แอปดูดเงิน นวัตกรรรม หรือ แค่กลลวง

มีนาคม 5, 2024

แอปดูดเงิน หรือ แอปหลอกโอนเงิน นวัตกรรมใหม่ของมิจฉาชีพที่เป็นที่พูดถึงเป็นอย่างมาก ทั้งในอินเตอร์เน็ต และตามข่าวช่องต่างๆ ซึ่งจากที่ดู และฟังมาก็น่ากลัวมากสำหรับผู้ใหญ่ ที่นำเสนอว่า เพียงแค่โทรก็ถูกดูดเงินได้ หรือไม่ก็เชื่อมเสียบสายทิ้งไว้เงินก็หายเลย แต่ทางเทคนิคแล้วนี่น่า จะดูเกินจริงไปมากที่สื่อจะนำมานำเสนอ ซึ่งตามเทคนิคอาจต้องมีอะไรที่มากกว่านั้น ก่อนจะถูกโอนได้

แอปดูดเงิน คืออะไร คุยสองนาทีดูดเงินได้เลยหรือ?

แอปที่มิจฉาชีพ ไม่ได้ออกแบบมาเพื่อดูดเงินตรงๆ แต่เจ้าแอปตัวร้ายนี้ จริงๆ เป็นแอปพลิเคชั่นที่ควบคุมมือถือได้หลังจากที่หลอกให้เหยื่อติดตั้งแอป ตั้ง pin สแกนหน้า และกดยอมรับการเข้าถึงสำเร็จ จะเป็นได้ว่ามีหลายขั้นตอนมากกว่าจะ เข้าไปดูดเงินได้ แอปนี้จึงไม่ใช้แฮก แต่ต้องใช้การล่อหลอกด้วยคำพูดมากกว่า เพื่อให้เหยื่อทำตามถึง 3-4 ขั้นตอนนี้แบบไม่เอะใจ

โดยแอปนี้ที่สร้างมาจะเป็นแอปที่ทำหน้าที่ ควบคุมหน้าจอ (remote control) โดยล็อกหน้าจอ และเข้าแอปธนาคารแล้วโอนเงินทั้งหมด หลังจากเหยื่อที่กด “ยินยอมการเข้าถึง” ได้เท่านั้น ระหว่างนั้นอาจเป็นการโทรคุยเพื่อหลอกล่อ โดยจะเป็นแอปที่ทำออกมาหน้าตาเหมือนแอปที่อยู่ใน Play store เลย แต่จุดสังเกตเลยคือให้โหลดผ่านเว็บ ซึ่งจะมีการหลอกหลายรูปแบบ

แอปดูดเงิน ทางเทคนิคแล้วสามารถทำได้อย่างไร

ด้วยมือถือที่ใช้ระบบปฏิบัติการ Android นั้นมีฟังก์ชัน Accessibility Service ที่สามารถวาดทับ หรือสามารถควบคุมเครื่องเหยื่อได้จากระยะไกลเพียงล่อให้กดยอมรับ โดยกระบวนการทำงานของมิจฉาชีพแอปดูดเงินก็จะเป็นดังนี้ ที่เป็นไปได้ที่สุด

การส่ง SMS ที่มีลิงก์ไลน์ เพื่อให้กดเพิ่มเพื่อนกับไลน์ หรือไม่ก็ไลน์ของการไฟฟ้า ธนาคารต่างๆ รวมไปถึงการแจกเงิน (ตามหลักลิงก์นี้กดได้ ยังไม่โดนควบคุมนะ) คลิกเข้าไป หน้าจอก็จะเด้งไปที่หน้าแอปไลน์ (ถ้ามีนะ) เพื่อให้กดเพิ่มเพื่อน
ทำทีเป็นแจงรายละเอียด ทั้งแชทมาถามเกี่ยวกับข้อมูลส่วนตัวในกรณีของการไฟฟ้าก็จะให้เราแจ้งเลขประจำหลักไฟฟ้า พอแจ้งก็จะได้ข้อมูลทั้งชื่อ-สกุล และอาจมีเลขบัตรด้วย จากนั้นก็จะมีเหมือนเจ้าหน้าที่โทรมา (ผ่านไลน์) หรือไม่ก็ให้โหลดแอปการไฟฟ้าปลอมเลย
โหลดแอป ขั้นตอนนี้ก็จะมีทั้งการโทร และการแชทมาให้เหยื่อติดตั้งแอป โดยแอปนั้นๆ ก็จะมีหน้าตาเหมือนใน Store เลยทั้งยอดดาวน์โหลด คะแนน และในขั้นตอนนี้จะยังไม่สามารถทำการดูดเงินได้
ขั้นต่อไปก็คือการกรอกข้อมูลส่วนตัวละไปตามฟอร์ม หลักๆ ก็จะมี ชื่อสกุล เบอร์โทร การตั้งรหัส pin สาเหตุที่เป็น pin ก็เพราะเราอาจกรอก pin ในการทำธุรกรรมธนาคารได้ หลังจากกรอกเรียบร้อยระบบก็จะถามถึง การอนุญาตให้เข้าถึง และจะมีคำว่า Remote Access หลังจากกดอนุญาตก็เรียบร้อย มือถือของเหยื่อก็อยู่ในการความคุมทั้งหมด

ที่มา : เจาะลึก! แอปดูดเงิน ทำงานยังไง วิธีสังเกตและป้องกัน โดยนักพัฒนาแอป Android [1]

เปรียบเทียบ แอปดูดเงินในแบบล่าสุด มีวิธีการเปลี่ยนไปอย่างไร

ในขั้นตอนของการ Remote Access ในปัจจุบัน นับว่าหลายธนาคารก็ไม่อนุญาตให้ ทำรายการเขียนทับหน้าจอได้แล้ว แนวคิดเดิมที่พยายามใช้แอปดูดเงินเข้ามาควบคุมและใช้งานแอปธนาคารก็ได้รับการป้องกันแล้ว จึงได้เกิดแนวทางใหม่ขึ้น โดยมีแอปเหมือนเดิมแต่เป็นแค่แอปเก็บข้อมูลเท่านั้น

ในเมื่อเหยื่อกว่าแสนคนที่เคยโดนหลอก ซึ่งก็ทำทุกอย่างที่แอปต้องการ ที่ลงทะเบียนตั้ง pin สแกนหน้า หรือแม้กระทั้งโอนไปเองก็มี ดังนั้นมิจฉาชีพที่สามารถหลอกคนให้เชื่อได้ขนาดนี้ โจรก็เลยใช้เครื่องตัวเองทำไปซะเลยโดยใช้ระบบเปลี่ยนมือถือของธนาคาร ที่ใช้แค่ เบอร์ เลขบัตรประชาชน PIN และ OTP เท่านั้น ซึ่งก็มีวิธีการที่ต่างจากเดิมเล็กน้อย

ส่ง SMS ให้เหยื่อที่เชื่อกดเพิ่มเพื่อนในไลน์ ด้วยสถานการณ์บวกกับประสบการณ์ความชั่วที่สั่งสมจึงไม่ยากที่จะใช้วิธีโทร เพื่อให้เหยื่อทำเดี๋ยวนั้นทันที
ให้โหลดแอปและกรอกข้อมูลให้เรียบร้อย ชื่อสกุล เบอร์ เลขบัตรประชาชน PIN และ OTP รวมไปถึงการสแกนหน้า โดยระหว่างที่เปิดแอบก็จะมีมิจฉาชีพโทรมาสอนการลงทะเบียน ซึ่งการตั้ง Pin ก็ห้ามเป็นเลขซ้ำหรือเรียง อย่าง 111119 123456 โดยมีคนพูดกับเราตลอด เหยื่อจึงมีโอกาสที่จะตั้ง pin ที่จำง่ายที่สุดไป (รหัสที่ซับซ้อนแต่จำง่ายของแต่ละคน) คือ pin ธนาคาร
กดอนุญาตการเข้าถึง และขั้นตอนนี้ก็จะเหมือนเดิมคือคุมหน้าจอเราโดยไม่ได้เข้าไปที่แอบธนาคาร แต่เป็นการเข้าไปเพื่อดู OTP ที่ส่งมาในมือถือเหยื่อ เพื่อยืนยันการเปลี่ยนมือถือ ที่ทำไว้ในเครื่องโจรเรียบร้อยแล้ว
หลังจากนี้มือถือของเหยื่อก็หมดประโยชน์ ซึ่งอาจปลดการล็อกจอ หรือไปก็ปล่อยมันค้างไปอย่างนั้นไปเลย มิจฉาชีพก็จะใช้มือถือของตน และกดโอนเงินได้เลย

ที่มา : เจาะลึกกลโกงของแอปดูดเงิน ในยุค 2567 [2]

หลังจากนั้นธนาคารก็เพิ่มการบังคับสแกนหน้ามาหากโอนเกิน 5 หมื่น มิจก็เอาข้อมูลที่เราสแกนหน้าไปสแกนได้เลย ซึ่งในเมื่อมิจได้ใบหน้าไปธนาคารก็สู้ด้วยการอนุญาตให้การโอนเงินใช้งานด้วยสัญญาณ 4G เท่านั้น มิจก็เพิ่มฟังก์ชั่นในแอปดูดเงินในการ Reverse Proxy [3] เพื่อขอยืมสัญญาณเครื่องเหยื่อ และใช้ในการส่งข้อมูลการโอนไป เพื่อให้ระบบของธนาคารยอมรับได้ เหมือนเหยื่อส่งไปเองเลย

สรุป แอปดูดเงิน จะโดนหรือไม่โดนอยู่ที่ตัวเราทั้งนั้น

จากที่กล่าวมาเจ้า แอปดูดเงิน ก็เป็นโปรแกรมหนึ่งที่ออกแบบมาเพื่อใช้ฟังก์ชั่นควบคุมจอ อาจเป็นนวัตกรรมแอปพลิเคชั่นในโลกของมิจฉาชีพ แต่หลักๆ แล้วคือการหลอกล่อให้เชื่อ จากกล่าวมาและเหยื่อที่มีมากเป็นหลักแสนคน จึงทำให้สรุปได้ว่าจริงๆ แล้วที่มิจเอาเงินไปได้ ก็เพราะเหยื่อหลงเชื่อ และคนที่หลงใช้ก็พร้อมที่จะทำตามที่มิจฉาชีพบอกหมดเลย ธนาคารจะแก้ทางยังไง หากเหยื่อเชื่อก็คงมีค่าเท่าเดิม

อ้างอิง

[1] droidsans. (January 20, 2023). เจาะลึก! แอปดูดเงิน ทำงานยังไง วิธีสังเกตและป้องกัน โดยนักพัฒนาแอป Android. Retrieved from droidsans

[2] medium. (February 22, 2024). เจาะลึกกลโกงของแอปดูดเงิน ในยุค 2567 (คุย 2 นาทีดูดเงินได้จริงหรือ). Retrieved from medium

[3] medium. (January 3, 2019). ความแตกต่างระหว่าง Proxy กับ Reverse Proxy. Retrieved from medium

X-wing

ชายผู้ที่จะสัมผัสทุกเว็บพนันในโลก ด้วยการ งมจากกูเกิ้ลแหล่งที่ทุกเว็บจะมารวมกันราวกับออลบูล แล้วพาทุกท่านไปพิสูจน์ร่วมกัน

กลับหน้าบทความ

บทความอื่น ๆ ที่น่าสนใจ

คลิกเพื่ออ่านต่อ

ก่อนดูซีรีส์เกาหลี ทีมสืบล่าใบเสร็จ | The Killer's Shopping List (2022)

คลิกเพื่ออ่านต่อ

ก่อนดูซีรีส์เกาหลี ยอดทีมตุลาการ | Miss Hammurabi (2018) เรื่องย่อ

คลิกเพื่ออ่านต่อ

ก่อนดูซีรีส์เกาหลี เดอะเคทู | The K2 (2016) เรื่องย่อ

คลิกเพื่ออ่านต่อ

ก่อนดูซีรีส์เกาหลี รีเมมเบอร์ | Remember: War of Son (2015) เรื่องย่อ

1 2 3 … 417 ถัดไป »