Scam

เงินจริงหรือเงินออนไลน์? มิจฉาชีพเหมาหมด

ในยุคดิจิตอลที่มิจฉาชีพหมุนรอบตัวเรา รู้ทันพวกเขาหรือยัง?

คุณอาจจะต้องการซื้อโฆษณา Youtube เพื่อเพิ่มยอดวิวในช่อง Youtube ของคุณ หรือคุณอาจจะต้องการซื้อ-ขายสกุลเงินออนไลน์อย่าง Bitcoin จากโทรศัพท์

ผู้ผลิตแอปพลิเคชั่น “Boost View” และ “PaxVendor” ต้องการให้คุณเชื่อว่าพวกเขามีในสิ่งที่คุณต้องการและกำลังจะเอาเงินจากกระเป๋าคุณไปด้วย

Boost ยอดวิว: การสร้างรายได้จากยอดวิว Youtube

ภายใต้หน้าตาที่เหมือนกับบริการของ Youtube ทำให้แอปพลิเคชั่นขโมยข้อมูล PayPal “Boost Views” ได้ยอดดาวน์โหลดจากผู้ใช้มากกว่า 100,000 ครั้ง

ESET สามารถตรวจจับแอปพลิเคชั่นนี้ได้ในชื่อ Trojan.Android/FakeApp.FK ซึ่งอ้างว่าสามารถได้เงินจากการรับชมคอนเท้นต์ของ Youtube และเพิ่มทราฟฟิคเข้า Channel ด้วยการซื้อเครดิต จากคำอธิบายของแอปพลิเคชั่นบอกว่า ผู้ใช้สามารถเอายอดย้ายไปยัง PayPal ได้อย่างง่ายๆดาย

แต่เมื่อไหร่ก็ตามที่ผู้ใช้กรอกข้อมูล PayPal ลงไปในแบบฟอร์มหมายความว่าผู้ใช้ได้ตกเป็นเหยื่อของมิจฉาชีพเรียบร้อยแล้ว เพราะพวกเขาไม่สามารถโอนยอดเข้าบัญชี PayPal และข้อมูลบัญชีก็ยังตกไปอยู่ในมือของแฮกเกอร์อีก

Figure2

วิธีการทำงานของแอปพลิเคชั่น

เพื่อเปิดแอปพลิเคชั่นขึ้นมา ผู้ใช้จะต้องสร้างบัญชี Boost View หลังจากนั้นผู้ใช้จะต้องเลือกบริการที่ทางแอปพลิเคชั่นมีให้

สำหรับการรับชมวิดีโอบน Youtube และรับเงินซึ่งส่วนมากเป็นโฆษณา โดยในแอปพลิเคชั่นผู้ใช้จะได้เงินจากการดูวีดิโอ ตกนาทีละ 0.0001 – 0.0005 เหรียญหรือสกุลอื่นๆตามที่สมัครในจำนวนเดียวกัน

Figure3-576x1024

ทาง ESET ได้เงินมาจำนวน 0.09 เหรียญภายในเวลา 16 ชั่วโมงจากการเปิดวิดีโอ และไม่พบจำนวนเงินขั้นต่ำที่ต้องใช้ในการโอน

วิธีการที่จะโอนเงิน ต้องกรอกบัญชี PayPal เพื่อล็อคอิน และทันทีที่กรอกรหัสลงไปมีหน้าจอขึ้นว่าข้อมูลไม่ถูกต้อง และข้อมูลดังกล่าวก๋จะถูกส่งไปยังเซิร์ฟเวอร์ของเจ้าของแอปพลิเคชั่น

ตอนนี้ข้อมูลบัญชี PayPal ของผู้ใช้ก็อยู่ในมือของมิจฉาชีพเรียบร้อยแล้ว แต่บัญชีที่ ESET ใช้ทำการทดลองก็ยังไม่พบอะไรผิดปกติ แต่เราก็ไม่อาจทราบได้ว่าข้อมูลเหล่านี้ก็จะถูกนำไปใช้ทำอะไรต่อไป

Figure4-576x1024

Figure5-576x1024

อีกบริการของแอปพลิเคชั่นนี้ก็คือเพิ่มยอดวิวของ Youtube ด้วยการซื้อเครดิต คุณจะพบเครดิตหลากหลายราคาในแอปพลิเคชั่น แตกต่างตามจำนวนยอดวิว แต่เมื่อเราวิเคราะห์การทำงานของแอปพลิเคชั่นแล้ว แอปพลิเคชั่นนี้ไม่สามารถชำระเงินได้ ทำได้แต่เพียงส่งข้อมูลการชำระเงินให้กับผู้ผลิตแอปพลิเคชั่นเท่านั้น

Figure6-768x683

ซึ่งลิงก์ของแต่ละแพ็กเกจต่างมุ่งไปยังหน้าเว็บไซต์ของผู้ผลิตแอปพลิเคชั่น

Figure7-768x523

PaxVendor

PaxVendor มีเป้าหมายเป็นเงิน Bitcoin ถูกตรวจจับได้ในชื่อ Android/FakeApp.FI ซึ่งเป็นเหมือนกับเห็บหมัดที่คอยดูดเงินจากตลาด Paxful ซึ่งทำงานอยู่บนแพลตฟอร์มพีซี

PaxVendor ใช้หน้าตาที่คล้ายคลึงกับ Paxful เพื่อหลอกให้ผู้ใช้กรอกข้อมูลลงไป แต่แอปพลิเคชั่นนี้ได้ยอดดาวน์โหลดไปเพียงเกือบๆ 500 ครั้งเท่านั้น ก่อนที่ทางเราดำเนินการแจ้งเตือนให้ถอนออกจาก Google Play

การทำงานของ PaxVendor

เมื่อเปิดแอปพลิเคชั่นขึ้นมา แอปพลิเคชั่นจะให้ผู้ใช้ปิดการยืนยันตัวตนของ Google หรือ SMS ในบัญชีของ Paxful เพื่อไม่ให้ระบบการยืนยันตัวตนสองขั้นตอนทำงาน

ภาพด้านล่างนี้เป็นหน้าตาของหน้าล็อคอินเพจปลอม ซึ่งไม่ว่าผู้ใช้จะกรอกรหัสผิดหรือถูกระบบก็จะตอบกลับมาแค่ว่าไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ได้

ในขณะเดียวกันข้อมูลต่างๆก็จะถูกส่งไปยังเซิร์ฟเวอร์ของผู้ผลิตแอปพลิเคชั่น และจะถูกใช้ทันทีซึ่งทางเราพบว่ามาจาประเทศยูเครน

Figure9-576x1024

Figure10-768x538

วิธีป้องกันตัวเอง

ถ้าคุณดาวน์โหลดโปรแกรมหนึ่งในสองตัวนี้มาและได้กรอกบัญชี PayPal หรือ Paxful ลงไปแล้ว ให้รีบทำการเปลี่ยนรหัสผ่านโดยทันที พร้อมทั้งตรวจสอบกิจกรรมที่เกิดขึ้นเร็วๆนี้ และรีบรายงานให้กับ PayPal หรือ Paxful ทราบทันที

สำหรับผู้ใช้ที่ดาวน์โหลด PaxVendor ให้กลับไปเปิดระบบการยืนยันตน และถอนการติดตั้งแอปพลิเคชั่น PaxVendor ออก

อีกหนึ่งวิธีที่จะช่วยให้ผู้ใช้ไม่ตกเป็นเหยื่อของมิจฉาชีพเหล่านี้ก็คือการติดตั้งโปรแกรมรักษาความปลอดภัยที่น่าเชื่อถือ เนื่องจากโปรแกรมเหล่านี้สามารถตรวจจับการติดตั้งที่น่าสงสัยได้

หลีกเลี่ยงการติดตั้งโปรแกรมจากแหล่งที่ไม่น่าเชื่อถือ เพราะพื้นที่เหล่านั้นอาจเป็นศูนย์รวมแอปพลิเคชั่นอันตรายของแฮกเกอร์ก็เป็นได้

Author: LUKAS STEFANKO
Source:
https://www.welivesecurity.com/2017/04/13/real-virtual-currency-scammers-accept/
Translated by: Worapon H.

%d bloggers like this: