เมื่อ Scammer ไม่ได้หลอกแค่เหยื่อ !!!: เบื้องหลังเทคนิคที่ใช้หลอกคน หลอก Google และหลอกระบบตรวจจับ

ในอดีต การหลอกลวงออนไลน์มักอาศัยอีเมลปลอม SMS ปลอม หรือเว็บไซต์ที่ เลียนแบบองค์กรที่มีชื่อเสียง แต่ในปัจจุบัน กลุ่มมิจฉาชีพและผู้ดำเนินการเว็บไซต์ ผิดกฎหมายมีการพัฒนาเทคนิคที่ซับซ้อนขึ้นอย่างมาก
โดยเว็บไซต์จำนวนไม่น้อยที่ไม่ได้รอให้เหยื่อคลิกลิงก์จากข้อความหลอกลวงอีกต่อไป แต่ใช้ Search Engine Optimization (SEO), Cloaking, Traffic Redirection และ Social Engineering เพื่อดึงดูดผู้ใช้งานผ่านผลการค้นหาของ Search Engine โดยตรง
บทความนี้จะพาไปสำรวจเทคนิคที่ถูกใช้งานจริงในเว็บไซต์หลอกลวง เว็บไซต์ฟิชชิง และเว็บไซต์พนันออนไลน์จำนวนมาก พร้อมอธิบายว่าทำไมเว็บไซต์เหล่านี้จึงสามารถหลบเลี่ยงการตรวจจับและยังคงปรากฏบนผลการค้นหาได้
ภาพรวมกระบวนการโจมตี
โดยรูปแบบการทำงานที่พบได้บ่อยมีลักษณะ ดังนี้
- เริ่มต้นด้วยการสร้าง หรือ ยึดครองเว็บไซต์
- ทำ Search Engine Optimization (SEO) เพื่อให้ติดอันดับ Search Engine
- ใช้ Cloaking เพื่อหลอก Search Engine
- ทำการ Redirect ผู้ใช้งานจริงไปยังเว็บไซต์เป้าหมาย (ซึ่งคือเว็บที่ใช้หลอกนั่นเอง!)
- สุดท้ายใช้ท่าจบด้วย Social Engineering เพื่อโน้มน้าวให้ดำเนินการบางอย่างที่ hacker ต้องการ
ผลลัพธ์คือ Search Engine มองเห็นเว็บไซต์หนึ่ง แต่ผู้ใช้งานกลับเห็นอีกเว็บไซต์หนึ่ง
จากภาพรวมกระบวนการโจมตี หลายคนอาจเคยพบเหตุการณ์ลักษณะนี้ เช่น ค้นหาคำบางคำบน Google แล้วพบเว็บไซต์ที่ดูเหมือนบทความทั่วไป แต่เมื่อกดเข้าไปกลับถูกพาไปยังเว็บไซต์พนัน เว็บไซต์ลงทุนปลอม หรือเว็บไซต์ที่พยายามหลอกให้กรอกข้อมูลส่วนตัว
คำถามที่น่าสนใจคือ หากเว็บไซต์เหล่านี้มีพฤติกรรมที่ไม่เหมาะสม ทำไมจึงยังปรากฏอยู่บนผลการค้นหาได้?
คำตอบคือ ผู้ไม่หวังดีไม่ได้พยายามหลอกเฉพาะผู้ใช้งานเท่านั้น แต่ยังพยายามหลอก Search Engine และระบบตรวจจับต่าง ๆ ไปพร้อม ๆ กันด้วย
ในเมื่อเราไม่ได้เป็นแค่ส่วนเดียวที่โดนหลอก แต่ยังมี Search Engine และระบบตรวจจับอีกที่เป็นเพื่อนโดนหลอกไปกับเรา งั้นเรามาแกะเบื้องหลังของ hacker กันดีกว่าค่ะ ว่าในแต่ละมุมมองของสิ่งที่หลอกนั้น มีขั้นตอนหรือเทคนิคอะไรซ่อนอยู่ ไปส่องกันโลดดด !!!
ขั้นตอนที่ 1: หลอก Search Engine ก่อนหลอกคน
ก่อนที่มิจฉาชีพจะหลอกเหยื่อได้สำเร็จ พวกเขาต้องทำให้เหยื่อ “เจอ” เว็บไซต์ปลอมเสียก่อน และช่องทางที่ทรงพลังที่สุดก็คือ Search Engine ไม่ว่าจะเป็น Google, Bing หรือระบบค้นหาอื่น ๆ
มิจฉาชีพยุคใหม่จึงไม่ได้พึ่งแค่ลิงก์หลอกใน SMS หรืออีเมลอีกต่อไป แต่หันมาใช้เทคนิคด้าน SEO เพื่อดันเว็บไซต์ปลอมให้ขึ้นไปอยู่ในผลการค้นหาอันดับต้น ๆ จนดูน่าเชื่อถือไม่ต่างจากเว็บไซต์จริง
อาวุธยอดนิยมที่ถูกนำมาใช้มีอยู่หลายรูปแบบ แต่เทคนิคที่พบได้บ่อยที่สุดมี 5 ประเภท ดังนี้
- SEO Poisoning — การบิดเบือนผลการค้นหาให้เว็บไซต์อันตรายติดอันดับ
- Keyword Stuffing — การยัดคีย์เวิร์ดจำนวนมากเพื่อหลอกอัลกอริทึม
- Parasite SEO — การอาศัยความน่าเชื่อถือของเว็บไซต์ขนาดใหญ่
- Typosquatting — การดักจับผู้ใช้ที่พิมพ์ชื่อเว็บไซต์ผิด
- Expired Domain Abuse และ Subdomain Takeover — การนำโดเมนเก่าหรือซับโดเมนที่ถูกทิ้งมาใช้ในทางที่ผิด
แม้แต่ละเทคนิคจะมีวิธีการแตกต่างกัน แต่เป้าหมายเหมือนกันทั้งหมด นั่นคือการทำให้เว็บไซต์ของผู้โจมตีปรากฏต่อหน้าผู้ใช้ในช่วงเวลาที่พวกเขากำลังค้นหาข้อมูล และลดความสงสัยให้น้อยที่สุด ทีนี้เรามาลงลึกถึงเบื้องหลังของแต่ละประเภทกันดีกว่าค่ะ มาเริ่มกันที่ …
1 SEO Poisoning:
โดยปกติ SEO หรือ Search Engine Optimization เป็นกระบวนการที่ธุรกิจใช้เพื่อเพิ่มโอกาสให้เว็บไซต์ถูกค้นพบผ่าน Search Engine มากขึ้น แต่ในอีกด้านหนึ่ง เทคนิคเดียวกันนี้สามารถถูกนำมาใช้ในทางที่ผิดได้เช่นกัน หรือที่เราเรียกกันว่า SEO Poisoning
SEO Poisoning คือการใช้เทคนิค SEO เพื่อผลักดันเว็บไซต์อันตรายให้ติดอันดับผลการค้นหานั่นเอง
โดยผู้โจมตีจะวิเคราะห์คำค้นหาที่มีปริมาณการค้นหาสูง เช่น เครดิตฟรี คาสิโนออนไลน์ สมัครสมาชิก โปรแกรมฟรี ดาวน์โหลดเอกสาร ข่าวด่วน ผลหวย
จากนั้นก็จะสร้างหน้าเว็บจำนวนมากที่มี Keyword เหล่านี้กระจายอยู่ใน
- Title
- URL
- H1 Header
- Meta Description
- Content
ตัวอย่าง Title: "เครดิตฟรีล่าสุด 2026 สมัครสมาชิก รับโบนัสทันที"
URL: /free-credit-2026-register-now
ที่เมื่อ Search Engine ทำการ Crawl เว็บไซต์ จะเข้าใจว่าเว็บไซต์มีเนื้อหาตรงกับคำค้นหา จึงมีโอกาสถูก Index และแสดงบนผลการค้นหา
ตัวอย่างที่พบในเหตุการณ์จริง: ที่หลาย Incident Response Report พบว่าผู้โจมตีเจาะเว็บไซต์ที่มีชื่อเสียงอยู่แล้ว จากนั้นแอบสร้างหน้าเว็บ SEO Spam หลายพันหน้า ตัวอย่าง เช่น
- เว็บไซต์มหาวิทยาลัย
- เว็บไซต์หน่วยงานรัฐ
- เว็บไซต์บริษัทเอกชน
โดยที่เจ้าของเว็บไซต์อาจไม่รู้ตัวว่าถูกเพิ่มหน้าเว็บ SEO Spam เข้าไปในระบบแล้ว
2 Keyword Stuffing:
บางเว็บไซต์ถึงขั้นยัด Keyword ซ้ำจำนวนมาก เช่น
"เครดิตฟรี เครดิตฟรี เครดิตฟรี สมัครสมาชิก เครดิตฟรี"
ข้อความเหล่านี้ไม่ได้มีไว้ให้คนอ่าน แต่มีไว้ให้ Search Engine อ่าน แม้ว่าวันนี้ Search Engine จะตรวจจับได้ดีขึ้นมากแล้ว แต่เทคนิคในลักษณะนี้ยังคงถูกพบอยู่เสมอ
3 Parasite SEO:
Parasite SEO คือการใช้ชื่อเสียงของเว็บไซต์ที่น่าเชื่อถือเพื่อดันอันดับ Search Engine
ตัวอย่าง เช่น ผู้โจมตีเจาะเว็บไซต์ที่มี Domain Authority สูง
จากนั้น
- สร้างหน้าเว็บแฝง
- อัปโหลดบทความปลอม
- แทรก Backlink
ทำให้ Search Engine เชื่อถือหน้าเว็บดังกล่าว และติดอันดับได้ง่ายขึ้น
กรณีศึกษาจากเหตุการณ์จริง
ในปี 2011 มีรายงานว่าผู้โจมตีได้แทรกหน้าเว็บจำนวนมากลงบนเว็บไซต์ย่อยของ NASA และมหาวิทยาลัยหลายแห่ง เช่น Stanford University โดยหน้าเว็บเหล่านี้มีการยัด Keyword และเนื้อหาที่เกี่ยวข้องกับซอฟต์แวร์ยอดนิยมจำนวนมาก เพื่อให้ติดอันดับบน Search Engine
ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่าผู้โจมตีอาศัยความน่าเชื่อถือของโดเมนที่มีชื่อเสียงในการเพิ่มอันดับผลการค้นหา ซึ่งเป็นตัวอย่างของการใช้เทคนิค SEO Spam และ Parasite SEO บนเว็บไซต์ที่ถูกเจาะระบบ
เหตุการณ์นี้สะท้อนให้เห็นว่า แม้เว็บไซต์จะเป็นขององค์กรที่มีชื่อเสียงหรือได้รับความเชื่อถือสูง แต่หากถูกบุกรุก ผู้โจมตีก็สามารถนำชื่อเสียงของเว็บไซต์มาใช้เพื่อเพิ่มโอกาสในการหลอกลวงผู้ใช้งานได้เช่นกัน
NASA, Stanford Websites Hit by Search Engine Scammers | PCWorld
เคสนี้ผู้โจมตีไม่ได้อาศัยเพียงการใส่ Keyword ลงในหน้าเว็บเท่านั้น แต่ยังอาศัยชื่อเสียงและความน่าเชื่อถือของโดเมนที่ถูกเจาะระบบร่วมด้วย
เว็บไซต์อย่าง NASA หรือ Stanford มี Backlink จำนวนมากและถูก Search Engine มองว่าเป็นเว็บไซต์ที่น่าเชื่อถืออยู่แล้ว เมื่อมีหน้าเว็บใหม่ถูกสร้างขึ้นภายใต้โดเมนเหล่านี้ Search Engine จึงมีแนวโน้มที่จะเข้ามา Crawl และ Index หน้าเว็บดังกล่าวได้รวดเร็วกว่าเว็บไซต์ที่เพิ่งสร้างใหม่
งั้นเราลองมาทายกันดูไหมคะ ว่าเว็บไซต์ของหน่วยงานราชการของไทยเองจะมีเนื้อหาเกี่ยวกับเรื่องนี้หรือไม่ เช่น เรื่องของการ “ตรวจหวย” ?
ซึ่งแน่นอนไม่พลาดที่จะมีอยู่แล้ว โดยจากภาพด้านล่าง เป็นตัวอย่างจริงจากผลการค้นหาที่พบ Keyword ลักษณะ SEO Spam บนเว็บไซต์ภาครัฐบางแห่ง ซึ่งเป็นหนึ่งในพฤติกรรมที่พบได้บ่อยจากการโจมตีแบบ SEO Poisoning และ Parasite SEO นั่นเอง

ภาพจากผลการค้นหาที่พบ Keyword ลักษณะ SEO Spam บนเว็บไซต์ภาครัฐบางแห่ง
4 Typosquatting และ Domain Impersonation:
เทคนิคนี้อาศัยการจดชื่อโดเมนที่คล้ายกับเว็บไซต์จริง
ตัวอย่าง เช่น
company-example.com
cornpany-example.com
companyexarnple.com
ผู้ใช้ที่พิมพ์ผิดเพียงเล็กน้อยอาจถูกพาไปยังเว็บไซต์ปลอม
งานวิจัยด้าน Cybersecurity พบว่า Typosquatting ยังคงเป็นช่องทางสำคัญ ในการกระจายเว็บหลอกลวงและ Social Engineering Campaigns
[1906.10762] Large-Scale Analysis of Pop-Up Scam on Typosquatting URLs
5 Expired Domain Abuse & Subdomain Takeover:
อีกหนึ่งเทคนิคที่พบได้บ่อยคือการนำทรัพยากรที่ถูกเจ้าของเดิมปล่อยทิ้งกลับมาใช้งานในทางที่ผิด ไม่ว่าจะเป็นโดเมนที่หมดอายุแล้ว หรือซับโดเมนที่ยังคงชี้ไปยังบริการภายนอกที่ถูกยกเลิกไปแล้ว
Expired Domain Abuse: ผู้โจมตีมักเฝ้าติดตามโดเมนที่หมดอายุการจดทะเบียน โดยเฉพาะโดเมนที่เคยมีชื่อเสียงหรือเคยถูกใช้งานจริงมาก่อน เนื่องจากโดเมนเหล่านี้มักมีคุณสมบัติที่เป็นประโยชน์ต่อการจัดอันดับบน Search Engine อยู่แล้ว เช่น
- มี Backlink จากเว็บไซต์อื่นจำนวนมาก
- มีประวัติการทำ SEO มาก่อน
- มีความน่าเชื่อถือของโดเมน (Domain Reputation) สะสมอยู่
เมื่อซื้อโดเมนเหล่านี้กลับมา ผู้โจมตีสามารถนำไปสร้างเว็บไซต์ปลอม หรือใช้เป็นฐานสำหรับการทำ SEO Poisoning ได้รวดเร็วกว่าการเริ่มต้นจากโดเมนใหม่
Subdomain Takeover: ในบางกรณี องค์กรอาจเชื่อมต่อซับโดเมนของตนเข้ากับบริการจากผู้ให้บริการภายนอก เช่น Cloud Platform, SaaS หรือระบบโฮสต์เว็บไซต์ต่าง ๆ
เมื่อเลิกใช้งานบริการดังกล่าว เจ้าของระบบอาจลบ Resource ออกไปแล้ว แต่ลืมลบ DNS Record ที่ยังคงชี้ไปยังปลายทางเดิม ส่งผลให้ซับโดเมนนั้นยังคงมีอยู่ในระบบ DNS แม้ว่าบริการปลายทางจะถูกยกเลิกไปแล้วก็ตาม
หากผู้โจมตีสามารถสร้าง Resource ใหม่และเข้าครอบครองปลายทางดังกล่าวได้ ซับโดเมนเดิมขององค์กรอาจถูกนำไปแสดงเนื้อหาที่ผู้โจมตีควบคุมได้ทั้งหมด ทำให้ดูเหมือนเป็นเว็บไซต์ที่อยู่ภายใต้โดเมนขององค์กรจริง และเพิ่มโอกาสในการหลอกลวงผู้ใช้งานได้อย่างมาก
ทั้งนี้ การเข้าครอบครองปลายทางดังกล่าวไม่ได้หมายความว่าผู้โจมตีจะต้องได้รับ IP Address เดิมเสมอไป ในหลายกรณี ผู้โจมตีเพียงสร้าง Resource ใหม่บนบริการเดียวกัน และเข้าครอบครอง Endpoint หรือ Resource Name ที่ DNS Record ขององค์กรยังคงอ้างอิงอยู่ ก็อาจทำให้เกิด Subdomain Takeover ได้แล้ว
แม้ว่า Expired Domain Abuse และ Subdomain Takeover จะใช้เทคนิคที่แตกต่างกัน แต่ทั้งสองรูปแบบอาศัยแนวคิดเดียวกัน คือการนำทรัพยากรที่ถูกละทิ้งกลับมาใช้ประโยชน์ เพื่อสืบทอดความน่าเชื่อถือที่เจ้าของเดิมสร้างไว้ และนำมาใช้เป็นเครื่องมือในการโจมตีหรือหลอกลวงผู้ใช้งานต่อไป

ขั้นตอนที่ 2: หลอก Google หรือระบบตรวจจับ
เทคนิคที่ถูกนำมาใช้เพื่อหลบเลี่ยงการตรวจจับมีอยู่หลายรูปแบบ แต่กลวิธีที่พบได้บ่อยที่สุดมี 4 ประเภท ดังนี้
1 Cloaking — การแสดงเนื้อหาคนละแบบระหว่างผู้ใช้และระบบตรวจจับ 2. User-Agent Detection — การตรวจสอบประเภทผู้เข้าชมก่อนตอบสนอง 3. Geo-Targeting & Device Targeting — การคัดกรองเป้าหมายตามตำแหน่งที่ตั้งและอุปกรณ์ 4. Traffic Redirection — การส่งต่อผู้ใช้งานผ่านหลายโดเมนหรือหลายปลายทางเพื่อลดร่องรอยการโจมตี
แม้แต่ละเทคนิคจะมีวิธีการทำงานแตกต่างกัน แต่เป้าหมายเหมือนกันทั้งหมด นั่นคือการทำให้ Search Engine, ระบบสแกนความปลอดภัย และนักวิเคราะห์มองเห็นเว็บไซต์ที่ดูปกติและไม่น่าสงสัย ขณะที่ผู้ใช้งานจริงกลับถูกนำไปยังเนื้อหาหรือเว็บไซต์อันตรายโดยไม่รู้ตัว
แล้วผู้โจมตีทำสิ่งเหล่านี้ได้อย่างไร? เรามาเริ่มทำความรู้จักกับเทคนิคแรกอย่าง Cloaking กันก่อนเลยค่ะ
1 Cloaking: แสดงผลไม่เหมือนกันสำหรับคนและ Search Engine
หนึ่งในเทคนิคที่พบได้บ่อยคือ “Cloaking”
Google ให้นิยามว่าเป็นการแสดงเนื้อหาคนละแบบระหว่าง Search Engine และผู้ใช้งานจริง เพื่อทำให้ Search Engine เข้าใจเว็บไซต์ไม่ตรงกับความเป็นจริง
Spam Policies for Google Web Search | Google Search Central | Documentation | Google for Developers
ผลลัพธ์คือ Google เห็นเว็บแบบหนึ่ง แต่ผู้ใช้เห็นอีกแบบหนึ่ง
งานวิจัยด้านความมั่นคงปลอดภัยยังพบว่าเว็บไซต์อันตรายจำนวนมากใช้ Cloaking เพื่อซ่อนพฤติกรรมจาก Search Engine และระบบตรวจจับอัตโนมัติ
On cloaking behaviors of malicious websites — ScienceDirect
2 User-Agent Detection:
User-Agent ไม่ใช่เรื่องเล็กอย่างที่คิด หลายคนอาจเคยได้ยินคำว่า User-Agent ผ่านหูมาบ้าง ว่า User-Agent คือข้อมูลที่ Browser ส่งไปยัง Server เพื่อบอกว่าอุปกรณ์หรือโปรแกรมที่กำลังเข้าถึงเว็บไซต์คืออะไร
ตัวอย่าง เช่น
- Chrome
- Firefox
- Safari
- Googlebot
เว็บไซต์สามารถนำข้อมูลนี้มาใช้ในการตัดสินใจได้ หากตรวจพบว่าเป็น Googlebot อาจแสดงหน้าเว็บที่ดูปลอดภัยและมีเนื้อหาปกติ แต่หากตรวจพบว่าเป็นผู้ใช้งานทั่วไป อาจสั่ง Redirect ไปยังเว็บไซต์อีกแห่งทันที ทำให้การวิเคราะห์เว็บไซต์เหล่านี้จาก Browser เพียงอย่างเดียวอาจไม่เพียงพอ อย่างไรก็ตาม ในปัจจุบันเว็บไซต์ที่ใช้เทคนิค Cloaking จำนวนมากไม่ได้พึ่งพา User-Agent เพียงอย่างเดียวเช่นกัน
หลายแห่งตรวจสอบข้อมูลเพิ่มเติมร่วมกัน เช่น
- IP Address
- ประเทศต้นทาง
- Autonomous System Number (ASN)
- Browser Fingerprint
- Referrer
- พฤติกรรมการใช้งาน
เพื่อประเมินว่าผู้เข้าชมเป็น Search Engine นักวิเคราะห์ หรือเหยื่อเป้าหมาย
ทั้งนี้ Google เองระบุว่าการใช้ User-Agent เพื่อแสดงเนื้อหาคนละแบบโดยมีเจตนาหลอกลวงถือเป็น Cloaking
ตัวอย่าง เช่น เมื่อใช้ User-Agent ที่เป็น Googlebot เข้ามาเก็บข้อมูลบางครั้งอาจเห็นเป็นข้อมูลทั่วไป ได้แก่ หน้าเว็บเกี่ยวกับข่าวสาร หรือบทความทั่วไปที่มีเนื้อหาปกติ เพื่อให้เห็นภาพการทำงาน จึงจำลองสถานการณ์ผ่าน Burp Suite โดยส่ง Request เดียวกันแต่เปลี่ยนค่า User-Agent ดังภาพด้านล่าง

ภาพ HTTP request และ response จาก BurpSuite ที่ Demo กรณีเข้าใช้งานผ่าน User Agent: Googlebot

ภาพ Demo ของหน้าเว็บที่ GoogleBot เห็น
แต่เมื่อ User-Agent คือผู้ใช้งานจริงที่เข้าผ่าน Browser ก็จะเห็นเป็นหน้าเว็บหลอกลวงหน้าเว็บโฆษณาผิดกฎหมาย หรือหน้าฟิชชิง และในบางครั้งอาจถูก Redirect ไปหน้าเว็บที่เป็นอันตราย ซึ่งหน้าที่ผู้ใช้งานจริงเห็นนั้นจะไม่เหมือนกับหน้าที่ Search Engine เห็น ดังภาพด้านล่างนั่นเอง

ภาพ HTTP request และ response จาก BurpSuite ที่ Demo กรณีเข้าใช้งานผ่าน User Agent: ทั่วไป (ผู้ใช้งานจริง)

ภาพ Demo ของหน้าเว็บที่ ผู้ใช้งานจริง เห็น
3 Geo-Targeting และ Device Targeting: เว็บเดียวกัน แต่คนละประเทศเห็นไม่เหมือนกัน
เว็บไซต์บางแห่งไม่ได้แสดงเนื้อหาเหมือนกันสำหรับทุกคน แต่พวกเขาอาจตรวจสอบปัจจัยอื่น ๆ ร่วมด้วย ไม่ว่าจะเป็น
- ประเทศ
- ภาษา
- ระบบปฏิบัติการ
- ประเภทอุปกรณ์
ตัวอย่าง เช่น
- กรณี Security Researcher เข้าชมเว็บจะเห็นเป็น หน้าเว็บว่าง
- กรณี Googlebot เข้าชมหน้าเว็บจะเห็นเป็น หน้าเว็บปกติ
- กรณี ผู้ใช้มือถือทั่วไป เข้าชมหน้าเว็บจะเห็นเป็น หน้าเว็บหลอกลวง
- และกรณี ผู้ใช้บางประเทศ เข้าชมหน้าเว็บจะ Redirect ไปอีกเว็บที่อาจจะเว็บหลอกเช่นเดียวกัน
พฤติกรรมลักษณะนี้ถูกพบในหลายแคมเปญหลอกลวงและฟิชชิงสมัยใหม่
4 Traffic Redirection:
อีกเทคนิคที่พบเป็นประจำคือการ Redirect หลายชั้น ทำให้ผู้ใช้งานถูกเปลี่ยนเส้นทางหลายครั้งโดยที่ไม่รู้ตัว
ตัวอย่างด้านล่าง เป็นลำดับการ Redirect ที่พบได้ในแคมเปญ SEO Poisoning โดยผู้ใช้งานอาจถูกส่งต่อผ่านหลายโดเมนก่อนถึงเว็บไซต์ปลายทางจริง ทำให้การตรวจสอบทำได้ยากขึ้น และช่วยหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยบางประเภท
Google Search
│
▼
SEO Spam Page
(on compromised .go.th)
│
▼
Tracking Domain
(collect campaign data)
│
▼
Redirect Domain
(check User-Agent/IP)
│
▼
Final Scam Website
(Gambling / Phishing / Investment Scam)
ขั้นตอนที่ 3: หลอกเหยื่อ
สิ่งที่น่ากลัวที่สุดอาจไม่ใช่เทคนิคที่กล่าวมา แม้จะมีคำศัพท์อย่าง SEO Poisoning Cloaking หรือ User-Agent Detection เข้ามาเกี่ยวข้อง แต่สุดท้ายแล้ว เป้าหมายหลักยังคงเป็นมนุษย์อยู่ดี โดยสิ่งที่ผู้โจมตีต้องการไม่ใช่การเอาชนะ Search Engine แต่คือการทำให้เหยื่อเชื่อใจ
การปรากฏอยู่บนผลการค้นหาของ Google ทำให้เว็บไซต์ได้รับความน่าเชื่อถือ โดยอัตโนมัติในสายตาของผู้ใช้งานจำนวนมาก หลายคนมีความระมัดระวัง เมื่อได้รับลิงก์จาก SMS แต่กลับไม่ลังเลที่จะคลิกลิงก์ที่ปรากฏบน Search Engine และนี่คือจุดที่ผู้โจมตีใช้ประโยชน์
เราเรียกเทคนิคพวกนี้ว่า Social Engineering
แม้จะมีเทคนิคทางเทคนิคมากมาย แต่สิ่งที่ทำให้เหยื่อตกหลุมพรางจริง ๆ คือจิตวิทยา
1 ความเร่งด่วน (Urgency):
“บัญชีของคุณจะถูกระงับภายใน 24 ชั่วโมง”
“โปรโมชั่นหมดคืนนี้”
ผู้โจมตีพยายามลดเวลาที่เหยื่อจะใช้คิดให้สั้นลง เพื่อเร่งการทำตามขั้นตอนที่ผู้โจมตีวางแผนไว้
2 ความกลัว (Fear):
“ตรวจพบการเข้าสู่ระบบผิดปกติ”
“บัญชีของคุณมีความเสี่ยง”
เมื่อความกลัวเกิดขึ้น ก็จะทำให้คนตัดสินใจเร็วขึ้น
3 ความโลภ (Greed):
“รับเงินฟรี”
“กำไรวันละ 10%”
“ลงทุน 1,000 บาท รับคืน 10,000 บาท”
แม้ดูไม่น่าเชื่อ แต่ยังคงมีเหยื่อจำนวนมากตกเป็นเป้าหมาย
4 ความน่าเชื่อถือปลอม (Authority):
การแอบอ้างองค์กรที่น่าเชื่อถือ เช่น
- ธนาคาร
- หน่วยงานรัฐ
- บริษัทดัง
ยังคงเป็นหนึ่งในเทคนิคที่ได้ผลที่สุด
FOMO (Fear Of Missing Out)
ผู้โจมตีมักสร้างความรู้สึกว่า
“คนอื่นกำลังได้ประโยชน์ แต่คุณกำลังพลาด”
เพื่อกระตุ้นให้เหยื่อรีบดำเนินการ
🛑 และส่วนใหญ่มักคิดว่า … “ฉันไม่เล่นพนัน ไม่หลงกลลงทุนหรอก” …แน่ใจแล้วหรือ?
ทั้งนี้หลายคนเมื่อเห็นข่าวเกี่ยวกับเว็บพนันออนไลน์ เว็บไซต์ลงทุนปลอม หรือ SEO Poisoning มักคิดว่าเป็นเรื่องไกลตัว เพราะตนเองไม่ได้เล่นพนันและไม่ได้สนใจการลงทุนที่ให้ผลตอบแทนเกินจริง
แต่ในความเป็นจริงแล้ว เว็บไซต์เหล่านี้ไม่ได้ถูกสร้างขึ้นมาเพื่อหลอกเฉพาะคนที่ต้องการเล่นพนันหรือหาช่องทางลงทุนเท่านั้น
Traffics จำนวนมหาศาลที่ถูกดึงเข้ามาจาก Search Engine สามารถถูกนำไปใช้เป็นช่องทางกระจายการโจมตีรูปแบบอื่นได้อีกมากมาย ไม่ว่าจะเป็น
1 Malware & Ransomware Distribution:
เว็บไซต์อาจปลอมตัวเป็นหน้า “ดาวน์โหลดโปรแกรมฟรี” หรือ “อัปเดต Browser เวอร์ชันล่าสุด”
เมื่อผู้ใช้งานดาวน์โหลดและเปิดไฟล์ที่ได้รับ มัลแวร์หรือ Ransomware อาจถูกติดตั้งลงบนเครื่องทันที ส่งผลให้ข้อมูลถูกเข้ารหัส ถูกขโมย หรือไม่สามารถใช้งานระบบได้ตามปกติ
2 Credential Harvesting (ขโมยบัญชีผู้ใช้งาน):
อีกหนึ่งเป้าหมายยอดนิยมคือการสร้างหน้า Login ปลอมที่มีหน้าตาใกล้เคียงกับบริการที่ผู้คนใช้งานจริง เช่น
- Gmail
- Microsoft 365
- ระบบธนาคารออนไลน์
เมื่อผู้ใช้งานกรอก Username และ Password ข้อมูลดังกล่าวอาจถูกส่งตรงไปยังผู้โจมตี และถูกนำไปขายต่อหรือใช้โจมตีระบบอื่น ๆ ต่อไป
3 Identity Theft (ขโมยตัวตน):
ผู้โจมตีมักใช้ข้อความล่อลวงในลักษณะ
- “คุณได้รับรางวัลพิเศษ”
- “ได้รับสิทธิ์เงินเยียวยา”
- “ยืนยันตัวตนเพื่อรับสิทธิ์”
จากนั้นหลอกให้กรอกข้อมูลส่วนบุคคล เช่น
- เลขบัตรประชาชน
- เบอร์โทรศัพท์
- วันเดือนปีเกิด
- ข้อมูลบัญชีธนาคาร
ข้อมูลเหล่านี้อาจถูกนำไปใช้สวมรอย เปิดบัญชีม้า หรือใช้เป็นข้อมูลประกอบการหลอกลวงบุคคลอื่นต่อไป
4 Drive-by Download:
รูปแบบที่น่ากังวลที่สุดคือ ผู้ใช้งานอาจไม่จำเป็นต้องดาวน์โหลดไฟล์ใด ๆ เลย
ในบางกรณี หาก Browser หรือปลั๊กอินที่ใช้งานอยู่มีช่องโหว่และไม่ได้รับการอัปเดต เว็บไซต์อันตรายอาจพยายามใช้ช่องโหว่ดังกล่าวเพื่อติดตั้ง Malware หรือเรียกใช้โค้ดที่ไม่พึงประสงค์โดยอัตโนมัติ
แม้ปัจจุบัน Browser สมัยใหม่จะมีมาตรการป้องกันที่ดีขึ้นมาก แต่เทคนิคในลักษณะนี้ยังคงเป็นหนึ่งในเหตุผลสำคัญที่ไม่ควรเข้าชมเว็บไซต์ที่ไม่น่าเชื่อถือโดยไม่จำเป็น
ดังนั้น แม้คุณจะไม่เคยเล่นพนัน ไม่เคยลงทุนกับโครงการผลตอบแทนสูง และไม่คิดจะคลิกลิงก์แปลก ๆ เลยก็ตาม ก็ไม่ได้หมายความว่าคุณจะปลอดภัยจากโครงสร้างพื้นฐานของการหลอกลวงเหล่านี้
เพราะสำหรับผู้โจมตีแล้ว “ผู้เข้าชมทุกคนคือโอกาส” และเป้าหมายไม่ได้มีเพียงการหลอกให้โอนเงินเท่านั้น แต่รวมถึงการขโมยข้อมูล ขโมยตัวตน และยึดครองอุปกรณ์ของเหยื่ออีกด้วย
ขั้นตอนที่ 4: หลอกนักวิเคราะห์
แม้หลังจากที่มีคนเริ่มตรวจสอบแล้ว เว็บไซต์เหล่านี้ยังคงพยายามเอาตัวรอด โดยเทคนิคอื่น ๆ เพิ่มอีกไม่ว่าจะเป็น
- Redirect Chain: โดยเหยื่ออาจถูกส่งต่อผ่านหลายโดเมนกว่าจะถึงปลายทางจริง
- Domain Rotation: เมื่อโดเมนหนึ่งถูกบล็อก ผู้โจมตีจะเปลี่ยนไปใช้โดเมนใหม่แล้วเริ่มวงจรเดิมอีกครั้ง
- Infrastructure Rotation: ทำการเปลี่ยนข้อมูล เช่น
- Hosting
- IP
- CDN
- DNS
เพื่อลดโอกาสถูกติดตามนั่นเอง
เพราะฉะนั้น เมื่อพบเว็บไซต์ต้องสงสัย การเปิดดูผ่าน Browser เพียงอย่างเดียวอาจไม่เพียงพอ สิ่งที่ควรตรวจสอบเพิ่มเติม ได้แก่
- Redirect Chain
- DNS History
- Passive DNS
- WHOIS Information
- Certificate Transparency Logs
- Search Engine Cache
- พฤติกรรมเมื่อเข้าจากประเทศต่าง ๆ
- พฤติกรรมเมื่อใช้ Browser หรือ User-Agent ที่แตกต่างกัน
เพราะบางครั้งเว็บไซต์ที่ดูปกติที่สุด อาจไม่ใช่เว็บไซต์ที่ Search Engine เห็น และเว็บไซต์ที่ Search Engine เห็นก็อาจไม่ใช่เว็บไซต์ที่เหยื่อเห็นเช่นกัน
🛡️ เจอตอขนาดนี้… แล้วเราจะรับมือกับมันอย่างไร?
อ่านมาถึงตรงนี้ หลายคนอาจเริ่มรู้สึกเห็นใจทั้ง Search Engine ทีม Security และเจ้าของแบรนด์อยู่ไม่น้อย
เพราะสิ่งที่ผู้โจมตีกำลังทำ ไม่ได้เป็นเพียงการสร้างเว็บไซต์ปลอมธรรมดา แต่เป็นการสร้างระบบหลอกลวงทั้ง Ecosystem ที่พยายามหลอกทุกฝ่ายพร้อมกัน ทั้งผู้ใช้งาน ทั้ง Search Engine ทั้งระบบตรวจจับ และแม้แต่นักวิเคราะห์ด้านความปลอดภัยเอง
คำถามคือ แล้วองค์กรสามารถป้องกันเรื่องเหล่านี้ได้หรือไม่?
คำตอบคือ “ได้” แต่ไม่สามารถพึ่งมาตรการใดมาตรการหนึ่งเพียงอย่างเดียวได้อีกต่อไป
จึงจำเป็นต้องใช้แนวทางแบบหลายชั้น (layered approach) ที่เชื่อมโยงการมองเห็น การตรวจจับ และการตอบสนองเข้าด้วยกัน โดยเริ่มต้นจาก
1 มองเห็นสิ่งที่เกิดขึ้นนอกองค์กร (External Attack Surface Visibility)
ภัยคุกคามจำนวนมากไม่ได้เริ่มต้นจากระบบภายในองค์กร แต่เกิดขึ้นบนอินเทอร์เน็ตภายนอก ไม่ว่าจะเป็น
- โดเมนเลียนแบบองค์กร (Typosquatting)
- เว็บไซต์ปลอมที่แอบอ้างแบรนด์
- ซับโดเมนที่ถูกทิ้งไว้จนเสี่ยงต่อ Subdomain Takeover
- ระบบหรือบริการที่ถูกเปิดเผยโดยไม่ตั้งใจ
องค์กรจึงจำเป็นต้องมีความสามารถในการติดตามและตรวจสอบ Attack Surface ภายนอกอย่างต่อเนื่อง เพื่อค้นหาความเสี่ยงก่อนที่ผู้โจมตีจะนำไปใช้จริง
2 DNS Hygiene ยังสำคัญกว่าที่คิด
หนึ่งในสาเหตุสำคัญของ Subdomain Takeover คือทรัพยากรที่ถูกยกเลิกใช้งานไปแล้ว แต่ DNS Record ยังคงหลงเหลืออยู่
การตรวจสอบและทำความสะอาด DNS อย่างสม่ำเสมอจึงเป็นเรื่องพื้นฐานที่หลายองค์กรยังมองข้าม ตัวอย่างเช่น
- ลบ CNAME ที่ไม่ได้ใช้งาน
- ตรวจสอบ Resource ที่ถูกยกเลิกบน Cloud Platform
- ทบทวน Subdomain ที่ไม่มีเจ้าของดูแลแล้ว
แม้จะเป็นงานที่ดูธรรมดา แต่สามารถลดความเสี่ยงได้อย่างมาก
3 การวิเคราะห์เว็บไซต์ต้องมองหลายมิติ
สำหรับนักวิเคราะห์ด้านความปลอดภัย การเปิดเว็บไซต์ผ่าน Browser แล้วดูว่า “เว็บนี้ดูปกติ” อาจไม่เพียงพออีกต่อไป เนื่องจากเว็บไซต์จำนวนมากใช้เทคนิค
- Cloaking
- Geo-Targeting
- User-Agent Detection
- Traffic Redirection
เพื่อซ่อนพฤติกรรมจริง การวิเคราะห์จึงต้องอาศัยการสังเกตจากหลายมุมมองร่วมกัน เช่น
- เข้าจากประเทศที่แตกต่างกัน
- เปลี่ยน User-Agent
- วิเคราะห์ Redirect Chain
- ตรวจสอบ DNS และ Infrastructure ที่เกี่ยวข้อง
- ใช้ Sandbox หรือ Environment ที่สามารถจำลองผู้ใช้งานจริงได้
เพื่อลดโอกาสที่ผู้โจมตีจะซ่อนพฤติกรรมอันตรายไว้ได้สำเร็จ
4 เรื่องนี้ไม่ใช่แค่ Cybersecurity แต่คือ Brand Protection
ทุกครั้งที่มีเว็บไซต์ปลอมแอบอ้างองค์กร ผู้เสียหายอาจไม่ได้มองว่าถูกหลอกจากมิจฉาชีพ แต่กลับมองว่าเป็นความผิดพลาดของแบรนด์ที่ถูกนำไปแอบอ้าง ดังนั้น ผลกระทบจึงไม่ได้หยุดอยู่แค่เรื่องความมั่นคงปลอดภัยเท่านั้น แต่ยังรวมถึง
- ความเชื่อมั่นของลูกค้า
- ชื่อเสียงองค์กร
- ความน่าเชื่อถือของบริการ
- ต้นทุนในการตอบสนองต่อเหตุการณ์
ในหลายกรณี การค้นหาและจัดการเว็บไซต์ปลอมให้ได้ตั้งแต่ระยะเริ่มต้น อาจมีต้นทุนต่ำกว่าการปล่อยให้เกิดความเสียหายแล้วค่อยเข้าไปแก้ไขในภายหลัง
ด้วยเหตุนี้ การรับมือกับภัยคุกคามในลักษณะนี้จึงไม่ใช่เพียงเรื่องของการตรวจจับเว็บไซต์ปลอม หรือการบล็อกโดเมนที่เป็นอันตรายแบบรายจุดอีกต่อไป แต่กำลังเปลี่ยนไปสู่การสร้าง “ระบบมองเห็นและเข้าใจความเชื่อมโยงของภัยคุกคามทั้งเครือข่าย” ในระดับที่สูงกว่าเดิม
หนึ่งในแนวคิดที่กำลังมีบทบาทสำคัญคือ Campaign Graph AI
แทนที่จะมองภัยคุกคามเป็นเหตุการณ์แยกกัน เช่น phishing URL หนึ่งโดเมน หรือ IP หนึ่งจุด ระบบลักษณะนี้จะพยายามเชื่อมทุกสัญญาณเข้าด้วยกัน ไม่ว่าจะเป็น DNS, certificate, hosting, redirect chain, พฤติกรรม SEO, หรือแม้แต่รูปแบบการหลอกลวงของหน้าเว็บ แล้วประกอบออกมาเป็น “โครงสร้างของแคมเปญ” ที่อยู่เบื้องหลังทั้งหมด
ผลลัพธ์คือองค์กรจะไม่ได้เห็นเพียง “alert จำนวนมาก” แต่จะเห็นว่า
- โดเมนเหล่านี้มาจากโครงสร้างพื้นฐานเดียวกัน
- เว็บไซต์เหล่านี้กำลังทำงานร่วมกันในแคมเปญเดียวกัน
- และเส้นทางการโจมตีเริ่มต้นและขยายผลอย่างไรในเชิงระบบ
ในมุมของ product นี่ไม่ใช่แค่ threat intelligence dashboard แต่คือ AI system ที่เปลี่ยนข้อมูลความปลอดภัยให้กลายเป็น “เรื่องราวของการโจมตี” ที่เข้าใจได้ในระดับกลยุทธ์
เมื่อถึงจุดนั้น การตัดสินใจขององค์กรจะเปลี่ยนจาก “เราควรบล็อกอะไร” ไปเป็น “เรากำลังเผชิญกับแคมเปญอะไร และจะหยุดมันตรงจุดไหนให้คุ้มที่สุด”
และนี่คือจุดเปลี่ยนสำคัญของ cybersecurity ยุคใหม่ — จากการไล่ล่ารายเหตุการณ์ ไปสู่การเข้าใจ “เครือข่ายของการหลอกลวงทั้งระบบ”
ทั้งนี้ นอกจากแนวคิด Campaign Graph AI แล้ว ยังมีโซลูชันสำคัญอื่น ๆ ที่ช่วยเสริมการมองเห็นและการตอบสนองต่อภัยคุกคามในระดับ ecosystem ได้อย่างครบวงจร ได้แก่
1) External Attack Surface Management (EASM) ช่วยให้องค์กรค้นหาและติดตาม asset ที่ถูกลืมหรือไม่ถูกควบคุม เช่น domain, subdomain, cloud resource และ exposed service ที่อาจถูกนำไปใช้โจมตี
2) Brand & Phishing Protection Platform ระบบตรวจจับการแอบอ้างแบรนด์ เช่น domain เลียนแบบ, phishing site, SEO abuse และ campaign ที่ใช้ชื่อองค์กรหลอกผู้ใช้งาน
3) Threat Intelligence Correlation Engine รวมสัญญาณจากหลายแหล่ง เช่น DNS, certificate, IP, hosting และ traffic behavior เพื่อเชื่อมโยงเหตุการณ์แยกย่อยให้กลายเป็น “แคมเปญการโจมตี” แทน incident เดี่ยว ๆ
4) Automated Takedown & Response System ระบบช่วยดำเนินการปิดกั้นหรือแจ้งลบโดเมน/เว็บไซต์อันตราย ผ่าน registrar, hosting provider และ workflow ทางกฎหมายแบบอัตโนมัติ
ทั้งนี้ แนวคิดดังกล่าวไม่ได้เป็นเพียงทิศทางในเชิงทฤษฎีเท่านั้น แต่ปัจจุบันเริ่มมีผู้พัฒนาโซลูชันที่รวมความสามารถเหล่านี้เข้าด้วยกันมากขึ้น ไม่ว่าจะเป็นแพลตฟอร์มด้าน External Attack Surface Management (EASM), Digital Risk Protection (DRP), Brand Protection หรือ Threat Intelligence Platform

Platform — Cyberint
ตัวอย่าง เช่น โซลูชันอย่าง Check Point Exposure Management | Formerly Cyberint ที่รวมความสามารถในการค้นหาและติดตาม Attack Surface ภายนอก การตรวจจับโดเมนแอบอ้างแบรนด์ การเฝ้าระวังแคมเปญฟิชชิง รวมถึงการเชื่อมโยงข้อมูลภัยคุกคามจากหลายแหล่งเข้าด้วยกัน เพื่อช่วยให้องค์กรมองเห็นความเสี่ยงได้ตั้งแต่ระยะเริ่มต้นและตอบสนองได้รวดเร็วยิ่งขึ้น
นอกจากนี้ ยังมีผลิตภัณฑ์ในตลาดอีกหลากหลายรูปแบบ เช่น Microsoft Defender EASM, Palo Alto Cortex Xpanse, ZeroFox, Recorded Future, Flashpoint และ ThreatConnect ซึ่งบ่งบอกให้เห็นได้ว่าตลาดกำลังขยับจากการใช้เครื่องมือแบบแยกส่วน ไปสู่แพลตฟอร์มที่สามารถเชื่อมโยงการมองเห็น การวิเคราะห์ และการตอบสนองเข้าด้วยกันได้ในภาพเดียว
ทั้งหมดนี้สะท้อนให้เห็นถึงการรับมือภัยคุกคามยุคใหม่ที่ไม่สามารถพึ่งเครื่องมือหรือการตรวจจับแบบจุดต่อจุดได้อีกต่อไป แต่ต้องเปลี่ยนไปสู่การเชื่อมโยง “สัญญาณความเสี่ยง” ให้กลายเป็นภาพเดียวกันของทั้งระบบ ตั้งแต่โครงสร้างพื้นฐาน พฤติกรรมของแคมเปญ ไปจนถึงผลกระทบต่อแบรนด์และผู้ใช้งาน
และนี่คือเหตุผลที่แนวคิดอย่าง Campaign Graph AI, EASM และ Threat Correlation กำลังกลายเป็นแกนกลางของ cybersecurity ยุคถัดไป — เพราะมันไม่ได้ช่วยให้เราเห็นภัยคุกคามมากขึ้น แต่ช่วยให้เรา “เข้าใจมันเป็นเรื่องเดียวกัน”
ทั้งนี้ Incognito Lab มีโซลูชันด้าน External Attack Surface Management (EASM), Brand Protection และ Threat Intelligence สำหรับองค์กรที่ต้องการยกระดับการมองเห็นและรับมือภัยคุกคามภายนอกอย่างเป็นระบบ หากสนใจแนวทางหรือโซลูชันในลักษณะดังกล่าว สามารถติดต่อสอบถามทีมงานได้ที่ Contact | Incognito Lab
บทเรียนที่น่าสนใจ
สิ่งที่น่ากลัวที่สุดของ Scammer ยุคใหม่ ไม่ใช่การสร้างเว็บไซต์ปลอม แต่คือการสร้าง “ความน่าเชื่อถือปลอม”
1. ผ่าน Search Engine
2. ผ่าน SEO
3. ผ่านเว็บไซต์ที่ดูถูกต้อง
4. ผ่านการแอบอ้างแบรนด์
5. ผ่านจิตวิทยาของมนุษย์
และพวกเขาไม่ได้พยายามหลอกเฉพาะเหยื่อ แต่พยายามหลอกทุกฝ่ายพร้อมกัน
- ทั้ง Search Engine
- ทั้งระบบตรวจจับ
- ทั้งนักวิเคราะห์
- และสุดท้ายคือผู้ใช้งาน
บทสรุป
SEO ถูกสร้างขึ้นมาเพื่อช่วยให้ผู้คนค้นพบข้อมูลที่ต้องการ แต่เช่นเดียวกับเทคโนโลยีหลายอย่าง มันสามารถถูกนำไปใช้ในทางที่ผิดได้
SEO Poisoning, Cloaking และเทคนิคการเปลี่ยนเส้นทางผู้ใช้งาน เป็นตัวอย่างของวิธีที่ผู้ไม่หวังดีใช้ประโยชน์จากความเชื่อมั่นที่ผู้คนมีต่อ Search Engine
การติดอันดับบน Google ไม่ได้หมายความว่าเว็บไซต์นั้นปลอดภัยเสมอไป
และในโลกที่การโจมตีมีความซับซ้อนมากขึ้นทุกวัน การตั้งคำถามกับสิ่งที่เราเห็น อาจเป็นมาตรการป้องกันที่สำคัญที่สุดอย่างหนึ่ง
เพราะฉะนั้น สิ่งที่ควรจำไว้เสมอคือ
“การค้นหาเจอ ไม่ได้แปลว่าปลอดภัย”
แหล่งข้อมูลเพิ่มเติม
- Google Search Central — Spam Policies (Cloaking) — Spam Policies for Google Web Search | Google Search Central | Documentation | Google for Developers
- Google Search Central — Googlebot Documentation — What Is Googlebot | Google Search Central | Documentation | Google for Developers
- On Cloaking Behaviors of Malicious Websites (Computers & Security Journal) — On cloaking behaviors of malicious websites — ScienceDirect
- Detecting Hidden Illegal Online Gambling on Government Domains Using Black Hat SEO Research — Detecting Hidden Illegal Online Gambling on .go.id Domains Using Web Scraping Algorithms | MATRIK : Jurnal Manajemen, Teknik Informatika dan Rekayasa Komputer
- Netcraft Research on Search Ad Cloaking — Uncloaking Fake Search Ads | Netcraft
- Infoblox / Confiant Investigation on Large-scale Scam Infrastructure — Inside the 15,500 malicious domains secretly using ad trackers to push AI investment scams across the web | TechRadar
OUR SERVICES
PENETRATION TEST
With our high-ethical, professional certified team and methodology based on NIST SP800-115, we offer a full range of cost-effective services to identify your cyber risks in application, infrastructure, and mobile platforms to meet the requirements of your organisation.
Up Next

ARTICLES
Jul
08
2026
Kerberos Delegation Attacks (Part 1): Overview & Unconstrained Delegation Abuse
Kerberos Delegation เป็นกระบวนการหรือการทำงานที่ถูกสร้างขึ้นเพื่อช่วยในการแก้ปัญหาในระดับ Enterprise ซึ่งกระบวนการข้างต้นมักพบในการใช้งานที่ต้องมีการยืนยันตัวตนแบบหลายต่อ (Multi-tier applications) แต่ในมุมมองของด้านความปลอดภัย การทำงานของ kerberos delegation ได้มีการพูดถึงการใช้งาน trust relationship ที่ทรงพลังและให้สิทธิ์ที่ค่อนข้างมาก ซึ่งเป็นจุดที่ผู้ไม่ประสงค์ดีหรือ attacker จะให้ความสนใจเป็นพิเศษ โดยหากมีการตั้งค่าที่ไม่ถูกต้อง kerberos delegation จะทำให้ attacker สามารถทำ action ต่าง ๆ ได้เช่น ปลอมเป็นผู้ใช้งานที่มีการตั้งค่าให้ทำ Delegation หรือ ทำกระบวนการ lateral movement ไปยังส่วนต่าง ๆ ของระบบ
READ MORE

ARTICLES
Mar
19
2026
Privilege Escalation - Potatoes Part 1
บทความนี้จะอธิบายขั้นตอนการทำงานของเหล่า Potatoes หนึ่งในเครื่องมือที่ใช้งานในการยกระดับสิทธิบน Windows ก็คือเหล่าตระกูล "Potatoes" ซึ่งเป็นกลุ่มเครื่องมือที่ใช้ช่องโหว่ทางเทคนิคร่วมกับ User ที่มีสิทธิ SeImpersonatePrivilege เพื่อเปลี่ยนจากสิทธิ์ User ทั่วไปให้กลายเป็นสิทธิ์ผู้ใช้งานระดับสูงของเครื่องได้ในทันที
READ MORE

ARTICLES
Jul
23
2025
NTLM Authentication กำลังจะกลายเป็นอดีตจริงหรือ ?
Microsoft ออกมาประกาศว่า NTLM จะถูก deprecated อย่างเป็นทางการใน Windows 11 24H2 และ Windows Server 2025
READ MORE

