Lab · Module 06 Investigation Lab

Phishing / BEC Email Header Forensics

พิสูจน์อีเมลปลอม CEO — โดเมนเลียนแบบ, reply-to ลวง และผล SPF/DKIM

🎯 ภารกิจของผู้เรียน

ดาวน์โหลดชุด Email Header คัดลอก Prompt ไปวางใน AI พร้อมแนบไฟล์ แล้วตรวจสอบว่า AI ระบุอีเมลปลอม, โดเมนเลียนแบบ และกลลวง reply-to ได้ถูกต้องโดยอ้างผล SPF/DKIM หรือไม่

✅ ตัวอย่าง: ความพยายามฉ้อโกงโอนเงินโดยปลอมเป็น CEO 📥 Download Mock Data
📋 สถานการณ์ (Scenario)

ทีมการเงินของบริษัทได้รับคำขอโอนเงินด่วนที่อ้างว่ามาจาก CEO ทีมความปลอดภัยดึง Email Header ดิบของอีเมลต้องสงสัยมาพร้อมอีเมลภายในที่ถูกต้อง 2 ฉบับเป็น baseline ผู้สืบสวนต้องพิสูจน์ว่าอีเมลฉ้อโกงถูกปลอม ระบุโครงสร้างโดเมนเลียนแบบ และทำการ attribution แคมเปญนี้

📊 ตัวอย่างข้อมูลดิบ (Mock Raw Data) — snake_case schema

received_time,message_id,from_display,from_address,reply_to,sender_ip,sender_country,spf_result,dkim_result,subject 2026-01-15 08:00:11,msg_a1,IT Helpdesk,helpdesk@corp.com,helpdesk@corp.com,203.150.10.4,th,pass,pass,monthly_maintenance_notice 2026-01-15 09:14:55,msg_x9,Somchai (CEO),ceo@corp-secure.com,payments@gmail-pay.com,41.220.8.9,ng,fail,fail,urgent_wire_transfer_needed_today 2026-01-15 09:40:22,msg_b2,Finance Dept,finance@corp.com,finance@corp.com,203.150.10.4,th,pass,pass,re_q1_invoices 2026-01-15 10:05:13,msg_x12,Somchai (CEO),ceo@corp-secure.com,payments@gmail-pay.com,41.220.8.9,ng,fail,fail,re_urgent_confidential_payment

📝 Prompt สำหรับผู้เรียน (คัดลอกไปใช้กับ AI)

You are an email security analyst investigating a suspected BEC fraud. Analyze the attached raw email-header dataset and report:
1. Which messages are fraudulent, justified by SPF/DKIM authentication results.
2. The lookalike (cousin) domain used to impersonate the company, contrasted against the genuine domain seen in the legitimate baseline emails.
3. The reply_to redirection trick and why the mismatch between from_address and reply_to is a key fraud indicator.
4. Attribution signals (sender_ip, sender_country) and the social-engineering tactics present in the subject lines.
Present a fraud determination with the specific indicators of compromise, formatted for a warning advisory to the finance team.