จาก “พัสดุมีปัญหา” สู่ “เงินหมดบัญชี”: ผ่ากลลวงลิงก์ดูดเงินใน LINE ที่คุณต้องรู้
เมื่ออาทิตย์ที่แล้ว ผมได้รับโทรศัพท์สายหนึ่งที่ทำให้ผมรู้สึกหนาวไปถึงสันหลัง เป็นสายจากเพื่อนของเพื่อนที่ผมเคยช่วยดูเรื่องคอมพิวเตอร์ให้ เสียงของเขาสั่นเครือและเต็มไปด้วยความตื่นตระหนก เขาเล่าว่าเงินเก็บในบัญชีธนาคารของเขาจำนวนหลายแสนบาท หายไปเกือบทั้งหมดภายในเวลาไม่ถึงหนึ่งชั่วโมง
จุดเริ่มต้นของฝันร้ายทั้งหมดนี้…มาจากข้อความแจ้งเตือน LINE แค่ข้อความเดียว
มันเป็นข้อความที่ดูธรรมดามากครับ อ้างว่ามาจากบริษัทขนส่งชื่อดัง บอกว่าพัสดุของเขามีปัญหา ติดอยู่ที่คลังสินค้า และขอให้เขา “คลิกลิงก์เพื่ออัปเดตที่อยู่และชำระค่าธรรมเนียม 5 บาท” ด้วยความที่เขากำลังรอของที่สั่งออนไลน์อยู่พอดี เขาก็ไม่ได้เอะใจอะไร… เขาคลิกลิงก์นั้น และทำตามขั้นตอนที่หน้าเว็บปลอมบอกทุกอย่าง
สิ่งที่เกิดขึ้นหลังจากนั้นคือฝันร้ายที่กำลังเกิดขึ้นจริงกับคนไทยจำนวนมากทุกวันนี้ครับ มิจฉาชีพไม่ได้แค่ขโมยรหัสผ่านของเขาไป…แต่พวกมันได้ “ยึดครอง” โทรศัพท์มือถือของเขาทั้งเครื่องจากระยะไกล พวกมันเฝ้ามองเขาผ่านหน้าจอ รอจนกระทั่งเขาล็อกอินเข้าแอปฯ ธนาคาร แล้วจึงเข้าควบคุม, ปลดล็อก, และโอนเงินออกไปทีละรายการจนเกลี้ยงบัญชี
ในฐานะคนที่ทำงานสาย Cyber Security มาทั้งชีวิต ผมอยากจะบอกว่านี่ไม่ใช่กลลวง Phishing แบบเดิมๆ ที่เราเคยรู้จักอีกต่อไป มันคือการ “ตกปลา” ที่อัปเกรดมาใช้ “เบ็ดไฟฟ้า” ที่สามารถช็อตปลาได้ทั้งบ่อ วันนี้ผมจะขออาสา “ผ่า” กลลวงที่อันตรายนี้ให้เพื่อนๆ ดูกันแบบช็อตต่อช็อต เพื่อให้เราและครอบครัวรู้ทันและไม่ตกเป็นเหยื่อรายต่อไปครับ
วิวัฒนาการของ Phishing: จาก “เหยื่อล่อ” สู่ “ม้าโทรจัน”
สมัยก่อน Phishing คือการหลอกเอารหัสผ่าน มันเหมือนการใช้เหยื่อล่อปลาให้มากินเบ็ด แล้วเราก็แค่ได้ปลา (ข้อมูล) ไป แต่กลลวง “แอปฯ ดูดเงิน” ที่ระบาดใน LINE ตอนนี้ มันซับซ้อนกว่านั้น
ผมขอเปรียบเทียบมันเหมือนเรื่อง “ม้าไม้เมืองทรอย” ครับ:
- “ม้าไม้” คือลิงก์ที่ส่งมา: มันดูเหมือนของขวัญหรือข้อเสนอที่ไม่เป็นพิษเป็นภัย (อัปเดตข้อมูลพัสดุ, รับส่วนลด, ดูคลิปหลุด)
- “การเปิดประตูเมือง” คือการคลิกลิงก์และติดตั้ง: เมื่อเราคลิกลิงก์ มันมักจะพาเราไปยังหน้าเว็บปลอมที่สั่งให้เราดาวน์โหลดแอปพลิเคชันพิเศษ (.apk สำหรับ Android) เพื่อ “ดำเนินการต่อ” การติดตั้งแอปฯ นอก Official Store (Play Store, App Store) ก็เหมือนกับการที่เราลากม้าไม้เข้ามาในกำแพงเมืองของเราเอง
- “ทหารที่ซ่อนอยู่ข้างใน” คือมัลแวร์: แอปฯ ที่เราติดตั้งลงไปนั่นแหละครับคือ “ทหาร” ของมิจฉาชีพ มันอาจจะเป็น มัลแวร์ (Malware) หรือ โทรจัน (Trojan) ที่ออกแบบมาเพื่อขอ “สิทธิ์ในการเข้าถึง” (Accessibility Permissions) ระดับสูงของโทรศัพท์เรา
เมื่อเราเผลอกด “อนุญาต” ทุกอย่างที่มันร้องขอ ก็เท่ากับว่าเราได้มอบ “รีโมตคอนโทรล” ของมือถือเราให้แฮกเกอร์ไปเป็นที่เรียบร้อยแล้วครับ
เบื้องหลังการควบคุม: แฮกเกอร์ “เห็น” ทุกอย่างที่เราทำได้อย่างไร?
เพื่อนหลายคนอาจจะสงสัยว่ามันควบคุมมือถือเราจากระยะไกลได้ยังไง?
ในฐานะ Developer ผมขออธิบายง่ายๆ เหมือนการทำโปรเจกต์หุ่นยนต์ครับ สมมติผมสร้างแขนกลขึ้นมาตัวหนึ่งในโรงไม้ ผมสามารถเขียนโปรแกรมสั่งให้มันหยิบจับของได้ใช่ไหมครับ? ทีนี้ถ้าผมติดกล้องไว้ที่แขนกล แล้วต่ออินเทอร์เน็ต ผมก็จะสามารถนั่งอยู่ที่บ้านอีกหลังหนึ่ง มองเห็นภาพจากกล้อง แล้วกดรีโมตสั่งให้แขนกลตัวนั้นทำงานอะไรก็ได้
มัลแวร์ที่แฝงมาในแอปฯ ดูดเงินก็ทำงานแบบเดียวกันครับ:
- มันใช้ “Accessibility Service” ของ Android: ซึ่งเป็นฟีเจอร์ที่ออกแบบมาเพื่อช่วยเหลือผู้พิการ ให้สามารถควบคุมมือถือได้ แต่แฮกเกอร์นำมาใช้ในทางที่ผิด
- มันสามารถ “อ่านหน้าจอ” (Screen Reading): มันเห็นทุกอย่างที่คุณเห็น ไม่ว่าจะเป็นตัวเลขบัญชี, ยอดเงิน, หรือรหัส OTP ที่ส่งเข้ามา
- มันสามารถ “เลียนแบบการสัมผัส” (Gesture Injection): มันสามารถสั่ง “กด” หรือ “ปัด” หน้าจอแทนคุณได้ มันจึงสามารถกดปุ่ม “โอนเงิน”, กรอกจำนวนเงิน, และยืนยันการทำธุรกรรมได้ด้วยตัวเอง
มันน่ากลัวตรงที่ว่า ทั้งหมดนี้อาจจะเกิดขึ้นตอนกลางดึกที่เราหลับไปแล้ว หรือเกิดขึ้นเงียบๆ โดยที่หน้าจอมือถือของเราอาจจะดับอยู่ด้วยซ้ำ (Black Screen Attack)
“กล่องเครื่องมือจับผิดเหยื่อปลอม”: 7 สัญญาณเตือนภัยที่ต้องจำให้ขึ้นใจ
การจะมองเหยื่อปลอมให้ออกต้องใช้ทักษะการสังเกตเหมือนช่างฝีมือครับ เพื่อให้ครบถ้วนสมบูรณ์ ผมได้รวบรวมเทคนิคที่ผมใช้ในงาน Cyber Security ทั้ง 7 ข้อ มาย่อยให้เป็นภาษาที่เข้าใจง่ายๆ ดังนี้ครับ
- “ที่อยู่ผู้ส่ง” ดูแปลกๆ เหมือนของทำเลียนแบบ: เวลาซื้อเครื่องมือ ผมจะดูยี่ห้อที่น่าเชื่อถือ ของปลอมมักจะทำโลโก้คล้ายๆ แต่ไม่เหมือนเป๊ะ ในอีเมลและ SMS ก็เช่นกันครับ จุดแรกที่ต้องดูคือ “ผู้ส่ง” ข้อความจากบริษัทขนส่งหรือหน่วยงานราชการมักจะไม่มีการสะกดผิดแปลกๆ หรือมาจากเบอร์โทรส่วนบุคคล
- “เนื้อหา” ที่เร่งรีบ กดดัน เหมือนช่างที่ทำงานลวกๆ: งานฝีมือที่ดีต้องใช้เวลาและความใจเย็น มิจฉาชีพไม่อยากให้เรามีเวลาคิด เขาจึงมักจะสร้าง “ความรู้สึกเร่งด่วน” (Sense of Urgency) กดดันเราเสมอ เช่น “ด่วน! บัญชีของคุณจะถูกระงับใน 24 ชั่วโมง”, “กรุณาอัปเดตทันที”, “โอกาสสุดท้าย!”
- “ข้อเสนอ” ที่ดีเกินจริง เหมือนเครื่องมือวิเศษที่ไม่มีอยู่จริง: ในโรงไม้ ไม่มีเครื่องมือวิเศษที่ทำงานทุกอย่างให้เราได้ในปุ่มเดียว ในโลกออนไลน์ก็เช่นกันครับ หากเจอข้อเสนออย่าง “คุณคือผู้โชคดีได้รับ iPhone ฟรี!”, “เงินกู้ได้ง่ายใน 5 นาที”, หรือ “รับส่วนลด 90%” ให้สันนิษฐานไว้ก่อนเลยว่าเป็นเหยื่อล่อ
- “คำทักทาย” ที่ไม่เจาะจง เหมือนจดหมายที่จ่าหน้าซองผิด: เวลาหน่วยงานที่เป็นทางการติดต่อเรา เขาจะระบุชื่อเราเสมอ แต่ข้อความ Phishing มักจะใช้คำทักทายกว้างๆ เช่น “เรียน ลูกค้าผู้มีอุปการะคุณ” หรือ “ถึงผู้ใช้บริการ” เพราะเขาส่งแบบหว่านและไม่รู้ว่าชื่อจริงของเราคืออะไร
- “ภาษา” ที่สะกดผิดๆ ถูกๆ เหมือนแบบแปลนที่เขียนมั่วๆ: ถ้าสถาปนิกเขียนแบบแปลนผิดๆ ถูกๆ เราคงไม่กล้าสร้างบ้านตามแบบนั้นแน่ๆ ข้อความจากมิจฉาชีพ โดยเฉพาะที่แปลมาจากภาษาอื่น มักจะมีคำที่สะกดผิด, ไวยากรณ์เพี้ยนๆ, หรือการเว้นวรรคที่ดูไม่เป็นมืออาชีพ
- “ตัวลิงก์” ที่ซ่อนที่อยู่จริงไว้ เหมือนเหยื่อที่เคลือบยาพิษ: นี่คือเทคนิคที่ต้องรู้ครับ บนคอมพิวเตอร์ เราสามารถ “เลื่อนเมาส์ไปวางค้างไว้บนลิงก์ (ห้ามคลิก!)” เพื่อดู “ที่อยู่เว็บที่แท้จริง” ที่ซ่อนอยู่ได้ ซึ่งมักจะเป็นเว็บแปลกๆ ไม่ใช่เว็บทางการ ส่วนบนมือถือ ให้เราสังเกต URL ที่น่าสงสัย เช่น มีการใช้ตัวเลขแทนตัวอักษร (faceb00k) หรือมี .xyz .cc ต่อท้าย
- และข้อที่สำคัญที่สุด: “คำขอให้ติดตั้งแอปฯ นอก Store ทางการ” คือสัญญาณเตือนภัยระดับสูงสุด! ไม่ว่าลิงก์จะมาจากใครก็ตามที่น่าเชื่อถือแค่ไหน ถ้ามันพาคุณไปยังหน้าเว็บที่บอกให้ดาวน์โหลดไฟล์ .apk หรือโปรไฟล์แปลกๆ เพื่อ “ติดตั้งแอปพลิเคชันด้วยตนเอง” ให้สันนิษฐานไว้ก่อนเลยว่านั่นคือมัลแวร์ 100% Play Store ของ Google และ App Store ของ Apple ก็เหมือน “ผู้จัดการโรงไม้” ที่มีมาตรฐานความปลอดภัยสูง การติดตั้งแอปฯ ด้วยตัวเองก็เหมือนไปซื้อ “เลื่อยไฟฟ้ามือสอง” จากคนแปลกหน้าท้ายรถกระบะนั่นเองครับ
สถานการณ์ฉุกเฉิน: ถ้าเผลอ “เปิดประตูเมืองให้ข้าศึกแล้ว”
สถานการณ์นี้ไม่ใช่แค่ “เผลอติดเบ็ด” แต่มันคือการ “ถูกยึดบ้าน” ไปแล้ว แผนรับมือจึงต้องดุดันและรวดเร็วเหมือนหน่วยปฏิบัติการพิเศษครับ
- ตัดการสื่อสารทันที (IMMEDIATELY Go Offline): นี่คือสิ่งแรกที่ต้องทำภายในเสี้ยววินาทีที่รู้ตัว ปิด Wi-Fi, ปิด Cellular Data, หรือถ้าให้ดีที่สุดคือ “ปิดเครื่องมือถือ” หรือ “เปิดโหมดเครื่องบิน” ทันที นี่คือการตัดสายรีโมตคอนโทรลของแฮกเกอร์
- อายัดทุกเส้นทาง (IMMEDIATELY Freeze Everything): อย่าเพิ่งวุ่นวายกับมือถือที่ติดเชื้อ ให้รีบหาโทรศัพท์เครื่องอื่น หรือวิ่งไปที่ตู้ ATM/ธนาคารที่ใกล้ที่สุด โทรหา Call Center ของทุกธนาคารที่เรามีแอปฯ อยู่ในเครื่อง เพื่อ “อายัดบัญชีและบัตรทั้งหมด” เดี๋ยวนี้! ย้ำกับเขาว่าเราสงสัยว่าจะโดนแอปฯ ดูดเงิน
- แจ้งหน่วยบัญชาการ (IMMEDIATELY Report): โทรแจ้ง ตำรวจไซเบอร์ที่เบอร์ 1441 ทันทีเพื่อให้ข้อมูลและขอคำแนะนำในการดำเนินการต่อไป
- รวบรวมหลักฐาน (Gather Evidence): หลังจากควบคุมสถานการณ์เบื้องต้นได้แล้ว ให้รวบรวมหลักฐานทั้งหมดเท่าที่มี เช่น ภาพหน้าจอของข้อความ LINE, URL ของลิงก์ที่กด, หรือชื่อของแอปฯ ปลอมที่ติดตั้งไป เพื่อนำไปแจ้งความกับตำรวจในพื้นที่
- ล้างบาง (The Factory Reset): วิธีที่ปลอดภัยที่สุดในการกำจัดมัลแวร์ที่ฝังลึกในเครื่องคือการ “Factory Reset” หรือการล้างเครื่องเพื่อคืนค่าจากโรงงาน ซึ่งมันจะลบข้อมูลทุกอย่างทิ้งไปทั้งหมด (นี่เป็นเหตุผลว่าทำไมการสำรองข้อมูลไว้บน Cloud อย่างสม่ำเสมอจึงสำคัญมาก)
บทสรุป: ความรู้คือเกราะป้องกันที่ดีที่สุด
เพื่อนๆ ครับ…ผมเล่าเรื่องทั้งหมดนี้ไม่ใช่เพื่อให้เรากลัวจนไม่กล้าใช้มือถือนะครับ แต่ผมเชื่อเหมือนที่ผมเชื่อในโรงไม้ของผมเสมอว่า “ความกลัวเกิดจากความไม่รู้ แต่ความปลอดภัยเกิดจากความเข้าใจ”
ภัยคุกคามในโลกไซเบอร์จะวิวัฒนาการไปเรื่อยๆ เหมือนที่เครื่องมือในโรงไม้ของผมมีรุ่นใหม่ออกมาเสมอ แต่หลักการพื้นฐานเรื่องความปลอดภัยไม่เคยเปลี่ยน นั่นคือการ “คิดก่อนคลิก”, การ “ตั้งคำถาม” กับสิ่งที่ดูดีเกินจริง, และการ “สร้างความไว้วางใจ” ในครอบครัวเพื่อให้กล้าบอกกันเมื่อเกิดปัญหา
หวังว่าการ “ผ่าเครื่อง” ให้ดูกันแบบลึกๆ ในวันนี้ จะช่วยให้เราทุกคนใช้เทคโนโลยีได้อย่างรอบคอบและปลอดภัยมากขึ้นนะครับ ในบทความต่อไปของเดือนหน้า เราจะมาคุยกันถึงป้อมปราการด่านแรกของบ้านเราที่หลายคนมองข้าม นั่นคือ “เราเตอร์ Wi-Fi” ครับ แล้วคุณจะทึ่งว่าประตูบ้านดิจิทัลของคุณอาจจะเปิดกว้างกว่าที่คิด!
