‘นายอาร์ม’ แฉเอง กลโกงแอปฯดูดเงิน มิจฉาชีพใช้วิธีไหน ป้องกันอย่างไร

วันที่ 2 มี.ค.2567 ‘นายอาร์ม’ เจ้าของช่องยูทูบ 9arm เผยแพร่คลิป “ทำไมคุณโดนดูดเงิน? (ของจริง ของแทร่)” สรุปกลโกงของมิจฉาชีพหลอกดูดเงิน จากบล็อกเกอร์ Thapanat ที่เขียนบทความ “เจาะลึกกลโกงของแอปดูดเงิน ในยุค 2567 (คุย 2 นาทีดูดเงินได้จริงหรือ)”

โดยนามอาร์มอธิบายสรุปว่า การดูดเงินรูปแบบแรก โจรสามารถดู OTP บนหน้าจอมือถือได้ ซึ่งอย่าให้สิทธ์การเข้าถึงเครื่อง จากแอปฯ ที่คนอื่น (มิจฉาชีพ) บอกให้โหลด ซึ่งโจรใช้ประโยชน์จาก Accessibility Service โดยหลอกให้เหยื่อกรอกข้อมูลส่วนตัวในแอปฯ ปลอม แล้วนำข้อมูลไปยืนยันตัวตนในเครื่องใหม่ วิธีการจะส่งลิงก์ให้เหยื่อกดดาวน์โหลดแอปพลิเคชั่น ซึ่งมีหน้าตาที่เหมือนแอปฯจริง เมื่อเหยื่อหลงกลกดดาวน์โหลด โจรจะสามารถควบคุมเครื่องโทรศัพท์ของเหยื่อได้

วิวัฒนาการดูดเงินรูปแบบที่ 2 โจรสามารถย้ายสิทธิ์ของเหยื่อไปทำธุรกรรมบนเครื่องใหม่ได้เลย ด้วยการหลอกขอข้อมูลส่วนตัวที่เหยื่อส่งให้ เช่น PIN 6 หลัก สแกนหน้า เลขบัตรประจำตัวประชาชน เพื่อปลอมตัวเป็นเหยื่อ โดยโจรติดตั้ง Mobile Banking บนโทรศัพท์ของโจรเอง และหลอกให้เหยื่อกดติดตั้งแอปฯ ที่โจรเขียนโปรแกรมขึ้นมา แล้วหลอกให้เหยื่อพิมพ์ข้อมูล หากเหยื่อเผลอตั้ง PIN ธนาคารของตัวเองลงไป โจรก็จะได้ข้อมูลไปอีก 1 ชิ้น

ข้อมูลสำคัญชิ้นสุดท้ายคือ SMS-OTP ซึ่งแน่นอนว่าด้วยความสามารถเดิมของแอปเรื่อง Accessibility Service ซึ่งปล่อยให้โจรเข้ามากดหน้าจอมือถือได้ตามใจชอบ ขณะที่ทำการล็อคจอและเครื่องทำให้เหยื่อมองไม่เห็นว่าเกิดอะไรขึ้น เท่ากับว่าข้อมูลสำคัญชิ้นสุดท้ายนั่นคือ SMS-OTP ก็โดนโจรเอาไปครอบครองได้ด้วยนั่นเอง

แม้ธนาคารจะออกวิธีป้องกันด้วยการบังคับให้ใช้สัญญาณ 4G/5G ช่วยป้องกันการเข้าแอปฯ จากเครื่องอื่นได้ แต่ไม่ว่าวิธีไหนธนาคารก็ไม่สามารถป้องกันมิจฉาชีพได้ 100% ดังนั้นวิธีป้องกันที่ดีที่สุด คือ “มีสติ”