January 23, 2023

(ไม่สมบูรณ์) เรื่องความปลอดภัยและคำแนะนำ ระดับทั้งเบื้องต้นและลงลึก เนื่องด้วยเหตุการณ์แอปดูดเงิน

หมายเหตุ:

  • บทความนี้ไม่สมบูรณ์นะครับ อาจจะมีการเปลี่ยนแปลงได้
    • แต่ว่าจะลงก่อน เพราะช่วงนี้กลุ่มมิจฉาชีพใช้เทคนิคเรื่อง Social Engineering + Android app กันเยอะ
    •  จนกังวลว่าบุคคลที่ไม่ได้ชำนาญด้าน basic cybersecurity จะโดนหลอกจากกลุ่มดังกล่าว
    • ถือว่าเป็นวาระสำคัญมากกว่าcontent ที่ ทำก่อนหน้านี้ (ก่อนหน้านี้ทำเรื่อง การทดลองท้าทาย ChatGPT ใน Google Docs ที่แชร์ไปใน FB ผม (และเพจ NP-chaonay Production) ครับ)
  • (โปรดรอติดตามอ่านได้นะครับผม)

Basic Cybersecurity 101

(กำลังร่าง) แนวทางการป้องกันภัยคุกคามทาง cyber (computer/IT) ที่ผมตั้งใจเตรียมไว้

แนวทางนี้ผมเก็บไว้เป็น template เลยนะครับ เวลามีคนมีปัญหาและสอบถามแนวทาง จะได้มอบให้ครบถ้วนมากขึ้น แทนที่คิดสดพิมพ์สด เอาล่ะ มาเริ่มกันเลยครับ อันนี้จะไล่เป็นข้อๆ ไปนะครับ
(สำหรับ social engineer นั้น ผมจะแปะด้วยเครื่องหมาย ☣️ นะครับ เพราะหลายคนโดนตรงนี้กันเยอะ)
(อันไหนที่สำคัญมาก หรือโดนกันบ่อย ผมจะแปะด้วยเครื่องหมาย ⚡ แทน 🎯 นะครับ)

  • ⚡☣️ อันนี้สำคัญเลย คือศึกษา social engineer ที่เกี่ยวกับ cyber security threat เยอะๆ แต่ผมจะยกตัวอย่างให้ครับ
  • ⚡☣️ การดูว่ากำลังโดนหลอกไหม 101
    • ✅ Social Eng จะหลอกเราในสองทางหลักๆ
      • 1) หลอกล่อด้วยสิ่งที่เป็นประโยชน์กับเรา (เช่น เงิน promotion รางวัล)
      • 2) หลอกด้วยสิ่งที่เป็นคำเตือนหรือสิ่งที่เร่งรัดด้วยเวลาหรือปัจจัย ให้เราต้องรีบทำ(จนโดนหลอก)
      • เพราะกลัวคำเตือนหรือสิ่งที่เร่งรัดเหล่านั้นจนลืมคิด
      • (ตัวอย่างเช่น พบของผิดกฎหมาย... การเช็คการจ่ายภาษี... เรื่องด่วนจากทางราชการแล้วให้โหลดแอป ฯลฯ)

(กำลังร่าง) Do & Don't สำหรับ Android

  • ระวังอย่างมากเวลาเปิดสิทธิ/permission ดังต่อไปนี้
    • VPN
    • ...

(ร่างครับผม แต่พวกบนๆคือทำเสร็จแล้ว) Quick Fact + FAQ เรื่องแอปดูดเงิน

  • Q: แอปดูดเงิน คืออะไร
    • A: จากข่าวแอปดูดเงิน แอปดูดเงิน คือ แอปที่เขียนระบบมาเพื่อพยายามหลอกผู้ใช้งาน ให้ได้สิทธิ์การเข้าถึงระบบปฏิบัติการของมือถือ จึงสามารถเข้าถึงแอปธนาคารได้ภายหลัง
  • Q: แต่ว่า โจรไม่รู้รหัสธนาคารนิ เอารหัสมาจากไหน
    • A: โจรใช้วิธี social engneering ครับ ในการถามผู้ใช้ให้ตั้งรหัสสำหรับแอป(ดูดเงิน) ซึ่งจะเป็นรหัส PIN 6 หลัก ทำให้ผู้ใช้มักตั้งซ้ำกับแอปธนาคาร
    • อย่างไรก็ดี หากโจรพบว่ารหัสนั้นไม่ตรงกับของธนาคาร โจรก็จะใช้วิธีอื่น ๆ แต่โดยมากคือรอผู้ใช้เข้าแอปธนาคาร หรือแอปที่ต้องเข้ารหัส PIN 6 หลัก เพื่อจะได้ลองกับแอปธนาคารดู
  • Q: Social Engineering / PIN คืออะไร
    • A: PIN คือ Personal Identification Number เป็นหมายเลขเพื่อยืนยันว่าเป็นคนๆนี้ ก็คือเป็นรหัสที่มีแต่ตัวเลข
    • A: Social Engineering อธิบายเข้าใจง่ายคือ การเล่นกับความคิดของคน ความไม่รู้ของคน หรือทักษะ ประสบการณ์ที่ไม่มากพอ หรือช่องโหว่ทางความคิด หรือการเผลอพลั้ง เพื่อทำการหลอกเหยื่อ
  • Q:แต่รหัส 6 หลักของแอปธนาคารกับแอปรัฐบาลอื่น ๆ นิ ถ้าตั้งไม่ซ้ำกันก็ลืมนะ บางทีก็รีบต้องใช้ด้วย
    • A: ตามหลักความปลอดภัยที่ควรจะเป็น คือ
    • 1) พยายามลดความซ้ำของรหัสลง รหัสอัน ๆ หนึ่ง ควรต้องใช้กับแค่บริการเดียว ทำแบบนี้ให้ได้มากที่สุด
    • 2) กลัวว่าลืมรหัส เพราะมีหลายบริการจำไม่ได้ ก็ให้พยายามเชฟลง Offline Password Manager ครับผม แต่...
    • 3) แต่หากมันเป็นรหัสด่วนจริง ๆ เช่น รหัสปลดล็อคมือถือ หรือรหัสธนาคาร ให้พยายามจำเอา แต่จำไม่เยอะ โดยการแบ่งความน่าเชื่อถือของรหัส อย่างรหัสปลดล็อคมือถือก็รหัสนึง รหัสแอปน่าไว้ใจมากๆ เช่น ธนาคารหรือหนว่ยงานรัฐ ก็อีกอัน และแอปความไว้ใจรองลงมา (เช่น หน่วยงานอื่น) ก็ใช้ PIN อีกตัว
  • Q: แล้วแอปดูดเงิน มันทำงานอย่างไร ไล่ขั้นตอนได้ยิ่งดี
    • A: อธิบายคร่าวๆ คือ มันทำงานด้วยการหลอกผู้ใช้ให้ใช้งานแอปของโจร ซึ่งจริงๆสิ่งที่ทำมันคือการให้สิทธิ์ให้แอปโจรสามารถอัดหน้าจอ และควบคุมและสังเกตการณ์การกดปุ่มบนหน้าจอได้ รวมไปถึงสิทธิ์แสดงภาพทับภาพของแอปต่าง ๆ เพื่อไม่ให้เหยื่อ และรับสิทธิ์ SMS เพื่อยืนยันการโอนเงินหรือแก้วงเงิน พอเหยื่อไม่ไหวตัว ก็ชิงโอนเงินออกครับ
    • A: ถ้าอธิบายละเอียดตามขั้นตอน ก็คือแบบนี้ครับ (โดยคร่าว)
    • 1) โจรมักจะทราบข้อมูลของเหยื่อโดยคร่าว อันนี้ดูคำถามถัดไปครับว่าทำไมโจรถึงมีข้อมูลนั้น ๆ
    • 2) โจรใช้ข้อมูลมาเพื่อหลอกเหยื่อว่า เรามาดี เราน่าเชื่อถือ โดยหาเหตุผลต่าง ๆ นา ๆ ในการเริ่มสนทนาและบทโกง เช่น
      • เหตุด่วนเหตุร้าย เช่น แจ้งว่ามีของส่งผิดกฏหมายในชื่อคุณ
      • เหตุการณ์ที่ต้องรีบทำ หรือมีปัจจัยเร่งด่วนมากำหนด เช่น คุณต้องรีบจัดการเรื่องนี้ของ บริษัท
      • พวกของรางวัล หรือสิทธิ์ประโยชน์ ซึ่งโดยมากมักจะมีอายุจำกัด เช่น ส่วนลด Advice
    • 3) พอเหยื่อเชื่อแล้ว ก็จะชวนหรือโน้มนาวใจ ให้เหยื่อไว้ใจเรา จนกระทั้งหลอกให้เหยื่อติดตั้ง Application เข้าเครื่อง
    • 4) พอติดตั้งเสร็จ เหยื่อจะถูกทางโจร บอกให้ใช้แอปแบบนั้นแบบนี้ รวมไปถึง
      • ขั้นตอนการตั้งรหัสผ่านของแอป (เผื่อโจรจะได้รหัสธนาคารไปเลย)
      • กับขอสิทธิ์ "การสังเกตการณ์และควบคุม ปุ่มของ Application และระบบ UI หรือการทำงานกับหน้าจอ" จากระบบปฏิบัติการมือถือ (เพื่อสามารถดูการกดรหัสแอปธนาคารได้ และสามารถเข้าถึงแอปธนาคารได้ผ่านการสั่งกดปุ่มของ Application และ ฯลฯ)
    • 5) พอเหยื่อกดให้สิทธิ์กับแอปนี้แล้ว สิทธิ์ที่เหลือ (เช่น จับภาพหน้าจอ หรือการแสดงภาพทับหน้าจอ และการเข้าถึง SMS และอื่น ๆ) ก็สามารถถูกกดยินยอมได้ เพราะแอปโจรสามารถสั่งกดปุ่มของแอปใด ๆ ได้ รวมถึงปุ่มของตัว OS
    • 6) โจรจะพยายามใช้รหัสที่เหยื่อตั้งในรหัสแอปโจร มาเป็นรหัสทดสอบดูว่าเข้าแอปธนาคารได้ไหม โดยมีเทคนิคต่อไปนี้ก่อนที่โจรจะเข้าแอปธนาคาร
      • โจรจะใช้สิทธิ์ "การแสดงภาพทับหน้าจอ" เพื่อบังไว้จริงๆแล้ว โจรกำลังจะเปิดแอปธนาคาร โดยภาพที่ใช้บังแล้วแต่สถานการณ์
      • อย่างตอนที่เพิ่งตั้งค่าแอปโจรไปนั้น พอให้สิทธิ์และตั้งรหัสกับกรอกข้อมูลเสร็จ แอปโจรจะแสดงภาพประมาณว่า อย่าใช้มือถือโปรดรอ ซึ่งจริงๆ มันคือภาพที่ไว้บังว่าโจรกำลังเปิดแอปธนาคาร
      • หรือบางสถานการณ์ โจรอาจจะใช้ภาพดำ ให้หลอกเหยื่อว่ามือถือค้าง แต่จริงๆ โจรกำลังเปิดแอปธนาคาร
      • หรือบางสถานการณ์ โจรอาจจะบันทึกภาพของหน้าจอ (ใช้สิทธิ์บันทึกภาพหน้าจอ) แล้วเอามาแสดงทับ เพื่อหลอกว่ามือถือค้าง
    • 7) โจรเมื่อทำการบังหน้าจอแล้ว ก็จะเปิดแอปธนาคารแล้วลองรหัสนั้น หากไม่สำเร็จแล้ว
      • โจรจะทำการเฝ้าดูรอเหยื่อเข้าแอปธนาคาร แล้วใช้สิทธิ์การสังเกตการณ์ปุ่มของแอป หรือสิทธิ์บันทึกจับภาพหน้าจอ ในการดักรหัสได้
      • บางกรณี โจรอาจจะหลอกด้วยกลหลอกอื่น ๆ แต่ในทางเทคนิคคอมพิวเตอร์ อาจจะใช้วิธีคล้ายกัน เช่นกรณีตัวอย่างศึกษาข้างล่าง (อันนี้เท่าที่ผมดูคร่าว ๆ เหมือนโจรจะยังไม่เคยนำไปใช้ และผมคิดเองครับ)
      • ตัวอย่างศึกษา: แอปขอให้เหยื่อเข้าไปในแอปธนาคารเพื่อยืนยันการเข้าถึงบัญชีเพื่อตรวจสอบอะไรบางอย่าง (ถ้าเป็นแอปแนว ๆ สรรพากร หรือภาษี หรือของหน่วยงานรัฐ) พอผู้ใช้กรอกรหัสไปแล้ว โจรจะทราบครับผม (เพราะสิทธิ์สังเกตการณ์ฯ ครับ) แต่แอปดูดเงินจะแกล้งเนียนแสดงภาพทับหน้าจอว่า แอปธนาคารขอผูกบัญชีกับแอป(ดูดเงิน)นะ ใช่ครับ ผมหมายถึงว่าแอปดูดเงินพยายามหลอกเหยื่อว่านี่คือการแจ้งเตือนขอสิทธิ์ของแอปธนาคาร แต่จริงๆ คือหน้าตาแอปหลอกของแอปดูดเงิน ที่มีไว้หลอกให้เหยื่อเข้าแอปธนาคารให้ได้ ด้วยเหตุผลว่าแอป(ดูดเงิน) ต้องการตรวจสอบบัญชีธนาคาร
    • 8) พอได้รหัสจริง ก็เข้าแอปธนาคารได้ จากนั้นสิ่งที่โจรมันทำคือ
      • ตั้งวงเงิน
      • หากมี SMS จากธนาคารส่ง OTP มาแล้ว โจรก็ยังจะอ่านได้ผ่านสิทธิ์การสังเกตการณ์ปุ่มของแอป หรือสิทธิ์บันทึกจับภาพหน้าจอ หรือผ่านสิทธิ์เข้าถึง SMS
      • โอนเงิน
    • 9) แอปหลายอัน ก็มีระบบป้องกันการถอนการติดตั้ง และซ่อนตัวเองออกจาก หน้า home screen ครับผม เทคนิคการทำคือ
      • อาศัยสิทธิ์การสังเกตการณ์ปุ่มของแอป หากพบว่าเหยื่อจะเอาแอปออก มันจะกดออกจากหน้าแอป
      • ส่วนการซ่อนตัวเองออกจากหน้า home จริงๆ แอปมีสิทธิ์ทำได้อยู๋แล้ว ไม่ต้องขอเพิ่มจากผู้ใช้ 
  • Q: แล้วจะป้องกันภัยจากแอปดูดเงินอย่างไร ในฝั่งผู้ใช้งาน
    • A: สำหรับบุคคลทั่วไป (ทั่วไปจริง ๆ)
    • 1) ไม่เปืดใจกับแอปที่ไม่ได้อยู่ในคลังแอปที่ควรสนใจ คลังแอปที่ควรสนใจจะต้องเป็น App Store ที่อยู่ในเครื่อง และต้องไม่อยู่บนเว็บและไม่โหลดจากไฟล์ apk ตามที่ไหน ๆ
    • ถึงแม้ว่าบางแอปที่ไม่ได้อยู่ในคลังแอปที่ควรสนใจ จะปลอดภัย แต่ก็มีบางอันไม่ดีกับเรา ทำให้ต้องมาวิเคราะห์ความเสี่ยงการโดน hack ตัวแหล่งที่มาดังกล่าว และต้องวิเคราะห์ด้วยว่าใช่แอปดีจริง ๆ ไหม หากวิเคราะห์ผิดจะเกิดโทษได้ง่าย เลยตัดไฟตั้งแต่ต้นลมไปเลย เพราะคนส่วนมากไม่มีความจำเป็นต้องใช้แอปจากแหล่งที่มาดังกล่าวอยู่แล้ว
    • 2) ตรวจสอบรีวิวและชื่อผู้ผลิตแอปพอคร่าว ๆ ว่าไม่มีอะไรแปลก ๆ
    • 3) เมื่อมีคำเตือนด้านความปลอดภัย โปรดอย่าเพิกเฉย พยายามตีความให้เข้าใจ
    • 4) เวลามีที่ไหนๆ บอกอะไรคุณ ควรต้องยืนยันอีกที เช่น
    • ได้รับข้อความจาก Advice คุณบอกไม่ได้หรอกว่าจริงหรือปลอม เพราะ SMS มันใครส่งก็ได้ ทางเช็คว่าปลอดภัยไหมคือ ค้นหากูเกิล พิมพ์ว่า "Advice" ไปที่หน้าเว็บทางการของบริษัท แล้วหาทางติดต่อครับ
    • หรืออย่างหน่วยงานรัฐก็ทำแบบเดียวกันคือ พิมพ์ชื่อหน่วยงาน แล้วเข้าเว็บ แล้วหาเพจหาเบอร์ติดต่อ เพื่อสอบถามว่าโดนหลอกหรือไม่
    • อนึ่ง วิธีนี้มีความเสี่ยงที่จะได้หน้าเว็บโจรอยู่ แต่ก็เสี่ยงน้อยกว่า และแก้ไขปัญหาแอปดูดเงินได้ดีระดับหนึ่ง เพื่อความชัวร์ โปรดทักถามเพื่อนและคนรอบข้าง 

(กำลังร่าง) การลองแก้ไขปัญหาแอปดูดเงิน หากลบไม่ออก ด้วยวิธี Android Safe Mode

(กำลังร่าง) ลิงก์บทความแนะนำ

ขอขอบคุณเจ้าของบทความทุกท่านครับผม
  • เอาไว้เช็คว่ามือถือโดนแอปดูดเงินหรือยัง: https://droidsans.com/how-to-check-malicious-applications-hidden-malware-money-sucking-with-protection/#comments
  • การทำงานของเหล่ามิจฉาชีพ การสังเกตว่ากำลังจะโดนไหม และวิธีการจัดการกับภัยคุกคามเบื้องต้น: https://droidsans.com/malware-app-how-does-it-work/#comments

แอป Android แนะนำ

หมายเหตุ: ทุกแอปในรายการนี้ อยู่ใน Google Play App Store และเป็นแอปขององค์กรที่เชื่อถือได้

(กำลังร่าง) WhosCall

แอปนี้เป็นแอปไว้ใช้ดูว่าเบอร์ที่โทรเข้ามามีโอกาสเป็นกลุ่มมิจฉาชีพหรือโฆษณาอะไรหรือเปล่า
ผมเห็นว่าน่าจะเป็นแอปที่ฐานข้อมูลเกี่ยวกับเบอร์ในไทย มีเยอะครับผม
Ref: th.wikipedia.org/wiki/ฮูส์คอลล์

สิ่งที่น่าสนใจ

(กำลังร่าง) นิยามของผมเรื่องความปลอดภัยแบบ Active กับ Passive

รายการเบอร์มิจฉาชีพ ที่ไม่ได้อยู่ใน WhosCall (ไม่ได้อัปเดต และในอนาคตอาจจะเป็นเบอร์ปกติได้)