แอปดูดเงินทำงานยังไง ? สรุปกลโกงแห่งปี 2024 โดย "นายอาร์ม" ผู้เชี่ยวชาญไอทีชื่อดัง
“แก๊งคอลเซนเตอร์” และ “แอปดูดเงิน” เป็นภัยคุกคามสังคมจากเทคโนโลยีที่กำลังระบาดทั่วประเทศในปัจจุบัน ทำให้เกิดความหวาดกลัวที่มาพร้อมข้อมูลที่คลาดเคลื่อนในการระวังภัยอย่างไม่ถูกต้อง แต่ก็มีผู้เชี่ยวชาญหลายรายได้ออกมาให้ข้อมูลต่าง ๆ อย่างละเอียดในแพลตฟอร์มต่าง ๆ รวมถึง “นายอาร์ม” ยูทูบเบอร์ด้านไอทีชื่อดังของไทย ที่มีผู้ติดตามมากกว่า 1 ล้านคน
กลไกหลอกดูดเงินผู้ใช้ผ่านแอป
“นายอาร์ม” ได้เล่าเรื่องราวผ่านคลิปที่มีชื่อว่า “ทำไมคุณโดนดูดเงิน? (ของจริง ของแทร่)” บนยูทูบ (Youtube) เมื่อวันที่ 2 มีนาคมที่ผ่านมา และมียอดคนดู (View) มากกว่า 6 แสนครั้ง ซึ่งเนื้อหาเป็นการขยายความและอธิบายกลไกการทำงานของ “แอปดูดเงิน” ที่มิจฉาชีพใช้ในการหลอกลวงดูดเงินจากเหยื่อไป ซึ่งมีที่มาจากบทความโดยผู้ใช้ที่ชื่อว่า Thapanat บนแพลตฟอร์มบทความมีเดียม (Medium)
โดยหลักการทำงานพื้นฐาน คือการหลอกให้เหยื่อดาวน์โหลดแอปพลิเคชันที่ปลอมเป็นหน่วยงานภาครัฐ เช่น แอปด้านสาธารณูโภค ไปจนถึงบริษัทขนส่งต่าง ๆ ผ่านการโทรหาเหยื่อและสวมรอยเป็นเจ้าหน้าที่ของหน่วยงานที่แจ้งปัญหาหรือการได้เงินคืน
จากนั้นเมื่อดาวน์โหลดแอปได้แล้ว จะมีการหลอกล่อให้ผู้ใช้อนุญาตให้ฟังก์ชันที่ชื่อว่าแอกเซซสิบิลิตี เซอร์วิส (Accessibility Service) ทำงาน โดยฟังก์ชันนี้เดิมทีเป็นฟังก์ชันเพื่อผู้พิการ แต่มิจฉาชีพจะนำมาใช้อ่านข้อมูลภายในแอปพลิเคชัน ร่วมกับการควบคุมจากระยะไกล (Remote Control) และหลอกล่อให้เหยื่อให้ข้อมูลส่วนตัว ทั้งรหัสผ่าน (PIN) การสแกนใบหน้า (Biometric) รวมถึงเลขบัญชีและอื่น ๆ ระหว่างการสนทนา
และเมื่อได้ข้อมูลทั้งหมดแล้ว มิจฉาชีพจะทำการสวมรอยในระบบเสมือนว่าเป็นโทรศัพท์ของเหยื่อ และดำเนินธุรกรรมทางการเงินกับแอปพลิเคชันธนาคารต่อไป
iOS อย่าวางใจ โดนแฮกหลอกดูดเงินได้เหมือนกัน
ขั้นตอนทั้งหมดที่กล่าวมาเป็นเรื่องที่มักเกิดขึ้นกับผู้ใช้สมาร์ตโฟนระบบปฏิบัติการแอนดรอยด์ (Android) แต่ไม่ใช่ว่าผู้ใช้งานไอโฟน (iPhone) ที่มีระบบปฏิบัติการแบบไอโอเอส (iOS) จะไม่สามารถถูกดูดเงินได้
โดยในกรณีที่เหยื่อใช้งาน iPhone มิจฉาชีพจะหลอกให้เหยื่อดาวน์โหลดแอปเช่นเดิม แต่สิ่งที่ได้จะเป็นการให้ดาวน์โหลดชุดคำสั่งที่เรียกว่า MDM (Mobile Device Management) แทน เพื่อให้มิจฉาชีพเข้าถึงข้อมูลเชิงลึกของตัวเครื่องต่อไป
อย่างไรก็ตาม ระบบ iOS ไม่เปิดให้มีการ Remote Control ใด ๆ จากแอปพลิเคชันภายนอก ดังนั้น มิจฉาชีพจึงใช้การหลอกล่อให้เหยื่อถ่ายภาพหน้าตัวเอง พร้อมกับข้อมูลส่วนตัวอื่น ๆ ก่อนที่มิจฉาชีพจะนำข้อมูลต่าง ๆ ไปปลอมแปลงเสมือนเป็น iPhone ของเหยื่อและติดต่อทำธุรกรรมกับธนาคารต่อไปเช่นเดิม
สติคือทางเดียวที่จะไม่โดนหลอกดูดเงิน
ทั้งผู้เขียนบทความที่ชื่อบัญชีว่า Thapanat และนายอาร์ม ต่างย้ำว่า จุดอ่อนที่สำคัญที่สุดอยู่ที่ผู้ใช้งาน โดยในคลิปวิดีโอและบทความได้อธิบายว่าธนาคารเองก็ทราบปัญหาทั้งหมดที่เกิดขึ้น ซึ่งก็ได้พยายามสร้างกลไกป้องกันปัญหา เช่น การบังคับให้ผู้ใช้แอปทำธุรกรรมเมื่อเชื่อมต่ออินเทอร์เน็ตมือถือ (สัญญาณ 4G/5G) เท่านั้น แต่มิจฉาชีพก็ได้มีการพัฒนาวิธีปลอมแปลงตัวตนไปด้วยเช่นกัน
สุดท้ายแล้ว ไม่ว่าจะมีกลไกดีแค่ไหน แต่หากผู้ใช้ขาดสติก็โอนเงินหรือโดนหลอกจนโดนดูดเงินอยู่ดี “ดังนั้น มีสติ เนื้อเรื่องที่เขา (มิจฉาชีพ) เอามาบอกมันต้องรีบ ต้องเร็ว ต้องด่วน ต้องอะไร แล้วอาจจะล่ก ต้องมีสติเข้าไว้ สติ สติเท่านั้นครับ” นายอาร์มกล่าวทิ้งท้าย
“นายอาร์ม” หรือ ดร.ธนานนท์ ปฏิญญาศักดิกุล จบการศึกษาปริญญาเอกสาขาวิทยาการคอมพิวเตอร์ (Computer Science) จากมหาวิทยาลัยเทนเทสซี (University of Tennessee) ปัจจุบันเป็นวิศวกรซอฟต์แวร์ (Software Engineer) ให้กับฮิวเลตต์ แพ็กการ์ด เอนเทอร์ไพรซ์ (Hewlett Packard Enterprise: HPE) ซึ่งเป็นผู้ผลิตซูเปอร์คอมพิวเตอร์ (Supercomputer) หรือคอมพิวเตอร์ที่มีกำลังการประมวลผลสูงชื่อดัง และเป็นยูทูบเบอร์ (Youtuber) ช่อง นายอาร์ม ที่มีผู้ติดตามมากกว่า 1 ล้านคน
ภาพจาก นายอาร์ม, freepik