Module 16 Expert

OSINT & Digital Forensics

CoSINT Framework, CRIS Framework, 4-Phase OSINT Workflow — ใช้ AI เพื่อการสืบสวนข้อมูลเปิด

🚨 จริยธรรม OSINT

OSINT ต้องใช้เฉพาะ ข้อมูลเปิดที่เข้าถึงได้อย่างถูกกฎหมาย — ห้ามแฮก ห้ามใช้ข้อมูลที่ได้มาโดยมิชอบ ห้ามละเมิดสิทธิส่วนบุคคล

🎯 วัตถุประสงค์การเรียนรู้ Module 16

16.1 CoSINT Framework — Collaborative OSINT with AI

16.1.1 แนวคิด CoSINT

CoSINT (Collaborative OSINT) คือการใช้ AI เป็น "คู่คิด" ในกระบวนการ OSINT — ไม่ใช่ให้ AI ทำเอง แต่ใช้ AI ช่วยตั้งสมมติฐาน วิเคราะห์ข้อมูล และหาความเชื่อมโยง

💡 OSINT คืออะไร? (สำหรับผู้เริ่มต้น)

OSINT (Open Source Intelligence) = การรวบรวมและวิเคราะห์ข้อมูลจาก "แหล่งเปิด" ที่ทุกคนเข้าถึงได้ เช่น:

ข้อสำคัญ: OSINT ใช้เฉพาะข้อมูลที่เข้าถึงได้อย่างถูกกฎหมาย — ไม่ใช่การแฮกหรือขโมยข้อมูล!

🤝 CoSINT = Human Intelligence + AI Capability
Human ทำAI ช่วย
ตัดสินใจ, กำหนดทิศทางประมวลผลข้อมูลจำนวนมาก
ประเมินความน่าเชื่อถือหา pattern & anomaly
จริยธรรม & ถูกกฎหมายตั้งสมมติฐาน & ทดสอบ
ยืนยันข้อเท็จจริงCross-reference ข้อมูล
เขียนรายงาน (final)ร่างสรุป & timeline

16.2 CRIS Framework — Collect, Research, Identify, Synthesize

🔬 CRIS Framework
  1. Collect — รวบรวมข้อมูลจากแหล่งเปิด (social media, public records, web)
  2. Research — วิจัยเชิงลึก ตรวจสอบแหล่งที่มา ประเมินความน่าเชื่อถือ
  3. Identify — ระบุตัวตน/เครือข่าย/ความเชื่อมโยง จากข้อมูลที่รวบรวม
  4. Synthesize — สังเคราะห์ข้อมูลทั้งหมดเป็น intelligence report
Prompt สำหรับแต่ละขั้นตอน CRIS — Phase 1: Collect
## CRIS Phase 1: Collect — กำหนดแผนการรวบรวมข้อมูล

คุณคือนักวิเคราะห์ OSINT ผู้เชี่ยวชาญ

## เป้าหมายการสืบค้น
ต้องการข้อมูลเกี่ยวกับ: [หัวข้อ/บุคคล/องค์กร — สมมติ]

## กำหนดแผน Collection Plan:
1. ระบุแหล่งข้อมูลเปิดที่เกี่ยวข้อง (จัดลำดับความสำคัญ)
2. สำหรับแต่ละแหล่ง ระบุ:
   - ข้อมูลอะไรที่คาดว่าจะได้
   - วิธีเข้าถึง (ต้องถูกกฎหมาย)
   - ข้อจำกัด/ข้อควรระวัง
3. กำหนด Search Keywords & Boolean queries
4. ระบุ Indicators/Selectors ที่ต้องมองหา

## ข้อจำกัด
- เฉพาะแหล่งข้อมูลเปิดเท่านั้น
- ต้องถูกกฎหมายและจริยธรรม
- ไม่ละเมิด privacy ของบุคคลที่ไม่เกี่ยวข้อง

Format: ตาราง Collection Matrix

16.3 4-Phase OSINT Workflow

🔄 4-Phase OSINT Workflow with AI
PhaseกิจกรรมAI ช่วยอย่างไรOutput
1. Planningกำหนดเป้าหมาย, ขอบเขตช่วยตั้ง research questions, ระบุแหล่งข้อมูลCollection Plan
2. Collectionรวบรวมข้อมูลจากแหล่งเปิดจัดหมวดหมู่, OCR, แปลภาษา, summarizeRaw Data Set
3. Analysisวิเคราะห์ หาความเชื่อมโยงPattern recognition, timeline, link analysisIntelligence Assessment
4. Reportingเขียนรายงาน, นำเสนอร่างรายงาน, สร้าง visualization suggestionsIntelligence Report
Prompt: Phase 3 Analysis — Link Analysis 📥 Download Mock Data
Prompt: Digital Footprint Analysis 📥 Download Mock Data
คุณคือผู้เชี่ยวชาญ Digital Forensics & OSINT

## Task: วิเคราะห์ Digital Footprint จากข้อมูลเปิด

## ข้อมูลที่มี (สมมติ)
- Username: "cryptoking_th" (พบบน Twitter, Telegram, GitHub)
- Email prefix: cryptoking.th (พบใน data breach — public)
- Crypto wallet: 0xABC...DEF (public blockchain)
- เว็บไซต์: cryptoking-th.com (WHOIS public)

## วิเคราะห์:
1. Cross-platform Correlation — username เดียวกันบนแพลตฟอร์มอื่น?
2. Activity Pattern — ช่วงเวลาที่ active บ่งบอกอะไร?
3. Network Analysis — ติดต่อกับใครบ่อย? (public interactions)
4. Technical Indicators — hosting, domain history, tech stack
5. Assessment — สรุปสิ่งที่ทราบ vs ไม่ทราบ (Intelligence Gaps)

## ข้อจำกัดจริยธรรม
- ใช้เฉพาะข้อมูลสาธารณะ
- ไม่ attempt เข้าถึงระบบ
- ไม่ระบุตัวตนจริง (ใช้ข้อมูลสมมติ)
- มุ่งเน้น methodology ไม่ใช่ผลลัพธ์จริง

16.4 AI Tools สำหรับ OSINT

🛠️ AI-Powered OSINT Tools Matrix (2026)
Toolประเภทจุดแข็งหมายเหตุ 2026
MaltegoLink AnalysisVisualize เครือข่ายความสัมพันธ์มี AI-assisted pattern discovery
OSINT FrameworkDirectoryรวม tools 200+ หมวดหมู่อัปเดตต่อเนื่อง osintframework.com
ShodanNetwork/IoTค้นหา devices ที่เปิดเผยใช้สืบหา infrastructure คนร้าย
SpiderFootAutomationAuto OSINT หลายแหล่งมี HX (cloud) สำหรับทีม
Perplexity AIAI Searchค้นข้อมูลพร้อม citationลด hallucination มากกว่า Google
Claude/GPT-5.5 + WebAI Analysisสังเคราะห์ข้อมูลหลายแหล่งใช้ Generated Knowledge + CoT
⚠️ Human-in-the-Loop บังคับ

AI วิเคราะห์ข้อมูล OSINT ผิดพลาดได้ โดยเฉพาะ entity disambiguation (คนชื่อเดียวกัน) → มนุษย์ต้อง verify ก่อน report

16.5 จริยธรรมและข้อกฎหมาย

⚖️ กฎเหล็ก OSINT Ethics

16.6 Compliance Checklist — ก่อน Publish ผลงาน OSINT

📋 Compliance Checklist
ข้อคำถามเกณฑ์ผ่านถ้า FAIL
1ข้อมูลได้มาจากแหล่งที่เปิดเผยต่อสาธารณะจริงไหม?ไม่มี private data/unauthorized accessห้าม publish
2ใช้ข้อมูลตามวัตถุประสงค์ที่ระบุในงานสืบสวนไหม?มี mandate ชัดเจนขออนุมัติเพิ่มก่อน
3ผ่าน PDPA: ไม่เก็บ/ใช้/เปิดเผย PII เกินความจำเป็น?มี data minimizationAnonymize ก่อน
4Human verify แล้วว่า entity ถูกต้อง?ยืนยัน ≥ 2 แหล่งอิสระแก้ก่อน report
5มี audit trail: บันทึกแหล่งข้อมูล วันที่ เวลา?Log ครบเพิ่ม log ก่อน submit
🔒 ขอบเขตการใช้ AI ใน OSINT
✅ ใช้ได้❌ ห้ามใช้
ค้นหาข้อมูล public domainเข้าถึง private accounts/servers
สังเคราะห์ข้อมูลจากหลายแหล่งสมมติ/แต่งข้อมูลที่หาไม่พบ
ร่างรายงาน (มนุษย์ verify ก่อน)ตัดสินใจจับกุมโดยไม่มีมนุษย์ approve
Visualize เครือข่ายความสัมพันธ์ใช้ AI-generated content เป็นหลักฐาน

16.7 ข้อผิดพลาดที่พบบ่อย

❌ ข้อผิดพลาดที่พบบ่อยใน OSINT & Forensics
#❌ ข้อผิดพลาด✅ วิธีที่ถูกต้อง
1 ใช้ข้อมูลจากแหล่งไม่ถูกกฎหมาย (แฮก, ขโมย) → ละเมิดกฎหมาย ใช้เฉพาะข้อมูลสาธารณะ (public domain) ที่เข้าถึงได้ถูกกฎหมาย
2 AI สังเคราะห์แล้วไม่ verify → Entity disambiguation ผิด (คนชื่อเดียวกัน) Human verify ≥ 2 แหล่งอิสระก่อน report ทุกครั้ง
3 Publish ผลงาน OSINT โดยไม่ผ่าน Compliance Checklist → ละเมิด PDPA ผ่าน 5 ข้อ: แหล่งถูกกฎหมาย, mandate ชัด, PDPA, Human verify, Audit trail
4 ปล่อยให้ AI ทำงาน OSINT เองทั้งหมด → ผลลัพธ์ไม่น่าเชื่อถือ ใช้ CoSINT: Human ตัดสินใจ + AI ช่วยประมวลผล/หา pattern
5 เก็บข้อมูลทั้งหมดที่หาเจอ → เกิน PDPA data minimization รวบรวมเฉพาะที่จำเป็น ตามหลัก Proportional + Purpose clear
6 ข้าม Phase 1 Planning ทำ Collection ทันที → ได้ข้อมูลไม่ตรงจุด ทำ CRIS ครบ: Collect (Plan ก่อน) → Research → Identify → Synthesize
7 ใช้ข้อมูลคดีจริงทดสอบ AI tools → รั่วไหลข้อมูลลับ ใช้ Synthetic Data (ข้อมูลสมมติ) สำหรับฝึกปฏิบัติเท่านั้น

16.8 Key Takeaways

📝 Key Takeaways Module 16
✅ หลังเรียน Module 16 — สิ่งที่ควรทำได้
🤔 คำถามทบทวน

โจทย์: AI สังเคราะห์ข้อมูล OSINT แล้วพบว่า "บุคคล A" เชื่อมโยงกับ 3 บัญชีต้องสงสัย — ก่อน report ต้องผ่าน Compliance Checklist ข้อใดบ้าง?

ดูเฉลย
  1. ข้อ 4 — Entity disambiguation: verify ≥ 2 แหล่งอิสระว่า "บุคคล A" เป็นคนเดียวกันจริง
  2. ข้อ 3 — PDPA: ไม่ระบุ PII เกินจำเป็น
  3. ข้อ 5 — Audit trail: บันทึกแหล่งข้อมูล วันที่ เวลาครบ
M15: Golden Template M17: AI Coding