ตัวอย่าง (Phishing) 

Booking.com ปลอม แค่ส่องไม่พอ ต้องซูมให้ลึก

Photo credit: bleepingcomputer.com,Ax Sharma

มาอีกแล้วการจู่โจมแบบเดิม ๆ 

Homograph Attack + International Domain Name Phishing 

รอบนี้ใช้อักษรฮิรางานะ หลอก

สรุปประเด็นดังนี้ 

1) Hacker ใช้อักษรญี่ปุ่น (ฮิรางานะ)

ตัวอักษร “ん” (Unicode U+3093) 

ที่หน้าตาคล้ายกับ “/n” หรือ “/~” ในฟอนต์บางชนิด 

มาแทรก link ใน phishing e-mail  

เพื่อให้คนเข้าใจผิดว่า URL ที่เห็นเป็นของ Booking.com จริง ๆ 

Photo credit: bleepingcomputer.com,Ax Sharma

Photo credit: bleepingcomputer.com,Ax Sharma

เมื่อคลิก ผู้ใช้จะถูกส่งไปยัง โดเมนปลอม 

“www-account-booking[.]com”, 

แล้วถูกบังคับโหลดไฟล์ MSI (Microsoft Installer) 

ซึ่งสามารถปล่อย malware 

ทั้ง InfoStealers และ Remote Access Trojans (RATs) 

นักวิจัยพบว่าเทคนิคแบบนี้ยังถูกใช้กับ Intuit ด้วย 

โดยเอา “i” แทนที่ด้วยตัว “L” 

(“lntuit.com” แทน intuit.com) 

ทำให้ฟอนต์บางแบบดูเหมือน “intuit.com” แน่ะ 

Photo credit: bleepingcomputer.com,Ax Sharma

Photo credit: bleepingcomputer.com,Ax Sharma

ในอดีต ยังเคยมีการใช้ 

'vv' หลอกเป็น 'w', 

'rn' หลอกเป็น 'm' (เช่น แจกข้าวโพด ใช้ .corn แทน .com)

'h' หลอกเป็น 'n'

เหตุการณ์นี้สะท้อนถึงภัยของ 

homoglyph attack หรือเรียก homograph attack 

การใช้ตัวอักษรที่มองเผิน ๆ เหมือนกัน แต่ความจริงต่างกัน 

ซึ่งเป็นวิธีที่แฮกเกอร์ใช้หลอกง่ายและทรงพลัง

2) วิธีนี้ยังถือว่าเป็น IDN Phishing Attack อีกด้วย

International Domain Name (IDN) phishing 

หรือการหลอกลวงโดยใช้ชื่อโดเมนสากล 

คือรูปแบบหนึ่งของการโจมตีแบบ Phishing 

ที่ใช้ประโยชน์จากชื่อโดเมนด้วยอักขระที่ไม่ใช่ภาษาอังกฤษ 

เช่น อักขระในภาษาไทย จีน หรือสคริปต์อื่นๆ 

เพื่อหลอกให้ผู้ใช้เข้าใจผิดว่าเป็นเว็บไซต์ที่ถูกต้อง

เช่น การใช้ตัวอักษร Cyrillic “а” (U+0430) 

แทนตัว “a” ในภาษาอังกฤษ (U+0061) 

เช่น แทน "apple.com" อาจใช้ "http://xn--pple-43d.com/" 

ซึ่งดูแทบไม่ต่างกันในสายตาผู้ใช้

ที่เราเคยเขียนถึงนานมาแล้ว 

หรือ โดเมนจริง: www.google.com

โดเมนปลอม: http://www.xn--ggle-55da.com/ (ใช้ Cyrillic “о” แทน “o”)

เมื่อผู้ใช้เห็น URL นี้ในอีเมลหรือข้อความ 

อาจไม่สังเกตความแตกต่างและคลิกเข้าไป

3) บทเรียนที่ควรจำ !!!

3.1) อย่าดูแค่รูปลิงก์ (visual glance)

ดูเหมือนจะใช่ แต่จริง ๆ อาจใช้ตัวอักษรแปลกให้หลอกตา

3.2) Hover-over หรือกดค้างเพื่อดู URL เต็มบนมือถือ

ถ้าเป็นมือถือ ลองกดค้างลิงก์ แล้วตรวจดูโดเมนจริงก่อนคลิก

3.3) เช็กส่วน “domain name” ก่อน slash ตัวแรก (“/”) อย่างทะลุปรุโปร่ง

อย่างในกรณีนี้ ถ้าชื่อหลัง slash ดูคล้าย Booking.com 

นั่นอาจแค่ subdomain 

แต่องค์ประกอบ “www-account-booking” 

ก็คนละชื่อกับ Booking อย่างชัดเจน

3.4) สำคัญสุดๆ เบรกความรีบ แล้วพิจารณาก่อนคลิก

 “รีบ” มักเปิดช่องให้พลาดเช็กความผิดปกติ

3.5) ในทางเทคนิคควรเพิ่ม “visual distinction” ของ Unicode 

ที่อาจหลอกลวงได้

ล่าสุดผู้พัฒนาและนักวิจัย ได้เสนอหาวิธี

ทำให้แยกอักษรต่างชุดได้ชัดขึ้น

3.6) ในทางเทคนิค Browser ควรเลือก 

แสดง URL ในรูปแบบ Punycode (เช่น xn--...) 

เพื่อระบุว่าเป็น IDN (International Domain Name) 

4) ขยายความอักษรฮิรางานะนิดนึง

อักษรฮิรางานะ (ひらがな Hiragana) 

เป็นหนึ่งใน ชุดอักษรภาษาญี่ปุ่น 

ใช้เขียนคำพื้นฐาน คำช่วย และผันคำกริยา เช่น が、に、を เป็นต้น

ในภาษาญี่ปุ่นจริง ๆ เค้ามีระบบอักษรหลัก ๆ 3 แบบผสมกัน: 

4.1) ฮิรางานะ (ひらがな) 

เอาไว้เขียนคำญี่ปุ่นพื้น ๆ, คำช่วย, คำที่ไม่มีคันจิ

4.2) คาตาคานะ (カタカナ) เอาไว้เขียนคำยืมจากต่างประเทศ 

เช่น コンピュータ (คอมพิวเตอร์), หรือใช้เน้นเสียง

4.3) คันจิ (漢字) ตัวอักษรที่ยืมจากจีน 

ใช้แทนคำที่มีความหมาย เช่น 山 (ภูเขา), 水 (น้ำ) 

** References ** 

[1] Ax Sharma. "Booking.com phishing campaign uses sneaky 'ん' character to trick you", Bleeping Computer, 14 August 2025. https://www.bleepingcomputer.com/news/security/bookingcom-phishing-campaign-uses-sneaky-character-to-trick-you

2.I-Secure facebook 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD