ระวัง ! 7 รูปแบบ ‘การปล้นออนไลน์’ ภัยไซเบอร์ที่อยู่ใกล้ตัวเราทุกคน
เดือนที่แล้วมีการอภิปรายไม่ไว้วางใจประเด็นหนึ่ง ซึ่งฮือฮาในหมู่ผู้สนใจด้านไอที คือมีการกล่าวหาว่ารัฐบาลไทยซื้อซอฟต์แวร์สอดแนม (spyware) มาติดตามล้วงความลับจากมือถือของนักเคลื่อนไหวทางการเมืองในไทยอย่างน้อยกว่าสามสิบคน
…ที่จริงแล้ว ภัยไซเบอร์แบบ spyware, malware, หรืออื่นๆ อีกสารพัดนี้ ไม่ได้มีแต่ในมือถือหรือคอมพิวเตอร์ของนักเคลื่อนไหวการเมืองเท่านั้น แต่ยังเคยโดนกับคนทั่วๆ ไปซึ่งไม่ได้เกี่ยวข้องกับการเมืองแต่อย่างใด
ซึ่งผู้กระทำไม่ใช่รัฐบาลไหน แต่เป็นมิจฉาชีพไม่ว่าต่างชาติหรือในไทย ที่ลงมือเพื่อ ‘ปล้น’ เงินกันทางออนไลน์ในหลายรูปแบบ โดยหลายกรณีเจ้าทรัพย์เจ้าทุกข์เองที่โอนไปให้มิจฉาชีพกับมือ ซึ่งก็มีคนเคยโดนกันมามากมายแล้วทั้งในไทยและทั่วโลก
และต่อไปนี้คือตัวอย่าง 7 ฉากสถานการณ์ ที่อาจเกิดขึ้นในชีวิตประจำวันเราทุกคนได้เสมอ และผลหลังจากนั้นอาจเป็นความเสียหาย ทั้งเสียเงิน หรือถูกนำชื่อและตัวตนไปใช้ทำผิดกฎหมาย หรือถูกขโมยข้อมูลส่วนตัวอื่นๆ เช่นรูปถ่ายหรืออื่นๆ
…
1. Phishing Mail หรือ Phishing SMS ล่อลวงไปเข้าเว็บธนาคารปลอม
คุณได้รับอีเมลหรือข้อความ SMS เตือนว่าบัญชีธนาคารกำลังโดนแฮ็ค ในอีเมลเขียนไว้ว่าให้คุณเข้าไปเปลี่ยนพาสเวิร์ดในเว็บธนาคารด่วน และลงลิงค์ให้คุณคลิกไว้เสร็จสรรพ
และผลลัพธ์จากการคลิกลิงค์นั้น ก็คือคุณถูกส่งไปที่เว็บธนาคารปลอม ซึ่งมีที่อยู่เว็บคล้ายๆธนาคารนั้น เช่นสมมติเว็บธนาคารของจริงชื่อ abcbank.com ล่ะก็ คุณก็อาจถูกส่งไปที่ abcbank.co แทน
วิธีนี้มีชื่อเรียกว่า Spoof , Spoofing (การปลอมตัว), หรือ Spoof Website ซึ่งถ้าคุณไม่สังเกตดีๆก็อาจนึกว่านั่นเป็นเว็บจริงได้ เพราะมิจฉาชีพจะออกแบบหน้าจอมาให้เหมือนกันแทบทุกประการ
ยิ่งเมื่อเป็นหน้าย่อยๆ เช่นหน้าล็อกอิน ก็ยิ่งดูยากขึ้น เพราะที่อยู่เว็บจะยาวจนคุณอาจแยกabcbank.com/onlinebanking/login.php ซึ่งเป็นของจริง กับ abcbank.co/onlinebanking/login.php ซึ่งเป็นของปลอมไม่ออก
และเมื่อคุณแยกไม่ออก และไปกรอกชื่อล็อกอินและพาสเวิร์ดให้เว็บปลอม ทางอาชญากรก็จะนำทั้ง 2 อย่างของคุณไปล็อกอินในเว็บจริงภายหลัง ซึ่งถ้าเว็บธนาคารนั้นไม่มีการส่ง OTP เข้ามือถือมาช่วยยืนยันตัวตนในการโอนเงินล่ะก็ มีโอกาสสูงที่คุณจะโดนโอนเงินออกจากบัญชีคุณไปเข้าบัญชีอาชญากรต่อไป
ซึ่งเมื่อเกิดเหตุแบบนั้นขึ้นแล้ว มีการไปแจ้งความ หลายครั้งก็พบว่าบัญชีผู้รับโอนก็อยู่ต่างประเทศบ้างหรือถูกแอบอ้างหรือรับจ้างเปิดบัญชีมาอีกทีโดยอาชญากร ต้องสืบสวนต่อกันเป็นที่เสียเวลากับผู้เสียหายอย่างยิ่ง
2. Phishing Quiz หรือ Phishing Social Game
คุณเจอควิซหรือแอพตลกๆในเฟสบุ้ค เช่น “คุณจะมีอาชีพอะไรในอีก 10 ปีหน้า” เลยกดเข้าไปเล่นบ้างโดยก่อนเล่นต้องกดอนุญาตให้สิทธิต่างๆ ซึ่งคุณก็กด Ok ตลอด
กรณีนี้เกมส่วนมาก ควิซส่วนใหญ่ ก็ทำไว้แค่เพื่อความบันเทิงเท่านั้น หรือบางควิซก็แค่ติดโฆษณาไว้นิดๆหน่อยๆ
.. แต่บางควิซ บางเกม ก็นำสิทธิที่คุณกดให้ไว้ ไปโพสต์สแปม, ไปส่งข้อความหาเพื่อนในเฟสบุ้คทุกคนของคุณ
… หรือหนักกว่านั้น ถ้าแอคเคาท์คุณผูกกับบัตรเครดิตอยู่ ก็อาจโดนไปซื้อโฆษณา และถ้าคุณเป็นแอดมินเพจอยู่ เพจนั้นๆก็อาจโดนแฮคไปด้วย
วิธีป้องกัน คือต้องอ่านให้ดีว่าแอพหรือควิซนั้นจอสิทธิอะไรคุณบ้าง ซึ่งไม่ควรจะมีการขอให้เรากรอกล็อกอินและพาสเวิร์ดอีกครั้ง, ไม่ควรมีสิทธิโพสต์ในนามของเรา, และไม่ควรมีสิทธิเข้าถึงรูปและข้อมูลอื่นๆของเรานอกจากรูปโปรไฟล์และชื่อโปรไฟล์เท่านั้น เป็นต้น
3. Phishing Website
คุณเข้าเว็บสีเทา เช่นเว็บดูหนังละเมิดลิขสิทธิ์ ดูบอลเถื่อน หรือเว็บเนื้อหาติดเรท ฯลฯ หรือโหลดแอพหรือเกมมือถือมา แล้วเว็บนั้น แอพนั้น หรือเกมนั้น บังคับให้ใช้ Facebook Login หรือ Google Login หรืออาจเป็น Twitter Login แล้วถึงจะมีสิทธิดูหรือเล่นได้
กรณีนี้ถ้าคุณป้อนเข้าไป ก็เป็นไปได้ที่จะโดนนำสิทธินั้น ไปใช้ในด้านอื่นๆ เช่นเดียวกับตัวอย่างที่แล้วในข้อ 2. ที่กล่าวไป เช่นถ้าเป็นสิทธิใน Google Account หรือ Facebook ก็อาจนำโพสต์ข้อความและรูปสแปม หรือซื้อนำวงเงินบัตรเครดิตโฆษณา ฯลฯ
วิธีป้องกัน คือไม่ควรเข้าเว็บเหล่านี้เลย แต่ถ้าจำเป็น ก็ควรใช้แต่เว็บที่ไม่ต้องล็อกอินด้วยแอคเคาท์ใดๆ คือดูได้เลยโดยทางเว็บแค่หารายได้จากโฆษณาธรรมดา ที่ไม่บังคับให้เราต้องกรอกข้อมูลหรือกดดาวน์โหลดอะไรเลย
4. แก๊งค์ Call Center
คุณได้รับสายโทรมาแจ้งเตือนว่าบัญชีธนาคารปัญหาด่วน หรือมีพัสดุผิดกฏหมายส่งมาถึงคุณ แล้วสั่งให้ใช้คุณเปิดมือถือไปโหลดแอพบางประเภทเช่น TeamViewer แล้วสั่งให้ไปเข้าแอพธนาคาร
อันที่จริงแอพ TeamViewer นี้ ก็เป็นแอพที่ใช้ทำงานปกติและใช้กันทั่วโลก แถมยังเป็นโฆษณาบนอกเสื้อทีมฟุตบอลแมนฯยูฯที่โด่งดัง ซึ่งฟังก์ชั่นการใช้งานก็คือการถ่ายทอดทุกภาพบนหน้าจอมือถือหรือคอมพิวเตอร์เราไปให้คนอื่นที่อยู่ไกลออกไปได้เห็น
ประโยชน์ปกติของแอพแบบนี้ คือไว้เปิดเครื่องให้ช่างซ่อม (จริงๆ) ที่อยู่คนละสถานที่ได้เห็นอาการของเครื่องเรา ซึ่งส่วนมากจะใช้กันในบริษัทองค์กร
แต่มิจฉาชีพ ซึ่งมักจะเป็น “แก๊ง call center” จะมาหลอกให้เราลง แล้ว “แชร์หน้าจอ” ให้กับมัน เพื่อจะดูล็อกอิน รหัสผ่าน และแม้แต่รหัส OTP ได้ ! … โดยเหตุผลที่จะใช้มากล่อมให้เรายอม ก็มีทั้งด้วยความกลัวหรือความโลภ
กรณีความกลัวก็เช่น ปลอมเป็นตำรวจโทรและ vdo call มาขู่ว่าบัญชีเรามีส่วนเกี่ยวข้องกับคดีความ ต้องรีบให้เจ้าพนักงานเข้าไปตรวจสอบด่วน เป็นต้น … ส่วนกรณีความโลภ ก็อาจเป็นเรื่องหลอกลวงว่าได้เงินรางวัล หรือจ้างให้ทำธุรกรรมการเงินให้ แต่ต้องลงแอพและทำตามที่บอก, ฯลฯ
การป้องกันกรณีนี้ คือต้องโทรเช็คจากหน่วยงานจริง ( ที่มิจฉาชีพกล่าวอ้าง ) ด้วยตัวเองอีกทางเสมอ ไม่ใช่ว่าจะเชื่อที่สายนั้นๆอ้างไปหมดทุกอย่าง
เช่นถ้าในสายนั้นๆกล่าวอ้างเป็นตำรวจ คุณก็ต้องโทรเช็คกับตำรวจ ส.น. นั้นๆ หรือถ้าสายที่โทรมาอ้างเป็นศุลกากร คุณก็ต้องโทรเช็คเองกับทางหน่วยที่มิจฉาชีพอ้างด้วยเช่นกัน
5. Romance Scam
คุณมีสาวสวยหรือหนุ่มหล่อมาขอ add หรือเล่นแอพหาคู่แล้วไปแมทช์กับคนหน้าตาดี แรกๆชวนคุยปกติสักพักชวนคุยเรื่องลงทุน ไม่ว่าจะคริปโตหรือค่าเงิน แล้วชวนให้เปิดพอร์ตกับเว็บนั้นๆ โดยต้องโอนเงินไปก่อนถึงจะเทรดได้ จากนั้นก็หายไปทั้งเงินและคนๆนั้น
หลายคนเคยเล่นโซเชียลแล้วพบสาวสวยหรือหนุ่มหล่อเพศตรงข้าม มาขอแอดเพื่อน เมื่อกดยอมรับแรกๆก็คุยเหมือนปกติดี แต่อีกแค่ 3 – 4 วันหรือนานกว่านั้น ก็จะชวนคุยเรื่องการลงทุน ไม่ว่าจะเป็นเงินสกุลคริปโตฯต่างๆ หรือเทรดค่าเงิน ( FOREX )
จากนั้น “สาวสวยหนุ่มหล่อ” คนนั้นๆก็จะชักชวนไป “เปิดพอร์ต” ผ่านเว็บไซต์ที่ออกแบบและตั้งชื่อดูน่าเชื่อถือ โดยใช้โปรโมชั่นดึงดูดใจ หรือหลอกว่ามีเครื่องมือ ai ที่ช่วยให้ทำกำไรได้ตลอดทุกสถานการณ์หรืออาจกระตุ้นความสงสาร โดยขอให้เราช่วยเป็นลูกค้ารายแรกให้ ไม่เช่นนั้นเธอ(หรือเขา)จะไม่ผ่านทดลองงาน ฯลฯ
แต่สุดท้ายเมื่อคุณโอนเงินไปเพื่อเปิดบัญชี สาวสวยหรือหนุ่มหล่อคนนั้นก็มักจะหายสาบสูญไปพร้อมกับเงินของคุณ หรือ block คุณไปแทบจะทันที และสุดท้ายเมื่อคุณตรวจสอบดีๆ ก็อาจพบว่ารูปที่เธอหรือเขาใช้นั้น เป็นรูปนักแสดง นางแบบ หรือใครก็ไม่รู้ที่ไปก๊อปปี้จากเฟสบุ้คหรืออินสตาแกรมคนอื่นมาเท่านั้น
วิธีแบบนี้มักเรียกกันว่า “Romance Scam” … การป้องกันคือต้องตรวจสอบให้ดีว่าเว็บนั้นๆ หรือแอพนั้นๆ เป็นของบริษัทชื่ออะไร และบริษัทนั้นๆได้รับอนุญาตถูกต้องจาก ก.ล.ต. ( สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ) หรือไม่ ? และตรวจสอบให้ดีว่ามีสำนักงานจริงเป็นหลักแหล่งเป็นต้น
ซึ่ง “Romance Scam” หรือการหลอกลวงโดยใช้แรงจูงใจทางเพศนี้ ยังมีอีกหลากหลายสารพัดรูปแบบที่เราจะยังไม่สามารถยกมาเล่าทั้งหมดในบทความนี้ได้
6. Fake WiFi Hotspot ( หรือ “Evil Twin” )
คุณนั่งตามห้างหรือร้านกาแฟ เปิดหาจุดบริการ WiFi แล้วไปเจอจุด WiFi ที่เหมือนจะน่าไว้ใจ เช่นสะกดคล้ายร้านหาแฟที่คุณนั่งอยู่ หรือคล้ายชื่อเครือข่ายมือถือจริง แต่กดเข้าไปใช้ได้ง่ายๆทันทีโดยไม่ต้องมีพาสเวิร์ดใดๆ
ซึ่งความจริงแล้ว อาจเป็นไปได้ว่า นั่นคือชื่อปลอม ชื่อหลอก ซึ่งหากคุณเข้าไปแล้วนั่งเล่นเน็ตผ่านจุดWiFi นี้แล้ว ไม่ว่าคุณทำอะไร พิมพ์อะไร มิจฉาชีพก็สามารถขโมยข้อมูลทั้งหมดนั้นไปได้หมด
ตัวอย่างเช่น ดูหน้าจอ, รู้ปุ่มที่กด, ฯลฯ … และถ้าคุณเข้าเว็บหรือแอพธนาคาร แล้วทำธุรกรรมการเงินตอนนั้นพอดี ก็มีสิทธิจะโดนมิจฉาชีพเข้าไปตามหลังจากนั้น แล้วโอนเงินออกไปได้ไม่ยาก
เทคนิคแบบนี้ มีชื่อเรียกว่า “Evil Twin” หรือ “Honeypot” … โดยวิธีป้องกันคือ ต้องเช็คให้แน่ใจว่าจุดWiFi ชื่อนั้น เป็นของร้านที่คุณนั่งอยู่จริงๆ หรือเป็นของค่ายมือถือที่คุณใช้อยู่จริงๆ โดยถ้าไม่แน่ใจก็ควรสอบถามให้แน่ใจก่อน โดยเฉพาะถ้าเข้าใข้ได้เลยโดยไม่เคยกรอกรหัสใดๆมาก่อนจะน่าสงสัยเป็นพิเศษ
7. Ransomware
คุณดาวน์โหลดซอฟต์แวร์หรือไฟล์บนคอมพิวเตอร์ เช่นโหลดเกมมาเล่น โหลดโปรแกรมชื่อแปลกๆมาดูบอลดูหนังละเมิดลิขสิทธิ์
แต่ผลหลังจากนั้น คือคอมพิวเตอร์เครื่องนั้นก็เปิดไม่ขึ้น ใช้ไม่ได้เลย และถ้าเป็นคอมพิวเตอร์ที่สำนักงานก็ลามไปถึงเครื่องอื่นๆด้วยทั้งหมด
สิ่งที่เห็น อาจเป็นหน้าจอภาษาต่างประเทศ แจ้งให้จ่ายเงินด้วยบิทคอยน์ไปให้อาชญากรต่างประเทศก่อนแล้วถึงจะปลดล็อคระบบให้
วิธี “ไวรัสเรียกค่าไถ่” นี่ มีชื่อเรียกว่า “Ransomware” ซึ่งบริษัทองค์กรทั่วโลกเคยโดนมาแล้ว ซึ่งในไทยก็เคยมีทั้งบริษัทเอกชน หน่วยราชการ โรงพยาบาล ฯลฯ
ทางป้องกันแทบจะมีทางเดียว คือไม่กดดาวน์โหลดไฟล์หรือโปรแกรมใดๆ เว้นแต่จะโหลดจากแหล่งที่เชื่อถือได้จริงๆ เช่นจาก Store ของระบบนั้นๆอย่าง Microsoft Store, Steam, App Store, Google Play เป็นต้น
…
ทั้ง 7 ตัวอย่างนี้คงเป็นอุทาหรณ์ “อาชญากรรมไซเบอร์” ( cybercrime ) ให้คุณผู้อ่านได้เห็นภาพแบบเข้าใจง่ายๆในหลายรูปแบบ …แต่ก็ควรทราบว่ายังมีภัยไซเบอร์แบบอื่นๆนอกจากนี้อีกมาก ซึ่งถ้าใครสนใจลึกและละเอียดขึ้น ก็ต้องค้นคว้าและติดตามกันต่อไป
