แบงก์กรุงเทพแนะ 8 ทริค พิชิตกับดัก Fake App

ปัจจุบันการโจมตีผู้ใช้ด้วยการหลอกล่อให้ติดตั้งแอปฯปลอม หรือที่เรียกว่า Fake Appกำลังระบาดไปทั่วโลก เนื่องจากเทคนิคนี้ทำให้มิจฉาชีพสามารถแฝงตัวอยู่ในสมาร์ทโฟนของผู้ใช้ได้อย่างแนบเนียน พร้อมจับตาดูทุกพฤติกรรมมอนิเตอร์ทุกอย่างบนหน้าจอทั้งหมด ทั้งยูสเซอร์เนมรหัสปลดล็อคเครื่อง รหัสผ่านแอปฯธนาคาร แถมยังแปลงกระบวนท่าไปทำการควบคุมจากระยะไกลราวกับอยู่หน้าจอจริงได้อีกด้วย อ่าน ชำแหละภัยร้าย Fake APPตัวการดูดเงินหมดบัญชี อย่างไรก็ตามแม้กลโกง Fake App จะน่ากลัว แต่เทคนิคนี้ก็มีวิธีแก้ทางอยู่เหมือนกัน เพราะการจะตกเป็นเหยื่อกลโกง Fake App ได้ผู้ใช้จะต้องเหยียบกับดักของมิจฉาชีพถึง 3 ครั้ง และทั้ง 3 ครั้งล้วนมีวิธีแก้ทางทั้งสิ้น กับดักที่ 1 คือ มิจฉาชีพจะหลอกล่อทำให้ตกใจกลัว เช่น สวมรอยเป็นเจ้าหน้าที่รัฐ ขู่ว่าผู้ใช้มีความเกี่ยวข้องกับกิจกรรมที่ทำผิดกฎหมาย หรือมีคดีความ ถูกฟ้องร้อง หรือทำให้ผู้ใช้เกิดความโลภ ด้วยการลงทุนที่ให้ผลตอบแทนสูงเกินจริงการให้โปรโมชั่นใหญ่ เสนองานที่ให้ค่าตอบแทนสูง จนถึงการแนะนำแอปฯที่ตรงกับไลฟ์สไตล์ความชอบของตัวเอง โดยทั้งหมดนี้สามารถเกิดขึ้นได้ในทุกช่องทาง ไม่ว่าจะเป็นอีเมล SMS แกงค์คอลเซ็นเตอร์ ข้อความในแอปฯแชท หรือโซเชียลมีเดียต่าง ๆ และทั้งหมดนี้จะทำให้ผู้ใช้เปิดประตูไปสู่กับดักขั้นต่อไป กับดักที่ 1 นี้สามารถแก้ทางได้ง่ายมากเพียงแค่ใช้สติ และไม่ทำกิจกรรมใด ๆ ตามที่ต้นสายบอกทั้งสิ้น ถ้าไม่เหยียบกับดักนี้แต่แรก โอกาสตกเป็นเหยื่อจะน้อยมาก กับดักที่ 2 คือ มิจฉาชีพจะหลอกให้คลิกลิงก์เพื่อติดตั้ง Fake App หากผู้ใช้กดลิงก์จะเข้าสู่หน้าต่างการติดตั้งแอปฯซึ่งเป็นการติดตั้งภายนอก Official Store อย่าง AppStore หรือ PlayStore กับดักที่ 2นี้ สามารถแก้ทางได้ง่าย ๆ เช่นกัน คือไม่คลิกลิงก์ใด ๆ จากผู้ส่งที่ไม่รู้จัก ถ้าต้องการใช้แอปฯนั้นจริง ๆ ให้นำชื่อแอปฯไปเสิร์ชบน Official Storeอย่าง AppStore หรือ PlayStore และให้ติดตั้งแอปฯจาก Store หลักเท่านั้น ถ้าเผลอกดติดตั้งไปแล้วให้รีบตัดการเชื่อมต่ออินเทอร์เน็ต วิธีที่เร็วและสะดวกที่สุดคือการเปิดโหมดเครื่องบิน เอาซิมการ์ดออก และทำการรีเซ็ตตั้งค่าเดิมโรงงาน กับดักที่ 3 คือ เมื่อ Fake App ถูกติดตั้งลงบนเครื่องผู้ใช้แล้ว สิ่งแรกที่จะทำคือขอสิทธิ์ในการเข้าถึงเซอร์วิสต่าง ๆ ในสมาร์ทโฟน เช่น SMS, อัลบัมรูปภาพ, ไมโครโฟน ที่สำคัญคือสิทธิ์ในการเข้าถึงโหมดผู้พิการหรือ Accessibility เพื่อให้ Fake App สามารถทำงานได้ 24 ชั่วโมง โดยที่ผู้ใช้ไม่สามารถสั่งปิดการทำงานของแอปฯได้ นอกจากนี้ยังขอสิทธิ์ในการทำ Screen Mirroring และ Screen Overlay เพื่อให้สามารถเห็นหน้าจอผู้ใช้ทั้งหมด วิธีแก้ทางกับดักที่ 3 คือการสังเกต หากแอปฯไหนที่ขอสิทธิการเข้าถึงมากเกินจนผิดปกติ หรือขอสิทธิในการเข้าถึงเซอร์วิสที่ทำให้ไม่น่าไว้วางใจ เช่น เป็นแอปฯ แต่งภาพ แต่ขอสิทธิ์เข้าถึงรายชื่อผู้ติดต่อ หรือเป็นแอปฯดูไลฟ์สดแต่ขอสิทธิ์เข้าถึงโหมดผู้พิการ ให้คลิกปุ่มปฏิเสธ และลบแอปฯนั้นทิ้งไป หากกดอนุญาตไปแล้วให้รีบตัดการเชื่อมต่ออินเทอร์เน็ตทั้งหมดเปิดโหมดเครื่องบิน เอาซิมการ์ดออกแล้วทำการรีเซ็ตค่าเดิมโรงงานทันที ในกรณีที่ผู้ใช้เหยียบกับดักทั้ง 3 อัน นั่นหมายถึงเรากำลังอนุญาตให้มิจฉาชีพเข้ามาในสมาร์ทโฟน เห็นหน้าจอ รู้รหัสผ่านทั้งหมด ไม่ต่างกับการบอกคนร้ายทุกอย่างว่า เรามีเงินในบัญชีเท่าไหร่ อยู่ในธนาคารไหน ยูสเซอร์เนมและพาสเวิร์ดคืออะไร บอกจนถึงรหัส OTP คืออะไร

สิ่งที่มิจฉาชีพต้องทำเพียงแค่รอจังหวะที่เหมาะสม แล้วค่อยโอนเงินออกไปเข้าบัญชีม้าหลาย ๆ ทอดเพื่อให้ตามยาก จากนั้นก็นำไปซื้อคริปโทฯผ่านช่องทาง P2P แล้วโอนเข้า BlockchainWallet ที่ระบุตัวไม่ได้ ซึ่งการจะตามต่อนั้นยากมาก โอกาสสำเร็จมีไม่ถึง 10%แต่ถ้ารู้ตัวเร็วให้รีบรวมหลักฐานแล้วแจ้งความ จากนั้นให้ติดต่อทุกธนาคารที่มีบัญชีอยู่ หากดำเนินการได้เร็ว มีโอกาสที่จะอายัดบัญชีได้ทัน นอกจากวิธีแก้ทางกลโกง Fake App แล้ว อีกสิ่งที่ผู้ใช้ต้องให้ความสำคัญคือ การหลีกเลี่ยงพฤติกรรมที่มีความเสี่ยงต่อการตกเป็นเป้าหมายของมิจฉาชีพ

นายกิตติ โฆษะวิสุทธิ์ ผู้จัดการบริหารความมั่นคงปลอดภัยด้านสารสนเทศและความปลอดภัยไซเบอร์ ธนาคารกรุงเทพ จำกัด (มหาชน) ในฐานะ ที่ปรึกษากิตติมศักดิ์ ศูนย์ประสานงานด้านความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศภาคธนาคาร (TB-CERT) ได้แนะนำ 8ข้อต้องทำเป็นประจำ ให้ใช้สมาร์ทโฟนทำธุรกรรมการเงินได้อย่างปลอดภัยไม่ติดกับดักมิจฉาชีพ ดังนี้ 1. อุปกรณ์ปลอดภัย-ห้ามใช้โทรศัพท์มือถือที่ไม่ปลอดภัยมาทำธุรกรรมทางการเงิน อาทิ เครื่องที่ถูกปลดล็อก (root/jailbreak) หรือใช้เครื่องที่มีระบบปฏิบัติการล้าสมัย และตั้งล็อคหน้าจอ 2. ตัวตนปลอดภัย-ไม่เปิดเผยข้อมูลส่วนตัวในสื่อสาธารณะเกินความจำเป็น 3. รหัสปลอดภัย-ตั้งค่ารหัส (Password) ที่ไม่ง่ายเกินไป ไม่ซ้ำกับรหัสการใช้ทั่วไป และไม่บอกผู้อื่น 4. สื่อสารปลอดภัย-ไม่ให้ข้อมูลส่วนตัวกับคนแปลกหน้า และไม่แสดงตัวก่อน หากถูกถามให้ตรวจสอบคู่สนทนาให้แน่ชัด 5. เชื่อมต่อปลอดภัย-ไม่ทำธุรกรรมทางการเงินผ่านสัญญาณ Wi-Fi สาธารณะ หรือฟรี 6. ดาวน์โหลดหรือติดตั้งโปรแกรมจากแหล่งที่ได้รับรองโดยผู้พัฒนาระบบปฏิบัติการ(Official Store)เช่น Play Store หรือ App Store เท่านั้น โดยไม่คลิกจากลิงก์ และตรวจเช็กการอนุญาต หรือPermission ของแอปพลิเคชั่นและสังเกตการขออนุญาตเข้าใช้งานอุปกรณ์หรือข้อมูลที่ไม่สัมพันธ์สอดคล้องวัตถุประสงค์การใช้งานและกับประเภทการทำงานของแอปพลิเคชั่น 7. มีสติรอบคอบก่อนการทำธุรกรรมทุกครั้งอ่านข้อความที่ขึ้นเตือนบนเครื่องโทรศัพท์มือถือให้ถี่ถ้วน ไม่คลิกลิงก์จาก SMS, Chat หรืออีเมลที่ถูกส่งมาจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ 8. ศึกษาและติดตามข่าวสารการใช้งานเทคโนโลยีเป็นประจำสม่ำเสมอโดยหมั่นตรวจเช็กการตั้งค่า ไม่ให้ติดตั้งแอปพลิเคชั่นที่ไม่รู้จัก (Install unknown apps)และใช้งาน Anti-virus software

นายกิตติ กล่าวว่า รูปแบบภัยไซเบอร์มีความหลากหลายและซับซ้อนมากขึ้น จนทำให้ผู้ใช้งานตกเป็นเหยื่อโดยไม่รู้ตัว และมิจฉาชีพมักปรับเปลี่ยนรูปแบบโจรกรรมอยู่ตลอดเวลา จึงติดตามให้เท่าทันได้ยาก ดังนั้น ในเบื้องต้นผู้ใช้งานต้องระมัดระวังให้มากขึ้น คอยตรวจสอบการทำงานและการเข้าถึงข้อมูลของแอปพลิเคชั่นในโทรศัพท์มือถือ และอัพเดตแอปฯ ให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ รวมถึงช่วยดูแลเป็นหูเป็นตาการใช้งานโทรศัพท์ของผู้สูงอายุ ซึ่งอาจเผลอกดลิงก์ที่ไม่ปลอดภัยโดยไม่ตั้งใจ เพื่อป้องกันตัวเองและคนใกล้ตัว ไม่ให้ตกเป็นเหยื่อของโจรไซเบอร์ “ตอนนี้ธนาคารกรุงเทพมีแนวทางปกป้องผู้ใช้จากกลโกง Fake App แล้ว ตัวอย่างเช่น ในกรณีที่สมาร์ทโฟนของผู้ใช้มีแอปฯที่เข้าข่ายจะเป็น Fake App ตัวแอปฯ mBanking จะปิดการทำงานอัตโนมัติ เพื่อให้ผู้ใช้รีบติดต่อกลับมาหาธนาคารและดำเนินการแก้ไขโดยเร็ว หรือหากถูกถ่ายทอดหน้าจอด้วยฟังก์ชั่น Screen Mirroringระบบก็จะส่งจอดำไปให้ปลายทาง ทำให้ไม่เห็นข้อมูลต่าง ๆ ของผู้ใช้” 5 เทคนิคจับไต๋ Fake Appก่อนโหลด การดาวน์โหลดแอปฯใน PlayStore หรือ AppStore มีโอกาสเจอกับ Fake App ได้เช่นกัน (แต่โอกาสน้อย) ดังนั้นเพื่อความปลอดภัย ผู้ใช้ควรเช็คข้อมูลเหล่านี้ก่อนกดติดตั้งแอปฯทุกครั้ง 1. ชื่อแอปฯต้องสะกดถูกต้องทุกตัวอักษร:หากพบว่าชื่อผิดให้ตีไปเลยว่าเป็น Fake App 2. รายชื่อผู้พัฒนาแอปฯจะต้องถูกต้องน่าเชื่อถือ : เมื่อกดดูผลงานการพัฒนาที่ผ่านมาจะต้องไม่มีความผิดปกติใด ๆ 3. ดูยอดดาวน์โหลด : ก่อนติดตั้งให้เช็คยอดดาวน์โหลดหรืออันดับว่าตรงกับความเป็นจริงหรือไม่ เช่น เป็นแอปฯชื่อดังแต่ยอดดาวน์โหลดหลักพัน ถ้าเป็นเช่นนี้ถือว่ามีความเสี่ยงจะเป็น Fake App 4. ตรวจสอบสิทธิการเข้าถึง :แอปฯจริงจะไม่มีการขอสิทธิการเข้าถึงมากเกินความจำเป็น แต่ Fake App จะขอสิทธิที่เกินความจริงไปมากโดยเฉพาะการขอสิทธิเข้าถึงโหมดผู้พิการ (accessibility mode) 5. ตรวจสอบรีวิว: ส่วนใหญ่ Fake App จะไม่ค่อยมีความคิดเห็นหรือติดอันดับ ถ้ารู้สึกไม่มั่นใจให้หลีกเลี่ยงการติดตั้งไว้ก่อน