Apple Cybersecurity Scam

กลลวงบน iOS: แอปพลิเคชั่นฟิตเนสขโมยเงิน

แฮกเกอร์ใช้ประโยชน์จาก Touch ID หลอกให้ผู้ใช้ iOS จ่ายเงินให้โดยไม่รู้ตัว

แอปพลิเคชั่นฟิตเนสใช้ In-app Payments เพื่อขโมยเงินจากผู้ใช้ iPhone และ iPad

หลายแอปพลิเคชั่นอันตรายปลอมตัวเป็นแอปฯติดตามฟิตเนสและใช้ประโยชน์จาก Touch ID ของ Apple เพื่อขโมยเงินจากผู้ใช้ iOS ซึ่ง Touch ID เป็นฟีเจอร์ที่ใช้จ่ายเงินโดยใช้ลายนิ้วมือ เหมือนกับที่แอปพลิเคชั่นฟิตเนสใช้ทั่วไป

ในปัจจุบันมีหลายแอปพลิเคชั่นที่ช่วยสนับสนุนสุขภาพผู้ใช้ จึงทำให้แฮกเกอร์ออกแบบกลลวงนี้ออกมา ใน App Store ของ Apple ใช้ชื่อว่า “Fitness Balance app” และ “Calories Tracker app” มีหน้าตาและฟีเจอร์เหมือนแอปพลิเคชั่นฟิตเนสทั่วไป — อย่างการคำนวนค่า BMI คำนวนแคลอรี่แต่ละวัน หรือเตือนให้ผู้ใช้ดื่มน้ำ แต่มีการคิดราคาที่ไม่คาดคิด

หลังจากผู้ใช้เปิดแอปพลิเคชั่นเป็นครั้งแรก แอปฯจะขอลายนิ้วมือเพื่อดู “จำนวนแคลอรี่และคำแนะนำในการรับประทานอาหาร” และไม่นานหลังจากนั้นหากผู้ใช้แตะสแกนลายนิ้วมือ แอปฯจะแสดงหน้าต่างชำระเงิน 99.99, 119.99 เหรียญสหรัฐฯ หรือ 139.99 ยูโร

หน้าต่างนี้จะอยู่เพียงแค่วินาทีเดียว แต่ถ้าผู้ใช้ผูกบัตรเครดิต/เดบิต กับบัญชี Apple เอาไว้ ธุรกรรมการชำระเงินจะเกิดขึ้นทันที

ซึ่งหากดูดีๆ หน้าต่าง UI ของสองแอปพลิเคชั่นนี้จะค่อนข้างใกล้เคียงกัน และคาดว่าน่าจะมาจากผู้พัฒนาคนเดียวกัน มีผู้ใช้ที่โพสต์วิดีโอของแอปฯ “Fitness Balance app” และ “Calories Tracker app” ใน Reddit

กลลวงของแอปพลิเคชั่น แอปฯจะให้สแกนลายนิ้วมือ (ภาพจาก Reddit)
หน้าต่างป๊อปอัพของแอปฯ “Fitness Balance app” และ “Calories Tracker app” (ภาพจาก Reddit)

ถ้าผู้ใช้ปฏิเสธการสแกนในแอปฯ “Fitness Balance app” จะมีหน้าต่างแสดงขึ้นมาเพื่อให้ผู้ใช้กด “Continue” เพื่อใช้งานแอปฯ แต่หลังจากนั้นก็จะกระบวนการซ้ำๆให้สแกนอยู่เรื่อยๆ

แม้ว่าจะมีพฤติกรรมอันตรายแต่แอปฯ “Fitness Balance app” ได้รับคะแนน 5 ดาว จากผู้รีวิวหลายราย และได้คะแนนเฉลี่ย 4.3/5 ดาว ซึ่งดูเหมือนว่าจะเป็นรีวิวปลอมจากทางแฮกเกอร์ เพื่อสร้างความน่าเชื่อถือให้กับแอปฯของตัวเอง

ผู้ใช้หลายรายรายงานแอปฯนี้ให้กับทาง Apple ซึ่งทาง Apple ก็เอาแอปพลิเคชั่นนี้ออกไปจาก App Store แล้ว หรือผู้ใช้บางคนก็พยายามติดต่อผู้พัฒนาแอปฯ “Fitness Balance app” แต่สิ่งได้ก็คือคำตอบซ้ำๆว่า จะดำเนินการแก้ไขในอัพเดตต่อไป

อีเมลตอบกลับอัตโนมัติจากทางผู้พัฒนา

ผู้ใช้สามารถหลีกเลี่ยงภัยคุกคามรูปแบบเดียวกันนี้ได้อย่างไร?

Apple ไม่อนุญาตให้ใช้งานโปรแกรมรักษาความปลอดภัยและให้ใช้มาตรการความปลอดภัยของ Apple

ESET แนะนำให้อ่านรีวิวจากผู้ใช้คนอื่น ถ้ามันดูดีเกินไปก็เป็นไปได้ว่านี่เป็นของปลอม และรีวิวด้านลบเป็นไปได้สูงว่านี่คือคุณลักษณะของแอปฯจริงๆ

ผู้ใช้ iPhone X จะได้รับการปกป้องจากกลลวงนี้ เพราะไม่มี Touch ID แต่จะมี “Double Click to Pay” ที่จำเป็นจะต้องกดปุ่มข้างจอเพื่อยืนยันการชำระเงิน

ปุ่มด้านข้างสำหรับการยืนยันการชำระเงินของ iPhone X

สำหรับใครที่ดาวน์โหลดแอปพลิเคชั่นนี้มาแล้วก็สามารถขอเงืนคืน (Refund) จาก App Store ของ Apple

Author: Lukas Stefanko
Source:
https://www.welivesecurity.com/2018/12/03/scam-ios-apps-promise-fitness-steal-money-instead/
Translated by: Worapon H.

%d bloggers like this: