ชำแหละกลโกง Fake App ภัยร้ายดูดเงินหมดบัญชี

วิธีการโจมตีที่แฮกเกอร์กำลังนิยมใช้ในขณะนี้ก็คือ การหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชั่นปลอม หรือที่เรียกว่า Fake App ซึ่งในอดีต Fake App มักจะเป็นแอปฯของหน่วยงานราชการ บริษัทเอกชน หรือแอปฯรีโมตคอนโทรลต่าง ๆ แต่ปัจจุบันคนร้ายได้เปลี่ยนมาทำ Fake App ที่เป็นโซเชียลมีเดีย แอปฯถ่ายภาพ แอปฯดูไลฟ์ศิลปิน มีโลโก้และหน้าอินเทอร์เฟซคล้ายกับของจริง โดยแฮกเกอร์จะเริ่มต้นจากการหว่านลิงก์ดาวน์โหลด Fake App ไปยังเป้าหมาย หากเป้าหมายหลงเชื่อคลิกลิงก์ก็จะไปเข้าที่หน้าเว็บปลอมและทำการติดตั้ง Fake App เข้ามาในเครื่อง โดยการติดตั้งนี้ส่วนใหญ่จะทำนอกคลังแอปพลิเคชั่นอย่าง AppStore หรือ PlayStore แทนที่ผู้ใช้จะได้แอปฯที่ต้องการ กลายเป็นได้แอปฯปลอมเข้ามาในเครื่องแทน

นายพลสุธี ธเนศนิรัตศัย ผู้อำนวยการ บริษัท บลูบิค ไททันส์ จำกัด ผู้เชี่ยวชาญด้าน Cyber Security ให้ข้อมูลกับ การเงินธนาคาร ว่า เมื่อผู้ใช้หลงกลจนติดตั้ง Fake App ลงเครื่องไปแล้ว สิ่งแรกที่ Fake App จะทำคือการให้ผู้ใช้ลงทะเบียน เพื่อหลอกเอาข้อมูล โดยตัว Fake App จะให้ผู้ใช้สร้างแอคเคาต์ในระบบ เพื่อเก็บข้อมูลส่วนบุคคล ทั้ง ชื่อ นามสกุล เบอร์ติดต่อ จนถึงการให้ตั้งค่า Pin 6 หลัก ซึ่งส่วนใหญ่แล้วผู้ใช้มักจะตั้ง Pin 6 หลักซ้ำกัน การตั้งค่า Pin 6 หลักนี้จะทำให้คนร้ายสามารถเข้าถึงการใช้งานแอปพลิเคชั่นทางด้านการเงินได้ง่ายขึ้น (ในกรณีที่ตั้งค่า Pin 6 หลักเหมือนกัน)

เมื่อสามารถติดตั้งบนเครื่องเป้าหมายได้สำเร็จ สิ่งที่ Fake App จะทำต่อคือการขอสิทธิการเข้าถึงข้อมูล หรือการทำงานบนเครื่องของเป้าหมาย เช่น เข้าถึง SMS, คลังรูปภาพ และรายชื่อผู้ติดต่อ หลังจากนั้นจะขอเปิดสิทธิการเข้าถึงการทำงานของโหมดผู้พิการ (accessibility mode) เป็นการผูกตัว Fake App เข้ากับโหมดนี้ เพื่อให้ตัว Fake App สามารถทำงานได้ 24 ชั่วโมง โดยที่ผู้ใช้ไม่สามารถสั่งปิดการทำงานของแอปฯได้ (เพราะตัว Fake App เกาะอยู่กับ accessibility mode ที่ทำงานตลอดเวลา)

จากนั้น Fake App จะขอสิทธิในการถ่ายทอดหน้าจอ หรือที่เรียกว่า “Screen Casting” เพื่อดูหน้าจอผู้ใช้งาน สุดท้าย Fake App จะขอสิทธิในการทำ Screen Overlay หรือการใช้ Fake App มาซ้อนแอปฯจริง เช่น หากคนร้ายต้องการจะใส่ Pin 6 หลัก เพื่อเข้าถึงแอปฯธนาคาร คนร้ายจะทำการซ้อนหน้าจอขึ้นมาบังการทำงานระหว่างกดรหัส ไม่ให้ผู้ใช้รู้ตัว

“ตัวอย่างเช่น ผู้ใช้ติดตั้ง Fake App ที่เกี่ยวกับการดูไลฟ์สดศิลปิน และในการเข้าใช้จะต้องดูโฆษณาเป็นเวลา 1 นาที ซึ่งระหว่าง 1 นาทีนี้ผู้ใช้ไม่รู้ตัวเลยว่า เบื้องหลังแฮกเกอร์ได้โอนเงินออกจากบัญชีเรียบร้อยแล้ว”

ถึงตรงนี้จากสิทธิที่ Fake App ขอทั้งหมดคือ ขอเข้าถึงข้อมูลภายในเครื่อง ขอเห็นหน้าจอผู้ใช้ทุกอย่าง ขอทำ Screen Overlay เพื่อกดปุ่มต่าง ๆ  และต้องให้สิทธิการทำงานอยู่ตลอดเวลาด้วย ส่งผลให้คนร้ายสามารถเฝ้าดูการทำงานของโทรศัพท์จากระยะไกลได้ตลอดเวลา รู้ว่าผู้ใช้กำลังใช้งานแอปฯอะไร กดรหัสอะไร

“คนร้ายไม่จำเป็นต้องรีบลงมือ เพราะได้สิทธิการเข้าถึงที่ต้องการแล้ว จากนั้นก็รอให้เป้าหมายไม่ได้ใช้โทรศัพท์ เช่น ช่วงเวลาที่ชาร์จแบตเตอรี่ เมื่อเป้าหมายไม่ระวังจึงค่อย ๆ เริ่มโอนเงินออกจากบัญชี จากนั้นก็เข้าสู่รูปแบบเดิมคือ โอนเข้าบัญชีม้าหลาย ๆ ทอด จนสุดท้ายไปจบที่ระบบ P2P ของเว็บเทรดคริปโทฯอย่าง Binance เพื่อเปลี่ยนเงินที่ขโมยมาไปเป็นคริปโทเคอร์เรนซี่ และโยกไปใส่ใน wallet ต่าง ๆ ซึ่งการติดตามทำได้ยากมาก มีโอกาสตามเจอไม่ถึง 10%”

ถ้าตกเป็นเหยื่อต้องทำยังไง ?

นายพลสุธี อธิบายต่อว่า การจะตรวจสอบตัวเองว่าตกเป็นเหยื่อการโจมตีแบบ Fake App หรือไม่นั้น สามารถเช็คลิสต์ได้จาก 3 เหตุการณ์คือ

1. ก่อนจะกลายเป็นผู้เสียหาย จะมีการติดต่อเข้ามาโดยบุคคลหรือหน่วยงานที่ไม่เคยมีธุระด้วยมาก่อน ผู้ใช้จะต้องตั้งสติและถามตัวเองว่า “นี่คือเรื่องจริงหรือไม่?” หรือเป็นแค่การกุเรื่องให้ตกใจกลัว ข่มขู่ หรือมาทำให้รู้สึกโลภ ถ้าไม่มั่นใจให้ถามชื่อ นามสกุล สังกัด จากนั้นให้วางสายและหาข้อมูลจากอินเทอร์เน็ตเพื่อติดต่อเข้าไปยังหน่วยงานต้นสังกัดจริง ๆ ที่สำคัญคือห้ามโอนเงินให้ปลายสายเด็ดขาด
2. กรณีที่โหลด Fake App และมีการลงทะเบียนให้ข้อมูลส่วนตัวไปแล้ว แต่ยังไม่เกิดความเสียหายทางการเงิน สิ่งที่ต้องทำเป็นอย่างแรกคือเปิด “โหมดเครื่องบิน” (Airplane Mode) หรือปิดการใช้งานอินเทอร์เน็ตทันที และให้ดำเนินการรีเซ็ตการตั้งค่าโรงงาน (Factory Reset) แล้วค่อยกลับมาดาวน์โหลดแอปพลิเคชั่นที่ต้องการใหม่ เพราะ Fake App บางตัวจะฝังการทำงานในเครื่อง ไม่สามารถสั่งปิด หรือถอนสิทธิการใช้งานได้
3. ในกรณีที่ตกเป็นผู้เสียหาย สิ่งแรกที่ต้องทำคือรวบรวมหลักฐานทั้งหมดที่มี ทั้งบุคคลที่ได้ติดต่อ มีการทำธุรกรรมใดไปบ้าง จำนวนเงิน วัน-เวลาที่ทำธุรกรรมเหล่านั้น เลขบัญชีปลายทาง ชื่อผู้รับเงิน จากนั้นให้รีบแจ้งความ โดยขณะนี้มี 2 ช่องทางคือ แจ้งความกับตำรวจท้องที่ เพื่อลงบันทึกประจำวัน หรือแจ้งความกับศูนย์ปราบปรามอาชญากรรมทางเทคโนโลยีสารสนเทศผ่านเว็บไซต์ thaipoliceonline.com หรือโทรศัพท์ 1441 เมื่อได้ใบแจ้งความมาแล้ว ให้รีบติดต่อธนาคารทันที เพราะหากติดต่อเร็ว ก็มีโอกาสที่จะอายัดบัญชีได้ทัน