ก่อนเข้าสู่การเลือกตั้งกลางเทอมของสหรัฐอเมริกาในเดือนพฤศจิกายน 2026 บริษัทด้านความมั่นคงไซเบอร์ Check Point Research รายงานว่าตั้งแต่เดือนมกราคมที่ผ่านมามีการจดทะเบียนโดเมนที่เกี่ยวข้องกับการเลือกตั้งมากกว่า 5,000 รายการ ครอบคลุมตั้งแต่หน้า phishing เว็บไซต์รับบริจาคปลอม ไปจนถึงการเลียนแบบสำนักข่าวระดับโลก ซึ่งเป็นสัญญาณว่าการโจมตีในเชิงข้อมูลบิดเบือนกำลังขยายตัวอย่างมีนัยสำคัญ
โดเมนพุ่ง 5,000 รายการ — คำว่า "vote" มาแรงกว่า "election"
จากการติดตามของ Check Point Research พบว่าในเดือนมกราคม 2026 มีโดเมนที่มีคำว่า "election" ราว 1,300 รายการ และโดเมนที่มีคำว่า "vote" ประมาณ 3,000 รายการ จากนั้นในช่วงกลางเดือนเมษายนถึงกลางเดือนพฤษภาคม ตัวเลขของ "election" ทรงตัวที่ราว 1,140 รายการ ขณะที่ "vote" พุ่งขึ้นถึง 4,010 รายการอย่างน่าจับตา
- มกราคม 2026: โดเมน "election" 1,300 รายการ / "vote" ประมาณ 3,000 รายการ
- กลางเมษายนถึงกลางพฤษภาคม 2026: "election" ประมาณ 1,140 รายการ / "vote" 4,010 รายการ
- ยอดสะสมตั้งแต่ต้นปี: โดเมนเกี่ยวกับการเลือกตั้งทะลุ 5,000 รายการ
ทีมวิจัยระบุว่าปริมาณโดเมนมีแนวโน้มเพิ่มขึ้นต่อเนื่องเมื่อใกล้เดือนพฤศจิกายน และกำลังเปลี่ยนน้ำหนักไปยังคำที่สัมผัสกับผู้มีสิทธิเลือกตั้งโดยตรงมากขึ้น อย่างไรก็ตาม Check Point ย้ำว่าจำนวนการจดโดเมนเพียงอย่างเดียวไม่ได้แปลว่าทุกโดเมนมีเจตนาร้าย แต่ควรถูกจับตาเป็นพิเศษในช่วงเวลานี้
ปฏิบัติการ Doppelganger จากรัสเซีย — โคลนเว็บ Reuters, Washington Post, Fox News
หนึ่งในรูปแบบโจมตีที่ Check Point ชี้เป็นตัวอย่างคือปฏิบัติการ Doppelganger ที่เชื่อมโยงกับรัสเซีย โดยมีการสร้างเว็บไซต์เลียนแบบสำนักข่าวที่มีอิทธิพลอย่าง Reuters, The Washington Post และ Fox News เพื่อเผยแพร่ข่าวปลอมในรูปแบบที่แทบแยกไม่ออกจากต้นฉบับ
"ในยุคใหม่ของข้อมูลบิดเบือนที่ขับเคลื่อนด้วย AI เป้าหมายมักไม่ใช่การเปลี่ยนผลการนับคะแนน แต่คือการทำให้ผู้มีสิทธิเลือกตั้งรู้สึกว่าการตรวจสอบความจริงเป็นเรื่องยาก" — Check Point Research
ทีมวิจัยอธิบายว่าผู้โจมตีไม่ได้พุ่งเป้าไปที่ "เครื่องนับคะแนน" แต่มุ่งไปที่ "คนที่ลงคะแนน" โดยหวังว่าสื่ออื่นจะหยิบข่าวปลอมจากเว็บโคลนไปขยายต่อก่อนตรวจสอบทัน ตามรายงานยังระบุด้วยว่าผู้เกี่ยวข้องไม่ได้จำกัดอยู่แค่รัสเซีย แต่อาจมีรัฐอื่น ๆ ที่ดำเนินกิจกรรมในลักษณะคล้ายกัน
รูปแบบโจมตีหลัก 4 ประเภท — ตั้งแต่ phishing ถึงปลอมเป็นผู้สมัคร
Check Point จำแนกรูปแบบการใช้โดเมนอันตรายช่วงเลือกตั้งออกเป็น 4 กลุ่มหลัก
| รูปแบบการโจมตี | รายละเอียด |
|---|---|
| หน้า phishing | ปลอมเป็นพอร์ทัลข้อมูลเพื่อขโมยข้อมูลล็อกอิน |
| เว็บรับบริจาคปลอม | อ้างสนับสนุนผู้สมัครเพื่อหลอกเอาเงิน |
| ปลอมเป็นผู้สมัคร | สร้างเว็บไซต์ทางการเลียนแบบผู้สมัครเฉพาะราย |
| แพร่ข้อมูลบิดเบือน | กระจายข่าวเท็จเกี่ยวกับการเลือกตั้งอย่างเป็นระบบ |
แม้รูปแบบเหล่านี้จะไม่ใช่เรื่องใหม่ แต่ความสนใจที่พุ่งสูงในช่วงเลือกตั้งทำให้อัตราความสำเร็จของการโจมตีสูงตามไปด้วย Check Point สรุปว่า "ภัยคุกคามเองไม่ได้ใหม่ แต่แรงจูงใจและความสนใจของผู้คนรอบ ๆ ภัยคุกคามนี้ต่างหากที่สูงผิดปกติ"
โครงสร้างเบื้องหลัง — Aeza Group ถูกจับ พร้อมโดนคว่ำบาตรจากกระทรวงการคลังสหรัฐฯ
ในฝั่งของโครงสร้างพื้นฐานที่รองรับปฏิบัติการ Doppelganger ก็มีความเคลื่อนไหวสำคัญ โดย Yury Bozoyan ซีอีโอของ Aeza Group บริษัทผู้ให้บริการโฮสติ้งฐานในเซนต์ปีเตอร์สเบิร์กที่ถูกระบุว่าเป็นผู้รองรับปฏิบัติการนี้ ถูกทางการรัสเซียจับกุม รวมถึงผู้ร่วมก่อตั้ง Arseny Penzev และพนักงานอย่าง Maxim Orel และ Tatiana Zubova ที่ถูกควบคุมตัวในข้อหามีส่วนร่วมกับองค์กรอาชญากรรมและพยายามค้ายาเสพติด
- กระทรวงการคลังสหรัฐฯ ประกาศคว่ำบาตร Aeza Group ฐานให้บริการโครงสร้างพื้นฐานสำหรับอาชญากรรมไซเบอร์
- Aeza ถูกระบุว่าเคยโฮสต์เซิร์ฟเวอร์ของมัลแวร์ขโมยข้อมูลอย่าง Lumma และ Meduza
- มีข้อสงสัยถึงการเกี่ยวข้องกับตลาดมืด BlackSprut
- เป้าหมายในการเลียนแบบยังรวมถึงสื่อยุโรปอย่าง Der Spiegel ของเยอรมนี, Le Parisien ของฝรั่งเศส และ The Guardian ของอังกฤษ
ฝั่งสหรัฐฯ ลดงบ CISA — วุฒิสมาชิก Warner เตือนการเลือกตั้งเสี่ยง
ในมุมของระบบป้องกันฝั่งสหรัฐฯ ก็มีความกังวลเช่นกัน วุฒิสมาชิก Mark Warner รองประธานคณะกรรมาธิการข่าวกรองวุฒิสภา ระบุว่าการสนับสนุนด้านความมั่นคงเลือกตั้งของ Cybersecurity and Infrastructure Security Agency (CISA) ภายใต้กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ถูกลดทอนลงอย่างมีนัยสำคัญ ส่งผลให้เจ้าหน้าที่ระดับรัฐและท้องถิ่นรายงานว่าระดับการฝึกอบรม การแบ่งปันข้อมูลภัยคุกคาม และการสนับสนุนด้านความมั่นคงไซเบอร์ที่เคยได้รับนั้นลดลง
ในร่างงบประมาณปีงบประมาณ 2027 ของรัฐบาลทรัมป์ มีการกำหนดทิศทางที่จะยุติโครงการความมั่นคงเลือกตั้งของ CISA ทั้งหมด รวมถึงงานแบ่งปันข้อมูลและตำแหน่งที่ปรึกษาด้านความมั่นคงเลือกตั้ง ขณะที่คำให้การจากกองทัพไซเบอร์สหรัฐฯ ชี้ว่าฝ่ายตรงข้ามอย่างอิหร่านมีแนวโน้มสูงที่จะมุ่งเป้าไปยังการเลือกตั้งปี 2026 และการโจมตีที่ใช้ AI กำลังเพิ่มทั้งระดับและคุณภาพ
"เป็นไปไม่ได้ที่รัฐต่าง ๆ จะรวบรวมข่าวกรอง ความเชี่ยวชาญ และรายงานเหตุการณ์แบบเรียลไทม์ในระดับและความเร็วที่จำเป็นได้ด้วยตัวเอง" — วุฒิสมาชิก Mark Warner
สิ่งที่องค์กรในไทยควรเตรียมรับมือ
แม้เป้าหมายหลักของปฏิบัติการครั้งนี้คือผู้มีสิทธิเลือกตั้งในสหรัฐฯ แต่บทเรียนของ Doppelganger สะท้อนถึงรูปแบบการโจมตีที่องค์กรไทยควรเฝ้าระวัง โดยเฉพาะหน่วยงานราชการ สื่อมวลชน และแพลตฟอร์มที่รับเงินบริจาคหรือธุรกรรมออนไลน์ผ่าน PromptPay, TrueMoney Wallet หรือ Rabbit LINE Pay ที่อาจตกเป็นเป้าของการสร้างเว็บโคลนในลักษณะเดียวกัน
สำหรับผู้ใช้งานทั่วไปในไทย ควรตรวจสอบ URL ของเว็บข่าวและลิงก์ที่ส่งต่อกันใน LINE หรือ Facebook อย่างละเอียดก่อนคลิก รวมถึงระวังหน้าเว็บที่ขอข้อมูลล็อกอินของ Google, Apple ID หรือบัญชีธนาคารผ่านอีเมลที่อ้างว่ามาจากสำนักข่าวหรือองค์กรระดับโลก เพราะเทคนิคที่ Check Point ตรวจพบสามารถนำมาประยุกต์ใช้กับเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้ได้เช่นกัน
แหล่งที่มา
- TechRadar — Over 5,000 malicious domains targeting 2026 US Midterm elections spotted going live – and they could be used for fraud, phishing, or worse
- The Record from Recorded Future News — Russia arrests CEO of tech company linked to Doppelgänger disinformation campaign
- Defense One — CISA's sharp reductions in election-security assistance could leave midterms vulnerable, senator says
