NP-chaonay Redirection Helper

(this page only acts as automatic-redirection helper, must come from specific valid redirection link | หน้านี้มีไว้เพื่อสำหรับเป็นตัวช่วยในการเปลี่ยนหน้าอัตโนมัติเท่านั้น โดยต้องมาจากลิงก์ที่ถูกต้องเท่านั้นด้วย)

(and this page requires JavaScript in order for automatic-redirection to work | และหน้านี้จำเป็นต้องใช้ JavaScript เพื่อให้การเปลี่ยนหน้าอัตโนมัติทำงาน)

NP-chaonay Server Notice

(For other information, see here)
(สำหรับภาษาไทย ดูด้านล่าง และสำหรับข้อมูลเพิ่มเติม คลิกที่นี่)

Operation Time 

• Remark: time specified here are all UTC+7
  
• Uncertainty
• But almost of all time, around 23:00-4:00 of UTC+7, the server is online. (Why? because I want to using computer to play sleeping music)
  
• Time Hint (Updated on 27/04): My Studying time at M. 13-16 Tu./Th. 9-12+13-16 W. 9-12 ; for each day, only some of that period (50%? idk) but the server is online in way that frequently switched, for saving battery energy, if goodluck then you can reach my website.
• In case the server is offline, the error "argo tunnel error" of "Cloudflare" will shown.
  

เวลาทำการ

• ไม่แน่นอนชัดเจน
• แต่โดยมากแล้ว ช่วง 23:00-4:00 จะเปิดเชิฟนะครับ เพราะต้องเปิดคอมให้เล่นเพลงกล่อมนอน
  
• ใบ้เวลา (อัปเดตเมื่อ 27/04): เวลาเรียนผมคือ จ. 13-16 อ./พฤ. 9-12+13-16 พ. 9-12 ซึ่งแต่ละวันนั้น เชิฟฯจะออนไลน์ในช่วงเวลาที่ส่วนหนึ่งของมัน (สัก 50% ไม่แน่ใจ) แต่เป็นการเปิดแบบปิดๆเปิดๆ เพื่อประหยัดพลังงานคอม ให้โชคดี อาจจะเข้าเว็บได้
• หากเข้าได้ ก็เข้าได้ หากเข้าไม่ได้ จะติด error "argo tunnel error" ของ "Cloudflare"
  

(ไม่สมบูรณ์) เรื่องความปลอดภัยและคำแนะนำ ระดับทั้งเบื้องต้นและลงลึก เนื่องด้วยเหตุการณ์แอปดูดเงิน

หมายเหตุ:

• บทความนี้ไม่สมบูรณ์นะครับ อาจจะมีการเปลี่ยนแปลงได้
• แต่ว่าจะลงก่อน เพราะช่วงนี้กลุ่มมิจฉาชีพใช้เทคนิคเรื่อง Social Engineering + Android app กันเยอะ
•  จนกังวลว่าบุคคลที่ไม่ได้ชำนาญด้าน basic cybersecurity จะโดนหลอกจากกลุ่มดังกล่าว
• ถือว่าเป็นวาระสำคัญมากกว่าcontent ที่ ทำก่อนหน้านี้ (ก่อนหน้านี้ทำเรื่อง การทดลองท้าทาย ChatGPT ใน Google Docs ที่แชร์ไปใน FB ผม (และเพจ NP-chaonay Production) ครับ)
• (โปรดรอติดตามอ่านได้นะครับผม)

Basic Cybersecurity 101

(กำลังร่าง) แนวทางการป้องกันภัยคุกคามทาง cyber (computer/IT) ที่ผมตั้งใจเตรียมไว้

แนวทางนี้ผมเก็บไว้เป็น template เลยนะครับ เวลามีคนมีปัญหาและสอบถามแนวทาง จะได้มอบให้ครบถ้วนมากขึ้น แทนที่คิดสดพิมพ์สด เอาล่ะ มาเริ่มกันเลยครับ อันนี้จะไล่เป็นข้อๆ ไปนะครับ

(สำหรับ social engineer นั้น ผมจะแปะด้วยเครื่องหมาย ☣️ นะครับ เพราะหลายคนโดนตรงนี้กันเยอะ)

(อันไหนที่สำคัญมาก หรือโดนกันบ่อย ผมจะแปะด้วยเครื่องหมาย ⚡ แทน 🎯 นะครับ)

• ⚡☣️ อันนี้สำคัญเลย คือศึกษา social engineer ที่เกี่ยวกับ cyber security threat เยอะๆ แต่ผมจะยกตัวอย่างให้ครับ
• ⚡☣️ การดูว่ากำลังโดนหลอกไหม 101
• ✅ Social Eng จะหลอกเราในสองทางหลักๆ
• 1) หลอกล่อด้วยสิ่งที่เป็นประโยชน์กับเรา (เช่น เงิน promotion รางวัล)
• 2) หลอกด้วยสิ่งที่เป็นคำเตือนหรือสิ่งที่เร่งรัดด้วยเวลาหรือปัจจัย ให้เราต้องรีบทำ(จนโดนหลอก)
• เพราะกลัวคำเตือนหรือสิ่งที่เร่งรัดเหล่านั้นจนลืมคิด
• (ตัวอย่างเช่น พบของผิดกฎหมาย... การเช็คการจ่ายภาษี... เรื่องด่วนจากทางราชการแล้วให้โหลดแอป ฯลฯ)

(กำลังร่าง) Do & Don't สำหรับ Android

• ระวังอย่างมากเวลาเปิดสิทธิ/permission ดังต่อไปนี้
• VPN
• ...

(ร่างครับผม แต่พวกบนๆคือทำเสร็จแล้ว) Quick Fact + FAQ เรื่องแอปดูดเงิน

• Q: แอปดูดเงิน คืออะไร
• A: จากข่าวแอปดูดเงิน แอปดูดเงิน คือ แอปที่เขียนระบบมาเพื่อพยายามหลอกผู้ใช้งาน ให้ได้สิทธิ์การเข้าถึงระบบปฏิบัติการของมือถือ จึงสามารถเข้าถึงแอปธนาคารได้ภายหลัง
• Q: แต่ว่า โจรไม่รู้รหัสธนาคารนิ เอารหัสมาจากไหน
• A: โจรใช้วิธี social engneering ครับ ในการถามผู้ใช้ให้ตั้งรหัสสำหรับแอป(ดูดเงิน) ซึ่งจะเป็นรหัส PIN 6 หลัก ทำให้ผู้ใช้มักตั้งซ้ำกับแอปธนาคาร
• อย่างไรก็ดี หากโจรพบว่ารหัสนั้นไม่ตรงกับของธนาคาร โจรก็จะใช้วิธีอื่น ๆ แต่โดยมากคือรอผู้ใช้เข้าแอปธนาคาร หรือแอปที่ต้องเข้ารหัส PIN 6 หลัก เพื่อจะได้ลองกับแอปธนาคารดู
• Q: Social Engineering / PIN คืออะไร
• A: PIN คือ Personal Identification Number เป็นหมายเลขเพื่อยืนยันว่าเป็นคนๆนี้ ก็คือเป็นรหัสที่มีแต่ตัวเลข
• A: Social Engineering อธิบายเข้าใจง่ายคือ การเล่นกับความคิดของคน ความไม่รู้ของคน หรือทักษะ ประสบการณ์ที่ไม่มากพอ หรือช่องโหว่ทางความคิด หรือการเผลอพลั้ง เพื่อทำการหลอกเหยื่อ
• Q:แต่รหัส 6 หลักของแอปธนาคารกับแอปรัฐบาลอื่น ๆ นิ ถ้าตั้งไม่ซ้ำกันก็ลืมนะ บางทีก็รีบต้องใช้ด้วย
• A: ตามหลักความปลอดภัยที่ควรจะเป็น คือ
• 1) พยายามลดความซ้ำของรหัสลง รหัสอัน ๆ หนึ่ง ควรต้องใช้กับแค่บริการเดียว ทำแบบนี้ให้ได้มากที่สุด
• 2) กลัวว่าลืมรหัส เพราะมีหลายบริการจำไม่ได้ ก็ให้พยายามเชฟลง Offline Password Manager ครับผม แต่...
• 3) แต่หากมันเป็นรหัสด่วนจริง ๆ เช่น รหัสปลดล็อคมือถือ หรือรหัสธนาคาร ให้พยายามจำเอา แต่จำไม่เยอะ โดยการแบ่งความน่าเชื่อถือของรหัส อย่างรหัสปลดล็อคมือถือก็รหัสนึง รหัสแอปน่าไว้ใจมากๆ เช่น ธนาคารหรือหนว่ยงานรัฐ ก็อีกอัน และแอปความไว้ใจรองลงมา (เช่น หน่วยงานอื่น) ก็ใช้ PIN อีกตัว
• Q: แล้วแอปดูดเงิน มันทำงานอย่างไร ไล่ขั้นตอนได้ยิ่งดี
• A: อธิบายคร่าวๆ คือ มันทำงานด้วยการหลอกผู้ใช้ให้ใช้งานแอปของโจร ซึ่งจริงๆสิ่งที่ทำมันคือการให้สิทธิ์ให้แอปโจรสามารถอัดหน้าจอ และควบคุมและสังเกตการณ์การกดปุ่มบนหน้าจอได้ รวมไปถึงสิทธิ์แสดงภาพทับภาพของแอปต่าง ๆ เพื่อไม่ให้เหยื่อ และรับสิทธิ์ SMS เพื่อยืนยันการโอนเงินหรือแก้วงเงิน พอเหยื่อไม่ไหวตัว ก็ชิงโอนเงินออกครับ
• A: ถ้าอธิบายละเอียดตามขั้นตอน ก็คือแบบนี้ครับ (โดยคร่าว)
• 1) โจรมักจะทราบข้อมูลของเหยื่อโดยคร่าว อันนี้ดูคำถามถัดไปครับว่าทำไมโจรถึงมีข้อมูลนั้น ๆ
• 2) โจรใช้ข้อมูลมาเพื่อหลอกเหยื่อว่า เรามาดี เราน่าเชื่อถือ โดยหาเหตุผลต่าง ๆ นา ๆ ในการเริ่มสนทนาและบทโกง เช่น
• เหตุด่วนเหตุร้าย เช่น แจ้งว่ามีของส่งผิดกฏหมายในชื่อคุณ
• เหตุการณ์ที่ต้องรีบทำ หรือมีปัจจัยเร่งด่วนมากำหนด เช่น คุณต้องรีบจัดการเรื่องนี้ของ บริษัท
• พวกของรางวัล หรือสิทธิ์ประโยชน์ ซึ่งโดยมากมักจะมีอายุจำกัด เช่น ส่วนลด Advice
• 3) พอเหยื่อเชื่อแล้ว ก็จะชวนหรือโน้มนาวใจ ให้เหยื่อไว้ใจเรา จนกระทั้งหลอกให้เหยื่อติดตั้ง Application เข้าเครื่อง
• 4) พอติดตั้งเสร็จ เหยื่อจะถูกทางโจร บอกให้ใช้แอปแบบนั้นแบบนี้ รวมไปถึง
• ขั้นตอนการตั้งรหัสผ่านของแอป (เผื่อโจรจะได้รหัสธนาคารไปเลย)
• กับขอสิทธิ์ "การสังเกตการณ์และควบคุม ปุ่มของ Application และระบบ UI หรือการทำงานกับหน้าจอ" จากระบบปฏิบัติการมือถือ (เพื่อสามารถดูการกดรหัสแอปธนาคารได้ และสามารถเข้าถึงแอปธนาคารได้ผ่านการสั่งกดปุ่มของ Application และ ฯลฯ)
• 5) พอเหยื่อกดให้สิทธิ์กับแอปนี้แล้ว สิทธิ์ที่เหลือ (เช่น จับภาพหน้าจอ หรือการแสดงภาพทับหน้าจอ และการเข้าถึง SMS และอื่น ๆ) ก็สามารถถูกกดยินยอมได้ เพราะแอปโจรสามารถสั่งกดปุ่มของแอปใด ๆ ได้ รวมถึงปุ่มของตัว OS
• 6) โจรจะพยายามใช้รหัสที่เหยื่อตั้งในรหัสแอปโจร มาเป็นรหัสทดสอบดูว่าเข้าแอปธนาคารได้ไหม โดยมีเทคนิคต่อไปนี้ก่อนที่โจรจะเข้าแอปธนาคาร
• โจรจะใช้สิทธิ์ "การแสดงภาพทับหน้าจอ" เพื่อบังไว้จริงๆแล้ว โจรกำลังจะเปิดแอปธนาคาร โดยภาพที่ใช้บังแล้วแต่สถานการณ์
• อย่างตอนที่เพิ่งตั้งค่าแอปโจรไปนั้น พอให้สิทธิ์และตั้งรหัสกับกรอกข้อมูลเสร็จ แอปโจรจะแสดงภาพประมาณว่า อย่าใช้มือถือโปรดรอ ซึ่งจริงๆ มันคือภาพที่ไว้บังว่าโจรกำลังเปิดแอปธนาคาร
• หรือบางสถานการณ์ โจรอาจจะใช้ภาพดำ ให้หลอกเหยื่อว่ามือถือค้าง แต่จริงๆ โจรกำลังเปิดแอปธนาคาร
• หรือบางสถานการณ์ โจรอาจจะบันทึกภาพของหน้าจอ (ใช้สิทธิ์บันทึกภาพหน้าจอ) แล้วเอามาแสดงทับ เพื่อหลอกว่ามือถือค้าง
• 7) โจรเมื่อทำการบังหน้าจอแล้ว ก็จะเปิดแอปธนาคารแล้วลองรหัสนั้น หากไม่สำเร็จแล้ว
• โจรจะทำการเฝ้าดูรอเหยื่อเข้าแอปธนาคาร แล้วใช้สิทธิ์การสังเกตการณ์ปุ่มของแอป หรือสิทธิ์บันทึกจับภาพหน้าจอ ในการดักรหัสได้
• บางกรณี โจรอาจจะหลอกด้วยกลหลอกอื่น ๆ แต่ในทางเทคนิคคอมพิวเตอร์ อาจจะใช้วิธีคล้ายกัน เช่นกรณีตัวอย่างศึกษาข้างล่าง (อันนี้เท่าที่ผมดูคร่าว ๆ เหมือนโจรจะยังไม่เคยนำไปใช้ และผมคิดเองครับ)
• ตัวอย่างศึกษา: แอปขอให้เหยื่อเข้าไปในแอปธนาคารเพื่อยืนยันการเข้าถึงบัญชีเพื่อตรวจสอบอะไรบางอย่าง (ถ้าเป็นแอปแนว ๆ สรรพากร หรือภาษี หรือของหน่วยงานรัฐ) พอผู้ใช้กรอกรหัสไปแล้ว โจรจะทราบครับผม (เพราะสิทธิ์สังเกตการณ์ฯ ครับ) แต่แอปดูดเงินจะแกล้งเนียนแสดงภาพทับหน้าจอว่า แอปธนาคารขอผูกบัญชีกับแอป(ดูดเงิน)นะ ใช่ครับ ผมหมายถึงว่าแอปดูดเงินพยายามหลอกเหยื่อว่านี่คือการแจ้งเตือนขอสิทธิ์ของแอปธนาคาร แต่จริงๆ คือหน้าตาแอปหลอกของแอปดูดเงิน ที่มีไว้หลอกให้เหยื่อเข้าแอปธนาคารให้ได้ ด้วยเหตุผลว่าแอป(ดูดเงิน) ต้องการตรวจสอบบัญชีธนาคาร
• 8) พอได้รหัสจริง ก็เข้าแอปธนาคารได้ จากนั้นสิ่งที่โจรมันทำคือ
• ตั้งวงเงิน
• หากมี SMS จากธนาคารส่ง OTP มาแล้ว โจรก็ยังจะอ่านได้ผ่านสิทธิ์การสังเกตการณ์ปุ่มของแอป หรือสิทธิ์บันทึกจับภาพหน้าจอ หรือผ่านสิทธิ์เข้าถึง SMS
• โอนเงิน
• 9) แอปหลายอัน ก็มีระบบป้องกันการถอนการติดตั้ง และซ่อนตัวเองออกจาก หน้า home screen ครับผม เทคนิคการทำคือ
• อาศัยสิทธิ์การสังเกตการณ์ปุ่มของแอป หากพบว่าเหยื่อจะเอาแอปออก มันจะกดออกจากหน้าแอป
• ส่วนการซ่อนตัวเองออกจากหน้า home จริงๆ แอปมีสิทธิ์ทำได้อยู๋แล้ว ไม่ต้องขอเพิ่มจากผู้ใช้ 
• Q: แล้วจะป้องกันภัยจากแอปดูดเงินอย่างไร ในฝั่งผู้ใช้งาน
• A: สำหรับบุคคลทั่วไป (ทั่วไปจริง ๆ)
• 1) ไม่เปืดใจกับแอปที่ไม่ได้อยู่ในคลังแอปที่ควรสนใจ คลังแอปที่ควรสนใจจะต้องเป็น App Store ที่อยู่ในเครื่อง และต้องไม่อยู่บนเว็บและไม่โหลดจากไฟล์ apk ตามที่ไหน ๆ
• ถึงแม้ว่าบางแอปที่ไม่ได้อยู่ในคลังแอปที่ควรสนใจ จะปลอดภัย แต่ก็มีบางอันไม่ดีกับเรา ทำให้ต้องมาวิเคราะห์ความเสี่ยงการโดน hack ตัวแหล่งที่มาดังกล่าว และต้องวิเคราะห์ด้วยว่าใช่แอปดีจริง ๆ ไหม หากวิเคราะห์ผิดจะเกิดโทษได้ง่าย เลยตัดไฟตั้งแต่ต้นลมไปเลย เพราะคนส่วนมากไม่มีความจำเป็นต้องใช้แอปจากแหล่งที่มาดังกล่าวอยู่แล้ว
• 2) ตรวจสอบรีวิวและชื่อผู้ผลิตแอปพอคร่าว ๆ ว่าไม่มีอะไรแปลก ๆ
• 3) เมื่อมีคำเตือนด้านความปลอดภัย โปรดอย่าเพิกเฉย พยายามตีความให้เข้าใจ
• 4) เวลามีที่ไหนๆ บอกอะไรคุณ ควรต้องยืนยันอีกที เช่น
• ได้รับข้อความจาก Advice คุณบอกไม่ได้หรอกว่าจริงหรือปลอม เพราะ SMS มันใครส่งก็ได้ ทางเช็คว่าปลอดภัยไหมคือ ค้นหากูเกิล พิมพ์ว่า "Advice" ไปที่หน้าเว็บทางการของบริษัท แล้วหาทางติดต่อครับ
• หรืออย่างหน่วยงานรัฐก็ทำแบบเดียวกันคือ พิมพ์ชื่อหน่วยงาน แล้วเข้าเว็บ แล้วหาเพจหาเบอร์ติดต่อ เพื่อสอบถามว่าโดนหลอกหรือไม่
• อนึ่ง วิธีนี้มีความเสี่ยงที่จะได้หน้าเว็บโจรอยู่ แต่ก็เสี่ยงน้อยกว่า และแก้ไขปัญหาแอปดูดเงินได้ดีระดับหนึ่ง เพื่อความชัวร์ โปรดทักถามเพื่อนและคนรอบข้าง 

(กำลังร่าง) การลองแก้ไขปัญหาแอปดูดเงิน หากลบไม่ออก ด้วยวิธี Android Safe Mode

(กำลังร่าง) ลิงก์บทความแนะนำ

ขอขอบคุณเจ้าของบทความทุกท่านครับผม

• เอาไว้เช็คว่ามือถือโดนแอปดูดเงินหรือยัง: https://droidsans.com/how-to-check-malicious-applications-hidden-malware-money-sucking-with-protection/#comments
• การทำงานของเหล่ามิจฉาชีพ การสังเกตว่ากำลังจะโดนไหม และวิธีการจัดการกับภัยคุกคามเบื้องต้น: https://droidsans.com/malware-app-how-does-it-work/#comments

แอป Android แนะนำ

หมายเหตุ: ทุกแอปในรายการนี้ อยู่ใน Google Play App Store และเป็นแอปขององค์กรที่เชื่อถือได้

(กำลังร่าง) WhosCall

แอปนี้เป็นแอปไว้ใช้ดูว่าเบอร์ที่โทรเข้ามามีโอกาสเป็นกลุ่มมิจฉาชีพหรือโฆษณาอะไรหรือเปล่า

ผมเห็นว่าน่าจะเป็นแอปที่ฐานข้อมูลเกี่ยวกับเบอร์ในไทย มีเยอะครับผม

Ref: th.wikipedia.org/wiki/ฮูส์คอลล์

สิ่งที่น่าสนใจ

(กำลังร่าง) นิยามของผมเรื่องความปลอดภัยแบบ Active กับ Passive

รายการเบอร์มิจฉาชีพ ที่ไม่ได้อยู่ใน WhosCall (ไม่ได้อัปเดต และในอนาคตอาจจะเป็นเบอร์ปกติได้)

• จากเหตุการณ์ Callcenter แอปดูดเงิน #1