เรื่องการพิสูจน์ เว็บไซต์จริง vs เว็บไซต์ปลอม (Fake / Phishing / Scam)
Image Create by gemini AI
ต้องตรวจสอบอะไรบ้าง (Technical Evidence)
1. ข้อมูลโดเมน (Domain Evidence)
ศาลจะถามว่า รู้ได้อย่างไรว่าเว็บนี้ไม่ใช่ของจริง
ต้องตรวจสอบและอธิบายได้ว่า:
-
ชื่อโดเมนคล้ายของจริงหรือไม่
-
เช่น
faceb00k.com,thaibank-login.net
-
-
วันจดทะเบียนโดเมน (Domain Age)
-
เว็บปลอมมักจดทะเบียน ไม่นานก่อนเกิดเหตุ
-
-
ผู้จดทะเบียน (Registrant)
-
ใช้ Privacy / ต่างประเทศ / ข้อมูลไม่สอดคล้อง
-
📌 หลักฐานที่ใช้ในศาล
-
WHOIS record (วันที่/เวลา UTC)
-
Screenshot + Hash value
2. โครงสร้าง URL และ Certificate (HTTPS)
ศาลมักเข้าใจผิดว่า “มี https = ปลอดภัย”
คุณต้องอธิบายว่า:
HTTPS แปลว่า เข้ารหัส ❌ ไม่ได้แปลว่า เว็บจริง
ตรวจสอบ:
SSL Certificate ออกให้ใคร
Domain ใน Certificate ตรงกับองค์กรจริงหรือไม่
📌 หลักฐาน:
SSL certificate details
CA issuer
Validity period
Photo by: kasikornbank (Domain ใน Certificate ตรงกับองค์กร)
3. เนื้อหาและพฤติกรรมเว็บไซต์ (Content & Behavior)
เว็บปลอมมักมีลักษณะ:
-
ให้กรอกข้อมูลสำคัญทันที
-
ไม่มี Privacy Policy หรือ Copy มาจากเว็บอื่น
📌 หลักฐาน:
-
Source code
-
ภาพหน้าเว็บ (Screenshot with timestamp)
-
เปรียบเทียบกับเว็บจริง (Side-by-side)
4. การส่งข้อมูล (Data Exfiltration)
ศาลจะถามว่า ข้อมูลถูกขโมยอย่างไร
ต้องแสดงว่า:
-
Form ส่งข้อมูลไปที่ไหน
-
Server ปลายทางอยู่ประเทศใด
-
ไม่ใช่ขององค์กรจริง
📌 หลักฐาน:
-
Network traffic ( PCAP)
-
IP Address / Hosting provider
-
DNS resolution
สิ่งที่ “ต้องรู้” เมื่อเป็นพยานในศาล
1. Chain of Custody
คุณต้องตอบได้ว่า:
-
เก็บข้อมูลเมื่อใด
-
ใช้เครื่องมืออะไร
-
มีการแก้ไขข้อมูลหรือไม่
📌 แนะนำ:
-
ใช้ Write-once media
-
บันทึก Hash (MD5 / SHA-256)
⚖️ 2. ความน่าเชื่อถือของเครื่องมือ
ศาลจะถามว่า:
“เครื่องมือนี้เชื่อถือได้อย่างไร”
คุณต้องอธิบายว่า:
-
เป็นเครื่องมือที่ใช้ในงาน Digital Forensics
-
เป็นที่ยอมรับในวงวิชาชีพ
-
สามารถทำซ้ำได้ (Repeatable)
ตัวอย่าง:
-
WHOIS, Browser
-
FTK, Autopsy, Wireshark
⚖️ 3. พูดแบบ “ไม่ใช้ศัพท์เทคนิคเกินไป”
❌ อย่าพูด:
“เว็บไซต์ใช้ obfuscated JavaScript ส่ง POST request ไป C2 server”
✅ ให้พูด:
“เว็บไซต์นี้ถูกออกแบบมาเพื่อหลอกให้ผู้ใช้กรอกข้อมูล แล้วส่งข้อมูลนั้นไปยังเซิร์ฟเวอร์ที่ไม่ใช่ของธนาคาร”
คำถามที่ศาลถามบ่อย (เตรียมตอบ)
| คำถามศาล | แนวตอบที่ถูกต้อง |
|---|---|
| 1. เว็บนี้ปลอมได้อย่างไร | > โดเมนไม่ใช่ของจริง + โครงสร้างเว็บ + ปลายทางข้อมูล |
| 2. HTTPS ทำไมยังปลอม | > HTTPS แค่เข้ารหัส ไม่ได้ยืนยันตัวตน |
| 3. ผู้เสียหายรู้ได้ไหม | > เว็บออกแบบให้เหมือนของจริง |
| 4. ข้อมูลถูกขโมยจริงหรือไม่ | > แสดงหลักฐาน Network + Server ปลายทาง |
Checklist สำหรับขึ้นศาล (สรุปสั้นมาก)
✔ Domain history
✔ SSL certificate
* แม้เว็บไซต์จะใช้ HTTPS แต่ใบรับรองความปลอดภัย ไม่ได้ออกให้กับองค์กรของจริง จึงไม่สามารถยืนยันตัวตนของเว็บไซต์ได้
✔ Website content comparison
✔ Network destination
✔ Timestamp + Hash
✔ Chain of custody
✔ อธิบายให้คนทั่วไปเข้าใจ
กรณีเว็บไซต์ปลอม “ปิดไปแล้ว / เข้าไม่ได้”
1. หลักฐานที่ยัง “มีอยู่” แม้เว็บหาย
Screenshot ที่เคยบันทึกไว้ ✔ HTML ที่เคย Save ✔ Log ของเหยื่อ ✔ Browser cache ✔ DNS / ISP logs ✔ Email / SMS phishing ✔ Wayback Machine ✔ (เชิงสนับสนุน) PCAP / Network logs ✔ Server log (ถ้าได้มา)
2. หลักฐานอุปกรณ์ของผู้เสียหาย
คอมพิวเตอร์
-
มือถือ
-
Tablet
สิ่งที่หาได้:
-
Browser history
-
Cache
-
Downloaded HTML
-
Screenshot
-
Autofill data
3. หลักฐานจาก Email / SMS Phishing
Email
-
SMS
-
LINE / Facebook
ให้เก็บ:
-
ข้อความ
-
URL
-
Header email
📌 Save เป็น:
-
.eml -
.txt -
Screenshot
4.ใช้ Wayback Machine (Internet Archive)
5.Log จาก ISP / DNS / Firewall
อ่านเพิ่มเติม:
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
No comments:
Post a Comment