เตือนภัย! กลโกงของ แอปดูดเงิน ปี 2567 พร้อมวิธีเช็ก

เมื่อไม่นานมานี้มีข่าวว่า ได้มีเหยื่อคุยโทรศัพท์กับมิจฉาชีพ 2 นาทีแล้วเงินหายหมดบัญชี ซึ่งทางสำนักงานตำรวจแห่งชาติออกมากล่าวแล้วว่าไม่มีเทคโนโลยีแบบนี้จริง แต่เหยื่ออาจโดนมิจฉาชีพหลอกจากทางอื่น ซึ่งจะมีวิธีแบบไหน เดี๋ยว ACU PAY จะมาสรุปเทคนิคโจรเหล่านี้ให้ฟังกัน

โดยหลัก ๆ มิจฉาชีพมักจะใช้ 3 วิธีในการหลอกลวงเหยื่อ

พูดให้เหยื่อโอนเงินให้เอง
พยายามหลอกถามข้อมูลเหยื่อเพื่อนำข้อมูลไปใช้เข้าถึงบัญชีบนแอปพลิเคชันของเหยื่อ
หลอกล่อให้เหยื่อติดตั้งโปรแกรมควบคุมมือถือเพื่อโอนเงินออกเอง
หลอกล่อให้เหยื่อเผลอกดรหัสนิรภัย หรือ ข้อมูลสำคัญสำหรับโอนเงิน

กลโกงของมิจฉาชีพ

ถึงแม้ว่าแอปธนาคารจะไม่อนุญาตให้ใช้ Accessibility Service แต่มิจฉาชีพก็ยังมีเทคนิคที่สามารถหลอกเอาเงินออกจากบัญชีได้ จากการขอข้อมูล

เบอร์โทรศัพท์
เลขบัตรประชาชน
PIN
SMS-OTP

อาจจะเริ่มจากการให้เหยื่อกรอกข้อมูล เบอร์โทร และเลขบัตรประชาชน หลังจากนั้นมิจฉาชีพก็จะโหลด Mobile Banking ไว้ที่โทรศัพท์ตัวเอง และรอข้อมูล PIN และ SMS-OTP ผ่านการโทรศัพท์หาเหยื่อ จากนั้นก็ใช้เทคนิคแนะนำให้เหยื่อกดลิงก์ไปติดตั้งแอปดูดเงินตามวิธีเก่าจนเสร็จ รอเหยื่อกรอก PIN ที่อาจซ้ำกับ PIN ของแอปธนาคาร และชิ้นสำคัญคือ SMS-OTP โดยโจรจะแช่จอเรา และควบคุมเครื่องเอาข้อมูล OTP ไปได้ในที่สุด

สำหรับมาตรการใหม่ของทางธนาคาร ที่บังคับให้สแกนหน้าหากโอนเงินเกิน 50,000 หรือ 200,000 บาท ซึ่งมิจฉาชีพ ก็สามารถทำได้ ด้วยการเพิ่มฟังก์ชันสแกนหน้าเข้ามาในแอปดูดเงินด้วย โดยจะอัดวิดีโอหน้าเหยื่อตอนกิริยาต่าง ๆ เก็บเป็นไฟล์ เมื่อโจรได้คลิปเซลฟี่ไปแล้ว ก็ไปทำกรรมวิธีเหมือนเป็นเหยื่อใช้มือถือเครื่องใหม่เบอร์เดิมได้

แต่ธนาคารก็หาวิธีป้องกันมิจฉาชีพแบบใหม่ ทั้งยกเลิกการใช้งาน SMS-OTP ปิดการใช้สิทธิ์การเข้าถึงถ้าใช้แอปอื่นอยู่ หรือบังคับให้ใช้ 4G หรือ 5G กับเบอร์ที่ใช้ลงทะเบียนไว้เท่านั้นในการเปิดแอปธนาคาร ไม่ให้ใช้ Wi-Fi

แต่พวกโจรคอลเซนเตอร์ ก็ยังหาจุดบอดนี้ได้ ด้วยการทำตัวเป็น Reverse Proxy หรือ การใช้เครื่องเหยื่อเป็นสะพานเชื่อมให้มันเชื่อมต่อกับแอปธนาคาร โดยโจรก็จะใช้ Wi-Fi เชื่อมต่อไปที่เครื่องเหยื่อ แล้วให้เหยื่อใช้ 5G เชื่อมต่อไปยังแอปธนาคารอีกที เท่านี้ก็หลอกเอาเงินมาได้อีกเหมือนกัน แต่ตอนนี้หลาย ๆ ธนาคารก็ได้เพิ่มมาตรการในการป้องกันเรื่องนี้แล้วในระดับหนึ่ง

ไม่ว่าจะใช้ Android หรือ iPhone ก็โดนดูดเงินได้

เข้าไปที่ตั้งค่า (Setting)
เลือกทั่วไป
เลือกการจัดการ VPN และอุปกรณ์
สังเกตตรงด้านล่างของ VPN ถ้าเข้าไปดูแล้วมี management profile ให้คิดเลยว่าเราน่าจะโดนแล้ว แต่ถ้าเป็นกรณีบริษัทใหญ่ ๆ ที่มีการติดตั้ง management profile มากับ iPhone ที่แจกให้พนักงานใช้ อาจต้องขอคำแนะนำจากผู้เชี่ยวชาญช่วยตรวจสอบ
โดยปกติการติดตั้ง App ทั่วไปใน iPhone จะต้องผ่าน App Store เพื่อความปลอดภัยขั้นแรกอยู่แล้ว แต่ก็ยังมีช่องโหว่ให้โจรสามารถติดตั้ง Management profile นั่นก็คือการเผลอไปกดลิงก์มั่ว ๆ และอนุญาตให้มิจฉาชีพเข้าถึงข้อมูลเครื่องเราได้

สำหรับวิธีเช็กแอปดูดเงิน ที่แอบติดตั้งใน Android

ไปที่เมนูการตั้งค่า (รูปฟันเฟือง) เลือก > แอป แล้วกดที่จุด 3 จุด มุมขวาบน เลือกเมนูย่อย > การเข้าถึงพิเศษ
ถ้าไม่สามารถเปิดดูเมนูดังกล่าวได้ โดยหน้าจอจะเด้งออกไปที่หน้าหลักทันที แสดงว่า มือถือเครื่องนั้นถูกฝังแอปเรียบร้อยแล้ว
สิ่งแรกที่ต้องทำ คือ ตัดการเชื่อมต่ออินเทอร์เน็ตทันที แล้วสำรองข้อมูลที่สำคัญ จากนั้นล้างเครื่อง โดยรีเซต (Reset) เครื่องกลับคืนค่าเริ่มต้นจากโรงงาน

แนวทางการป้องกัน

ไม่ดาวน์โหลดติดตั้งแอปที่ไม่ได้อยู่บน Store รวมถึงกดลิงก์จากแหล่งที่ไม่รู้จักพร้อมให้ตรวจสอบลิงก์ก่อนกดทุกครั้ง
ไม่สแกนใบหน้ากับโปรแกรมจากแหล่งอื่น ๆ นอกเหนือจากแอปที่ได้รับรองความปลอดภัยจากผู้พัฒนาระบบปฏิบัติการที่เป็น Official Store (App Store สำหรับ iOS และ Play Store สำหรับ Android เป็นต้น)
เมื่อรู้ตัว หรือสงสัยว่ากำลังคุยกับมิจฉาชีพ ไม่แนะนำให้คุยต่อ เพราะยิ่งเราฟังมิจฉาชีพ เราอาจจะเริ่มหลงเชื่อโดยไม่รู้ตัว รวมไปถึงอาจเสี่ยงต่อการถูกนำเสียงไปใช้ปลอมเพื่อหลอกลวงผู้อื่นต่อ
หลีกเลี่ยงการใช้รหัสเดียวกันในการปลดล็อกอุปกรณ์ต่าง ๆ โดยเฉพาะรหัสเข้าแอปพลิเคชัน Mobile Banking เพื่อป้องกันการเผลอกดรหัสโอนเงินโดยไม่ตั้งใจ

หากเพื่อน ๆ มีข้อสงสัยว่ากำลังตกเป็นเหยื่อของโจรออนไลน์ สามารถโทรสอบถาม ปรึกษาสายด่วนศูนย์ AOC 1441 หรือแจ้งความผ่านระบบรับแจ้งความออนไลน์ (เฉพาะคดีอาชญากรรมทางเทคโนโลยี) ที่เว็บไซต์นี้เท่านั้น www.thaipoliceonline.go.th