ในไม่กี่วันที่ผ่านมา หลายคนคงได้เห็นข่าวเกี่ยวกับเสี่ยเต่าบินที่ถูกผู้หญิงหลอกให้โหลดแอปที่ดูดเงินจากบัตรเครดิต ทำให้สูญเสียเงินไปหลายแสนบาท สาวคนนี้อ้างว่าให้เสี่ยถ่ายรูปบัตรเครดิตธนาคารสีเขียว แล้วโหลดแอปลงเครื่องของเสี่ยเพื่อควบคุมระยะไกล ทำให้สามารถดูดเงินจากเหยื่อโดยไม่รู้ตัว
มิจฉาชีพสามารถทำได้โดยใช้การควบคุมระยะไกลเพื่อรูดบัตรเครดิตแลกเงินผ่านเว็บไซต์ต่างประเทศ และสามารถดูรหัส OTP จากเครื่องที่ควบคุมอยู่ เมื่อควบคุมได้แล้ว มิจฉาชีพยังสามารถทราบรหัสปลดล็อกแอปธนาคาร ทำให้ในรอบที่สองสามารถปลดล็อกแอปและใช้ชำระบัตรเครดิตของเสี่ยได้โดยไม่ต้องโอนเงินสดไปยังบัญชีของตนเอง เนื่องจากการโอนเงินสดเกิน 50,000 บาทต้องใช้การแสดงหน้ายืนยันตัวตน แต่การโอนเพื่อตัดบัตรเครดิตในชื่อตนเองไม่ต้องใช้การสแกนหน้า
ในวันเกิดเหตุ เสี่ยเต่าบินมีความผิดพลาดใหญ่หลวงที่ไม่ได้ล็อครหัสหน้าจอมือถือ ซึ่งหมายความว่าเพียงแค่สไลด์ขึ้นก็สามารถเข้าถึงหน้าจอได้ทันที เนื่องจากเสี่ยไม่ได้ตั้งล็อคหน้าจอไว้ ทำให้มือถือสามารถใช้งานได้ทันทีโดยไม่มีการป้องกัน เมื่อเสี่ยหลับ สาวคนนี้สามารถเข้าถึงมือถือได้ง่ายดาย โดยเธอได้ลงลิงก์และติดตั้งโปรแกรมจากภายนอก Store ซึ่งเรียกว่าไฟล์ APK หรือแม้แต่บน iOS เธอสามารถติดตั้งแอปที่ไม่ได้มาจาก App Store ได้ เนื่องจากการไม่มีการล็อคหน้าจอ ทำให้เธอสามารถเข้าถึงและดำเนินการติดตั้งโปรแกรมเพื่อดูดเงินจากแอปธนาคารได้
สรุปแล้ว ความผิดพลาดหลักของเสี่ยเต่าบินคือการไม่ตั้งรหัสล็อคหน้าจอ ซึ่งเป็นช่องโหว่ที่มิจฉาชีพใช้ในการเข้าถึงข้อมูลและทำธุรกรรมทางการเงินโดยไม่ต้องรู้รหัส 6 หลักของแอปธนาคาร
ดูดเงินด้วยแอปทำอย่างไร
ในกรณีการโอนเงินที่เกิดขึ้น มิจฉาชีพมักจะใช้แอปปลอมเพื่อดักจับข้อมูลที่จำเป็นสำหรับการทำธุรกรรมทางการเงิน เช่น รหัส OTP (One-Time Password) หรือ PIN ที่ใช้ในการเข้าแอปธนาคาร โดยแอปปลอมนี้มีวัตถุประสงค์หลักในการดักจับข้อมูลเหล่านี้เพื่อใช้ในการโอนเงิน แอปปลอมจะทำงานอย่างไร
- ดักจับ OTP: แอปปลอมจะดักจับ OTP โดยการถ่ายภาพหน้าจอของอุปกรณ์ทุก ๆ 3-5 วินาที หรือเมื่อมีข้อความ OTP เข้ามา แอปจะทำการแคปหน้าจอทันที ทำให้สามารถเข้าถึงข้อมูล OTP ได้ง่ายดาย
- เก็บข้อมูล PIN: แอปปลอมบางครั้งจะให้ผู้ใช้ตั้ง PIN ซึ่งผู้ใช้ส่วนมากมักจะตั้ง PIN ที่เหมือนกับ PIN ของแอปธนาคารจริง เนื่องจากความสะดวกและความจำ ทำให้แฮกเกอร์สามารถรู้ PIN ของแอปธนาคารได้
เป้าหมายของการติดตั้งแอปปลอมเหล่านี้คือการดักจับและรวบรวมข้อมูลที่จำเป็นในการโอนเงิน โดยที่เหยื่อไม่รู้ตัว ทำให้มิจฉาชีพสามารถเข้าถึงบัญชีธนาคารและทำธุรกรรมต่าง ๆ ได้อย่างง่ายดาย แอปปลอมสามารถถูกติดตั้งได้หลายวิธี แต่วิธีที่คลาสสิคที่สุดที่มิจฉาชีพมักใช้คือการส่ง SMS ที่มีลิงก์แปลก ๆ มาให้เหยื่อ ตัวอย่างเช่น
- ข้อความเกี่ยวกับการยืนยัน: เช่น “WhatsApp ของคุณต้องการ Verify” โดยมีลิงก์ให้คลิกเพื่อยืนยันบัญชี
- ข้อความเกี่ยวกับการจัดส่งสินค้า: เช่น “shipment ของคุณไม่สามารถถูกจัดส่งได้เพราะที่อยู่ผิด” และมีลิงก์ให้คลิกเพื่อแก้ไขที่อยู่
- ข้อความที่สร้างความกังวล: เช่น “บัญชีธนาคารของคุณมีการใช้งานผิดปกติ” หรือ “คุณต้องลงแอปเพื่อรักษาความปลอดภัยของบัญชี”
เมื่อเหยื่อคลิกลิงก์ใน SMS เหล่านี้ มักจะถูกนำไปยังเว็บไซต์ปลอมที่ดูเหมือนเว็บไซต์จริง และถูกหลอกให้ดาวน์โหลดแอปปลอมที่ไม่ได้มาจากแหล่งที่เชื่อถือได้ หลังจากติดตั้งแอปปลอมนี้จะทำหน้าที่ดักจับข้อมูลสำคัญ เช่น OTP และ PIN ดังที่กล่าวไว้ก่อนหน้านี้
สรุปแล้ว วิธีการที่มิจฉาชีพใช้เพื่อติดตั้งแอปปลอมมักจะเริ่มต้นจากการส่ง SMS ที่มีลิงก์แปลก ๆ ซึ่งทำให้เหยื่อตกใจหรือเกิดความกังวลและคลิกลิงก์นั้น ทำให้มิจฉาชีพสามารถติดตั้งแอปปลอมและขโมยข้อมูลสำคัญได้
วิธีป้องกันแอปดูดเงิน
เรามาพูดถึงข้อมูลที่สามารถนำไปใช้ป้องกันตัวเองได้จริง ๆ เพราะคนส่วนมากที่โดนหลอกมักจะได้รับ SMS ที่มีลิงก์แปลก ๆ แนบมาด้วย เมื่อกดลิงก์เหล่านี้ มักจะเกิดสิ่งต่อไปนี้ เช่นแฮกเกอร์หรือมิจฉาชีพจะส่ง SMS ที่มีลิงก์แปลก ๆ มาให้เรา ลิงก์เหล่านี้เมื่อกดเข้าไป มักจะพาเราไปยังหน้าเว็บที่ดูเหมือนจริง เช่น การแจ้งเตือนจากธนาคารหรือบริการต่าง ๆ โดยมีเป้าหมายให้เราทำตามที่ลิงก์นั้น ๆ บอก เช่น กรอกข้อมูลส่วนตัว หรือแอด LINE ซึ่งเมื่อแอดไปแล้ว พวกเขาจะเริ่มใช้เทคนิค Social Engineering เพื่อหลอกให้เราให้ข้อมูลสำคัญ ตัวอย่างที่เห็นบ่อย ๆ คือ
- การแอด LINE: ลิงก์ใน SMS จะพาไปยังแอปพลิเคชัน LINE และให้เราแอดเพื่อน ซึ่งเป็นมิจฉาชีพที่รอหลอกลวงเรา
- การใช้ Social Engineering: มิจฉาชีพจะสร้างสถานการณ์หลอกล่อให้เราส่งข้อมูลสำคัญ เช่น การยืนยันบัญชี WhatsApp โดยขอให้เราส่งข้อมูลส่วนตัวต่างๆ
เพื่อป้องกันตัวเองจากลิงก์ปลอมใน SMS เราสามารถทำอย่างไรได้บ้าง
- ระมัดระวังลิงก์ใน SMS: หากได้รับ SMS ที่มีลิงก์แปลก ๆ เช่น การยืนยันบัญชี WhatsApp หรือการแจ้งปัญหาเกี่ยวกับการจัดส่ง อย่าคลิกลิงก์นั้นทันที ควรตรวจสอบความน่าเชื่อถือก่อน
- เช็ค URL ให้ถี่ถ้วน: หากลิงก์ที่ได้รับมาเป็นลิงก์ย่อ (เช่น bit.ly) อย่าเชื่อทันที ลิงก์ย่อเหล่านี้สามารถพาไปยังเว็บไซต์ใดก็ได้
- อย่าแอด LINE จากลิงก์แปลก ๆ: ถ้าคลิกลิงก์แล้วระบบพาไปยังแอปพลิเคชัน LINE เพื่อให้เพิ่มเพื่อน อย่าแอดเพื่อนนั้น เพราะมิจฉาชีพจะใช้ LINE ในการหลอกลวงเพิ่มเติม
- ระวังการใช้ Social Engineering: มิจฉาชีพมักจะใช้เทคนิค Social Engineering สร้างสถานการณ์ที่ดูน่าเชื่อถือเพื่อหลอกล่อให้เราส่งข้อมูลสำคัญ เช่น ข้อมูลการยืนยันตัวตน, ข้อมูลบัญชีธนาคาร, หรือรายละเอียดส่วนตัวอื่น ๆ
ข้อมูลเพิ่มเติมเกี่ยวกับการป้องกัน
- ใช้การยืนยันตัวตนสองขั้นตอน (2FA): เปิดใช้งานการยืนยันตัวตนสองขั้นตอนในทุกบัญชีออนไลน์ที่รองรับ เพื่อเพิ่มความปลอดภัย
- อัพเดตซอฟต์แวร์และแอปพลิเคชัน: ตรวจสอบให้แน่ใจว่าอุปกรณ์และแอปพลิเคชันต่าง ๆ ได้รับการอัปเดตล่าสุดเสมอ
- ระวังการติดตั้งแอปพลิเคชันจากแหล่งที่ไม่รู้จัก: อย่าดาวน์โหลดหรือติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ หากมีข้อสงสัย ควรดาวน์โหลดแอปจาก Play Store หรือ App Store เท่านั้น
- ติดตั้งโปรแกรมป้องกันไวรัสและมัลแวร์: ใช้โปรแกรมป้องกันไวรัสและมัลแวร์ที่มีคุณภาพ และสแกนอุปกรณ์ของคุณอย่างสม่ำเสมอ
การจัดการกับข้อมูลส่วนตัว
- อย่าเปิดเผยข้อมูลส่วนตัว: อย่าให้ข้อมูลส่วนตัว เช่น เลขที่บัตรประชาชน, ข้อมูลบัญชีธนาคาร หรือรหัสผ่านกับคนที่ไม่รู้จักหรือไม่แน่ใจ
- ตรวจสอบแหล่งข้อมูล: หากต้องการตรวจสอบข้อมูลของบริษัทหรือบริการต่าง ๆ ให้ตรวจสอบจากเว็บไซต์หรือแอปพลิเคชันอย่างเป็นทางการ
กรณีถูกหลอกสามารถทำอย่างไรได้บ้าง
- รีบติดต่อธนาคาร: หากสงสัยว่าข้อมูลบัญชีธนาคารถูกขโมย ให้รีบติดต่อธนาคารทันทีเพื่อระงับบัญชีและป้องกันการสูญเสียเงิน
- เปลี่ยนรหัสผ่าน: หากคุณให้ข้อมูลรหัสผ่านหรือข้อมูลที่สำคัญไป ให้เปลี่ยนรหัสผ่านของบัญชีทั้งหมดที่เกี่ยวข้องทันที
- แจ้งความ: แจ้งเหตุการณ์กับหน่วยงานที่เกี่ยวข้อง เช่น ตำรวจหรือหน่วยงานดูแลด้านไซเบอร์
การตระหนักถึงความเสี่ยงและการปฏิบัติตามคำแนะนำเหล่านี้สามารถช่วยลดโอกาสในการตกเป็นเหยื่อของการโจมตีทางไซเบอร์ได้อย่างมาก