android แล้วจึงส่งหน้าเว็บที่เขียนขึ้นสำหรับมือถือโดยเฉพาะเข้ามา ซึ่งรหัสเบื้องหลังหน้าเว็บนั้น สั่งให้มีการแสดงโฆษณาทันที

เปรียบเทียบเหมือนว่า เพียงเราเข้าไปที่เว็บนั้น ก็เหมือนเรากดคลิกโฆษณา สร้างรายได้ให้เขาทันที หลายคนที่เคยโดนหลอกให้คลิกเข้าไป

เข้าใจแล้วใช่ไหมว่า ทำไมจู่ ๆ จึงมีโฆษณาเว็บอนาจารพรึ่บขึ้นมาบนหน้าจอมากมาย

เจตนาแฝง ?

ตรงนี้ชี้เจตนาชัดว่า คนสร้างเว็บปลอมเหล่านี้ พุ่งเป้าไปที่ประชาชนที่ใช้มือถือเป็นหลัก และในระยะหลังเราพบว่า เจาะจงเลือกเล่นงานแต่มือถือ แอนดรอยด์ โดยตัวเว็บจะตรวจสอบว่าถ้าคลิกเข้าด้วยมือถือแอนดรอยด์ มันจะส่งหน้าเว็บเฉพาะที่มีรหัสสำหรับเรียกโฆษณามากมายมาให้เอง

ไม่อยากจะคิดว่า การที่ผู้สร้างเลือกแบ่งเป้าหมายแบบนี้ กำลังจะเตรียมตัวใช้เว็บปลอมเพื่อ “ปล่อย” อะไรที่ไปไกลกว่าโฆษณาหรือไม่ ?

ไม่อยากจะนึกภาพ หากมีข่าวปลอมที่น่าตื่นตระหนกสักข่าวถูกสร้างขึ้นมาล่อ แล้วคนไทยแห่คลิกเข้าไป ปรากฏว่ากลายเป็นกับดัก แพร่มัลแวร์ หรือ แรนซัมแวร์ (ไวรัสเรียกค่าไถ่) แล้วทำให้ผู้ใช้มากมาย ตกเป็นเหยื่อ

สืบสาวให้ลึก

เบาะแสที่เราได้จากการแกะรอยดูหน้าเว็บมีประมาณนี้ หลังจากนี้เราจะต้องใช้เครื่องมืออื่นในการเจาะลึกลงไปอีกขั้น เพื่อตามให้ถึงคนที่ดำเนินการเบื้องหลัง

เมื่อต้องการรู้เจ้าของเว็บไซต์ หรือ สถานที่เก็บเว็บไซต์ โดยทั่วไปเราจะใช้คำสั่ง WHOIS เพื่อดึงข้อมูลการจดทะเบียนและเส้นทางจราจรเว็บไซต์ขึ้นมา

แต่เมื่อใช้เครื่องมือในการเข้าดูต้นตอเว็บไซต์ ผมไม่พบอะไรนอกจากทางตัน ซึ่งแปลว่าวิธีแกะรอยมาตรฐานแบบนี้ใช้กับเว็บปลอมเหล่านี้ไม่ได้!

ผมไล่ตรวจเว็บปลอมเกือบ 40 แห่ง พบการปกปิดในลักษณะเดียวกันนี้ทั้งหมด!

เว็บปลอมเหล่านี้ลงทุนซื้อบริการที่ช่วยปกปิดชื่อเจ้าของเว็บ ทำให้เมื่อค้นด้วยคำสั่ง WHOIS จึงพบแต่ชื่อของบริษัทรับจ้างปกปิดตัวตนนี้ ซึ่งจดแจ้งสถานที่ตั้งอยู่แถวประเทศปานามา

ปิดบังในชั้นแรกยังไม่พอ ผู้สร้างเว็บยังลงทุนจ่ายเงินใช้บริการระบบคลาวด์ที่ช่วยปกปิดสถานที่เก็บเว็บไซต์จริง ซึ่งบริการนี้มีเว็บไซต์ใหญ่ ๆ ใช้บริการ แต่ขณะเดียวกันก็ได้รับความนิยมจากพวกกลุ่มก่อการร้าย ใช้สำหรับปกปิดเส้นทางชี้โยงมาถึงตัวผู้จัดทำ

ในต่างประเทศถึงขั้นมีการเคลื่อนไหวต่อต้านประณามบริษัทคลาวด์ Startup รายนี้ ที่เปิดบริการซึ่งกลายเป็นเครื่องมือช่วยปกปิดตัวตนให้พวกผู้ร้ายทั้งหลาย

ผลจากทางที่ดูเหมือนตันทั้ง 2 แห่ง ทำให้เรายังไม่สามารถรู้ได้ว่า “ใคร” คือคนที่อยู่เบื้องหลังเว็บปลอมเหล่านี้…

…แต่เรายังเหลืออีกพื้นที่กลไกหนึ่งที่น่าสนใจ…

(โปรดติดตามต่อตอนที่ 3 – ชัวร์ก่อนแชร์ : แฉเว็บปลอม ตอนที่ 3 – ขบวนการขายความเท็จ)

ดูข่าวเพิ่มเติม

หากได้รับอะไรมา อย่าเพิ่งแชร์ต่อ ส่งมาตรวจสอบกับ “ศูนย์ชัวร์ก่อนแชร์”
LINE :: @SureAndShare หรือคลิก http://line.sure.guru
FB :: https://www.facebook.com/SureAndShare
YouTube :: https://www.youtube.com/@SureAndShare
Twitter :: https://www.twitter.com/SureAndShare
IG :: https://instagram.com/SureAndShare
Website :: http://www.ชัวร์ก่อนแชร์.com
TikTok :: https://www.tiktok.com/@sureandshare

สมัครรับฟรี ชัวร์ก่อนแชร์ Newsletter ส่งถึงกล่องอีเมลของคุณทุกสัปดาห์ :: https://i.sure.guru/sureandshareNewsletter

หมายเหตุ : โฆษณาที่ปรากฏอยู่บนหน้าเว็บไซต์นี้ แสดงผลโดยอัตโนมัติจากบริษัทผู้ให้บริการโฆษณา ไม่ใช่การสนับสนุนหรือส่งเสริมจากศูนย์ชัวร์ก่อนแชร์แต่อย่างใด

Top Viewed • อ่านมากสุด

ดูทั้งหมด

แจ้งข้อหาเพิ่ม “ทนายตั้ม” คดี 39 ล้านบาท รวม 7 ข้อหา

แจ้งข้อหาเพิ่ม “ทนายตั้ม” คดี 39 ล้านบาท รวม 7 ข้อหา จ่อแจ้งข้อหา “นุ-แซน” เพิ่มเติม และเชื่อว่ามีบุคคลอื่นที่ต้องถูกดำเนินคดีอีก ส่วน “ฟิล์ม รัฐภูมิ” ยังไม่ประสานเข้าพบหลังออกหมายเรียก

วิสามัญมือยิงประธานสภา อบต.โพนจาน ยิงสู้ จนท.

วิสามัญมือยิงประธานสภา อบต.โพนจาน จ.นครพนม หลังหนีข้ามมา จ.ขอนแก่น เจ้าหน้าที่ปิดล้อมเกลี้ยกล่อมให้วางอาวุธ แต่ไม่สำเร็จ คนร้ายยิงต่อสู้

ขู่ยื่นเอาผิด รมว.ดีอี ปล่อยโฆษณาหลอกหลวง ปชช.

รัฐสภา 3 ธ.ค. – กมธ.ไอซีที สว. ขู่ ยื่น ม.157 เอาผิด รมว.ดีอี ฉุนเกียร์ว่าง ปล่อยโฆษณาหลอกหลวง ประชาชน – ปล่อย “หมอบุญ” หนีลอยนวล จี้รัฐยกปราบหลอกลวงออนไลน์เป็นวาระแห่งชาติ นพ.เปรมศักดิ์ เพียยุระ สว. ฐานะรองประธานคณะกรรมาธิการเทคโนโลยีสารสนเทศ การสื่อสาร และการโทรคมนาคม คนที่หก วุฒิสภา แถลงผลการประชุมกมธ. เมื่อวันที่ 2 ธ.ค. ซึ่งตรวจสอบกรณีการโฆษณาผ่านสื่อสังคมออนไลน์ให้ลงทุนในสินทรัพย์ ซึ่งก่อให้เกิดความเสียหายต่อความมั่นคงทางเศรษฐกิจของประเทศ ซึ่งได้เชิญหน่วยงานที่เกี่ยวข้องเข้าชี้แจงอาทิ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กรณีของนพ.บุญ วนาสิน ผู้ก่อตั้งโรงพยาบาลธนบุรี ที่พบกรณีฉ้อโกงและฟอกเงิน เป็นมูลค่าสูงกว่า 7,500 ล้านบาท อย่างไรก็ดีในคดีดังกล่าวถูกแจ้งความดำเนินคดีที่ สน.ห้วยขวาง แล้วปี 2566 แต่ไม่มีการดำเนินการใดๆ จนกระทั่งนพ.บุญเดินทางออกไปนอกประเทศและไม่มีการอายัดทรัพย์ ทั้งนี้ในการหลอกหลวงผ่านโฆษณาชวนเชื่อนั้น ทำผ่านโบรกเกอร์ที่หลอกลงทุน ทั้งนี้เชื่อว่าจะเป็นนักลงทุนที่เคยลงทุนที่คุ้นเคยกับเครือโรงพยาบาลธนบุรี “จากการชี้แจงกรณี นพ.บุญของหน่วยงานที่ชี้แจง พบเป็นการโยนกลองกันไปมา ไม่มีหน่วยงานใดที่รับผิดชอบจริงจัง […]

ข่าวแนะนำ

ยูเนสโก ประกาศรับรอง ‘เคบายา’ มรดกวัฒนธรรมที่จับต้องไม่ได้

วธ.เผย ยูเนสโก ประกาศรับรอง ‘เคบายา’ มรดกวัฒนธรรมร่วม 5 ประเทศ บรูไน อินโดนีเซีย มาเลเซีย สิงคโปร์ และไทย ขึ้นทะเบียนมรดกวัฒนธรรมที่จับต้องไม่ได้ของมนุษยชาติ ประจำปี 2567

รัฐบาลจัดพิธีอัญเชิญพระเขี้ยวแก้ว อย่างยิ่งใหญ่

พระบรมสารีริกธาตุพระเขี้ยวแก้ว จากสาธารณรัฐประชาชนจีน อัญเชิญมาประดิษฐานเป็นการชั่วคราว ณ มณฑลพิธีท้องสนามหลวงแล้ววันนี้ พร้อมริ้วขบวนอัญเชิญอย่างยิ่งใหญ่ ก่อนเปิดให้ประชาชนสักการะ พรุ่งนี้ (5 ธ.ค.) วันแรก

เปิดนาทีระทึก! เรือบรรทุก ชนเรือนำเที่ยวกลางเจ้าพระยา

ระทึก เรือพ่วงบรรทุก เฉี่ยวชนเรือนำเที่ยว จอดเทียบริมตลิ่งแม่น้ำเจ้าพระยา ใกล้สะพานกรุงเทพฯ ทำให้เรือนำเที่ยวขนาดใหญ่เสียหาย 5 ลำ เรือเล็กจมอีก 1 ลำ