เจาะลึก เสี่ยเต่าบินโดนดูดเงินได้ยังไง และป้องกันโจรไฮเทคเจาะมือถือได้อย่างไร

ในไม่กี่วันที่ผ่านมา หลายคนคงได้เห็นข่าวเกี่ยวกับเสี่ยเต่าบินที่ถูกผู้หญิงหลอกให้โหลดแอปที่ดูดเงินจากบัตรเครดิต ทำให้สูญเสียเงินไปหลายแสนบาท สาวคนนี้อ้างว่าให้เสี่ยถ่ายรูปบัตรเครดิตธนาคารสีเขียว แล้วโหลดแอปลงเครื่องของเสี่ยเพื่อควบคุมระยะไกล ทำให้สามารถดูดเงินจากเหยื่อโดยไม่รู้ตัว

มิจฉาชีพสามารถทำได้โดยใช้การควบคุมระยะไกลเพื่อรูดบัตรเครดิตแลกเงินผ่านเว็บไซต์ต่างประเทศ และสามารถดูรหัส OTP จากเครื่องที่ควบคุมอยู่ เมื่อควบคุมได้แล้ว มิจฉาชีพยังสามารถทราบรหัสปลดล็อกแอปธนาคาร ทำให้ในรอบที่สองสามารถปลดล็อกแอปและใช้ชำระบัตรเครดิตของเสี่ยได้โดยไม่ต้องโอนเงินสดไปยังบัญชีของตนเอง เนื่องจากการโอนเงินสดเกิน 50,000 บาทต้องใช้การแสดงหน้ายืนยันตัวตน แต่การโอนเพื่อตัดบัตรเครดิตในชื่อตนเองไม่ต้องใช้การสแกนหน้า

ในวันเกิดเหตุ เสี่ยเต่าบินมีความผิดพลาดใหญ่หลวงที่ไม่ได้ล็อครหัสหน้าจอมือถือ ซึ่งหมายความว่าเพียงแค่สไลด์ขึ้นก็สามารถเข้าถึงหน้าจอได้ทันที เนื่องจากเสี่ยไม่ได้ตั้งล็อคหน้าจอไว้ ทำให้มือถือสามารถใช้งานได้ทันทีโดยไม่มีการป้องกัน เมื่อเสี่ยหลับ สาวคนนี้สามารถเข้าถึงมือถือได้ง่ายดาย โดยเธอได้ลงลิงก์และติดตั้งโปรแกรมจากภายนอก Store ซึ่งเรียกว่าไฟล์ APK หรือแม้แต่บน iOS เธอสามารถติดตั้งแอปที่ไม่ได้มาจาก App Store ได้ เนื่องจากการไม่มีการล็อคหน้าจอ ทำให้เธอสามารถเข้าถึงและดำเนินการติดตั้งโปรแกรมเพื่อดูดเงินจากแอปธนาคารได้

ดูดเงินด้วยแอปทำอย่างไร

ในกรณีการโอนเงินที่เกิดขึ้น มิจฉาชีพมักจะใช้แอปปลอมเพื่อดักจับข้อมูลที่จำเป็นสำหรับการทำธุรกรรมทางการเงิน เช่น รหัส OTP (One-Time Password) หรือ PIN ที่ใช้ในการเข้าแอปธนาคาร โดยแอปปลอมนี้มีวัตถุประสงค์หลักในการดักจับข้อมูลเหล่านี้เพื่อใช้ในการโอนเงิน แอปปลอมจะทำงานอย่างไร

1. ดักจับ OTP: แอปปลอมจะดักจับ OTP โดยการถ่ายภาพหน้าจอของอุปกรณ์ทุก ๆ 3-5 วินาที หรือเมื่อมีข้อความ OTP เข้ามา แอปจะทำการแคปหน้าจอทันที ทำให้สามารถเข้าถึงข้อมูล OTP ได้ง่ายดาย
2. เก็บข้อมูล PIN: แอปปลอมบางครั้งจะให้ผู้ใช้ตั้ง PIN ซึ่งผู้ใช้ส่วนมากมักจะตั้ง PIN ที่เหมือนกับ PIN ของแอปธนาคารจริง เนื่องจากความสะดวกและความจำ ทำให้แฮกเกอร์สามารถรู้ PIN ของแอปธนาคารได้

เป้าหมายของการติดตั้งแอปปลอมเหล่านี้คือการดักจับและรวบรวมข้อมูลที่จำเป็นในการโอนเงิน โดยที่เหยื่อไม่รู้ตัว ทำให้มิจฉาชีพสามารถเข้าถึงบัญชีธนาคารและทำธุรกรรมต่าง ๆ ได้อย่างง่ายดาย แอปปลอมสามารถถูกติดตั้งได้หลายวิธี แต่วิธีที่คลาสสิคที่สุดที่มิจฉาชีพมักใช้คือการส่ง SMS ที่มีลิงก์แปลก ๆ มาให้เหยื่อ ตัวอย่างเช่น

1. ข้อความเกี่ยวกับการยืนยัน: เช่น “WhatsApp ของคุณต้องการ Verify” โดยมีลิงก์ให้คลิกเพื่อยืนยันบัญชี
2. ข้อความเกี่ยวกับการจัดส่งสินค้า: เช่น “shipment ของคุณไม่สามารถถูกจัดส่งได้เพราะที่อยู่ผิด” และมีลิงก์ให้คลิกเพื่อแก้ไขที่อยู่
3. ข้อความที่สร้างความกังวล: เช่น “บัญชีธนาคารของคุณมีการใช้งานผิดปกติ” หรือ “คุณต้องลงแอปเพื่อรักษาความปลอดภัยของบัญชี”

เมื่อเหยื่อคลิกลิงก์ใน SMS เหล่านี้ มักจะถูกนำไปยังเว็บไซต์ปลอมที่ดูเหมือนเว็บไซต์จริง และถูกหลอกให้ดาวน์โหลดแอปปลอมที่ไม่ได้มาจากแหล่งที่เชื่อถือได้ หลังจากติดตั้งแอปปลอมนี้จะทำหน้าที่ดักจับข้อมูลสำคัญ เช่น OTP และ PIN ดังที่กล่าวไว้ก่อนหน้านี้

สรุปแล้ว วิธีการที่มิจฉาชีพใช้เพื่อติดตั้งแอปปลอมมักจะเริ่มต้นจากการส่ง SMS ที่มีลิงก์แปลก ๆ ซึ่งทำให้เหยื่อตกใจหรือเกิดความกังวลและคลิกลิงก์นั้น ทำให้มิจฉาชีพสามารถติดตั้งแอปปลอมและขโมยข้อมูลสำคัญได้

วิธีป้องกันแอปดูดเงิน

เรามาพูดถึงข้อมูลที่สามารถนำไปใช้ป้องกันตัวเองได้จริง ๆ เพราะคนส่วนมากที่โดนหลอกมักจะได้รับ SMS ที่มีลิงก์แปลก ๆ แนบมาด้วย เมื่อกดลิงก์เหล่านี้ มักจะเกิดสิ่งต่อไปนี้ เช่นแฮกเกอร์หรือมิจฉาชีพจะส่ง SMS ที่มีลิงก์แปลก ๆ มาให้เรา ลิงก์เหล่านี้เมื่อกดเข้าไป มักจะพาเราไปยังหน้าเว็บที่ดูเหมือนจริง เช่น การแจ้งเตือนจากธนาคารหรือบริการต่าง ๆ โดยมีเป้าหมายให้เราทำตามที่ลิงก์นั้น ๆ บอก เช่น กรอกข้อมูลส่วนตัว หรือแอด LINE ซึ่งเมื่อแอดไปแล้ว พวกเขาจะเริ่มใช้เทคนิค Social Engineering เพื่อหลอกให้เราให้ข้อมูลสำคัญ ตัวอย่างที่เห็นบ่อย ๆ คือ

1. การแอด LINE: ลิงก์ใน SMS จะพาไปยังแอปพลิเคชัน LINE และให้เราแอดเพื่อน ซึ่งเป็นมิจฉาชีพที่รอหลอกลวงเรา
2. การใช้ Social Engineering: มิจฉาชีพจะสร้างสถานการณ์หลอกล่อให้เราส่งข้อมูลสำคัญ เช่น การยืนยันบัญชี WhatsApp โดยขอให้เราส่งข้อมูลส่วนตัวต่างๆ

เพื่อป้องกันตัวเองจากลิงก์ปลอมใน SMS เราสามารถทำอย่างไรได้บ้าง

1. ระมัดระวังลิงก์ใน SMS: หากได้รับ SMS ที่มีลิงก์แปลก ๆ เช่น การยืนยันบัญชี WhatsApp หรือการแจ้งปัญหาเกี่ยวกับการจัดส่ง อย่าคลิกลิงก์นั้นทันที ควรตรวจสอบความน่าเชื่อถือก่อน
2. เช็ค URL ให้ถี่ถ้วน: หากลิงก์ที่ได้รับมาเป็นลิงก์ย่อ (เช่น bit.ly) อย่าเชื่อทันที ลิงก์ย่อเหล่านี้สามารถพาไปยังเว็บไซต์ใดก็ได้
3. อย่าแอด LINE จากลิงก์แปลก ๆ: ถ้าคลิกลิงก์แล้วระบบพาไปยังแอปพลิเคชัน LINE เพื่อให้เพิ่มเพื่อน อย่าแอดเพื่อนนั้น เพราะมิจฉาชีพจะใช้ LINE ในการหลอกลวงเพิ่มเติม
4. ระวังการใช้ Social Engineering: มิจฉาชีพมักจะใช้เทคนิค Social Engineering สร้างสถานการณ์ที่ดูน่าเชื่อถือเพื่อหลอกล่อให้เราส่งข้อมูลสำคัญ เช่น ข้อมูลการยืนยันตัวตน, ข้อมูลบัญชีธนาคาร, หรือรายละเอียดส่วนตัวอื่น ๆ

ข้อมูลเพิ่มเติมเกี่ยวกับการป้องกัน

1. ใช้การยืนยันตัวตนสองขั้นตอน (2FA): เปิดใช้งานการยืนยันตัวตนสองขั้นตอนในทุกบัญชีออนไลน์ที่รองรับ เพื่อเพิ่มความปลอดภัย
2. อัพเดตซอฟต์แวร์และแอปพลิเคชัน: ตรวจสอบให้แน่ใจว่าอุปกรณ์และแอปพลิเคชันต่าง ๆ ได้รับการอัปเดตล่าสุดเสมอ
3. ระวังการติดตั้งแอปพลิเคชันจากแหล่งที่ไม่รู้จัก: อย่าดาวน์โหลดหรือติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ หากมีข้อสงสัย ควรดาวน์โหลดแอปจาก Play Store หรือ App Store เท่านั้น
4. ติดตั้งโปรแกรมป้องกันไวรัสและมัลแวร์: ใช้โปรแกรมป้องกันไวรัสและมัลแวร์ที่มีคุณภาพ และสแกนอุปกรณ์ของคุณอย่างสม่ำเสมอ

การจัดการกับข้อมูลส่วนตัว

1. อย่าเปิดเผยข้อมูลส่วนตัว: อย่าให้ข้อมูลส่วนตัว เช่น เลขที่บัตรประชาชน, ข้อมูลบัญชีธนาคาร หรือรหัสผ่านกับคนที่ไม่รู้จักหรือไม่แน่ใจ
2. ตรวจสอบแหล่งข้อมูล: หากต้องการตรวจสอบข้อมูลของบริษัทหรือบริการต่าง ๆ ให้ตรวจสอบจากเว็บไซต์หรือแอปพลิเคชันอย่างเป็นทางการ

กรณีถูกหลอกสามารถทำอย่างไรได้บ้าง

1. รีบติดต่อธนาคาร: หากสงสัยว่าข้อมูลบัญชีธนาคารถูกขโมย ให้รีบติดต่อธนาคารทันทีเพื่อระงับบัญชีและป้องกันการสูญเสียเงิน
2. เปลี่ยนรหัสผ่าน: หากคุณให้ข้อมูลรหัสผ่านหรือข้อมูลที่สำคัญไป ให้เปลี่ยนรหัสผ่านของบัญชีทั้งหมดที่เกี่ยวข้องทันที
3. แจ้งความ: แจ้งเหตุการณ์กับหน่วยงานที่เกี่ยวข้อง เช่น ตำรวจหรือหน่วยงานดูแลด้านไซเบอร์

การตระหนักถึงความเสี่ยงและการปฏิบัติตามคำแนะนำเหล่านี้สามารถช่วยลดโอกาสในการตกเป็นเหยื่อของการโจมตีทางไซเบอร์ได้อย่างมาก