กูรูไซเบอร์ แฉเล่ห์มิจฉาชีพทำแอปฯ ปลอม ลงทะเบียนรับเงินดิจิทัล 10,000 ใช้กลเม็ดง่าย ไม่ต้องลงทุน มอง DES ขู่บล็อกเฟซบุ๊ก ปล่อยโจรบูสต์โฆษณา หวังต้องการกดดัน แนะทางรอดจากมิจฉาชีพ...
ถือว่าเป็นภัยระดับชาติ ที่แก้เท่าไรก็ไม่สำเร็จ สำหรับปัญหาอาชญากรรมทางไซเบอร์ ที่เทคโนโลยีพัฒนามากขึ้นเท่าไร ก็ยิ่งง่ายต่อการลงมือก่อเหตุ
ล่าสุด รัฐบาลพรรคเพื่อไทย กำลังจะมีการแจกเงินดิจิทัล ซึ่งข้อมูล วิธีการ และช่องทาง ยังไม่ชัดเจนเท่าไร แต่คนร้าย แก๊งมิจฉาชีพ ก็คิดแอปฯ มาลวงดูดข้อมูลส่วนตัวคนไทยแล้ว... ยังดี...ที่ทางกูเกิลเจ้าของ “เพลย์สโตร์” ในมือถือแอนดรอยด์ ได้ถอดแอปฯ โจรเหล่านี้ออกอย่างรวดเร็ว มิเช่นนั้นคงมีคนไทยจำนวนมากหลงเชื่อ
ขณะที่ เจ้ากระทรวงดิจิม่อน เอ๊ย... ดิจิทัลเพื่อเศรษฐกิจและสังคม โดยนายชัยวุฒิ ธนาคมานุสรณ์ รมว.ดีอีเอส ก็มาเทกแอ็กชันช่วงปลายรัฐบาล ขึงขัง ร้องศาลขอปิดเฟซบุ๊กภายใน 7 วัน ในข้อหาเฟซบุ๊กรับโฆษณาผู้กระทำความผิด หรือแก๊งมิจฉาชีพ โดยใช้แพลตฟอร์มเป็นเครื่องมือหลอกลวงประชาชน โดยพบว่ามีผู้เสียหายมากกว่า 200,000 คน
“ถ้าเขาอยากทำธุรกิจในประเทศไทย เขาต้องแสดงความรับผิดชอบกับสังคมไทย ที่ผ่านมากระทรวงฯ ได้คุยกับเฟซบุ๊กตลอดเวลา แต่กลับสกรีนโฆษณา ทำให้ชาวไทยได้รับความเสียหายมากกว่า 1 หมื่นล้าน” นายชัยวุฒิ กล่าว
...
เกี่ยวกับภัยไซเบอร์ ทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ พูดคุยกับ “อาจารย์ฝน” หรือ “นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล” ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ โดยเฉพาะประเด็นการ “รั่วไหล” ของข้อมูลส่วนบุคคล ว่า กรณีรัฐบาลจะแจกเงินดิจิทัล 10,000 บาท แล้วมีมิจฉาชีพทำแอปฯ หลอกให้ลงทะเบียน และมีการปล่อยใน “Play Store” ของกูเกิล และต่อมามีการไล่ลบจนหมดนั้น การลงทุนในการทำแอปฯ เป็นอะไรที่แสนง่าย และแทบไม่มีต้นทุนเลย เงินที่จะใช้เป็นเพียงการลงทะเบียนในฐานะ developer (นักพัฒนา) เท่านั้น
ทำแอปฯ แสนง่าย เข้า Play Store ก็ตรวจสอบเบาบาง
อาจารย์ฝน กล่าวว่า การเขียนโค้ดแอปฯ ถือว่าไม่ยากอะไร ซึ่งความยากง่ายของแอปฯ ขึ้นอยู่กับความซับซ้อน หากจะทำแอปฯ ไว้กรอกข้อมูลส่วนบุคคล หรือใช้ลงทะเบียน แบบนี้ไม่ยาก คนที่พอมีความรู้จะใช้เวลาทำไม่กี่ชั่วโมง หรือบางคนเก่งๆ ก็ไม่กี่นาที
แต่ที่ง่ายไปกว่านั้นคือ ปัจจุบันมีการใช้ “GitHub” ซึ่งเปรียบเสมือนศูนย์แบ่งปันโค้ดแอปฯ โดยเอามาแบ่งปันให้ใช้กันแบบ “สาธารณะ” ฉะนั้น เวลานักพัฒนาจะทำอะไร เขาจะเข้าไปดูที่ GitHub ก่อน หากมีสิ่งที่มีคนเขียนไว้อยู่แล้ว เขาก็จะเอาข้อมูลตรงนั้นมา จากนั้นก็มาปรับแต่งนิดหน่อย จากที่ต้องเริ่มจากศูนย์ ใช้เวลาเขียนประมาณ 7 วัน ก็ย่นเวลาเหลือแค่ 1 ชั่วโมงก็เสร็จสิ้น
หลักการนำแอปฯ เข้าสโตร์ ก็ไม่ได้ยากอะไร เขาจะมีการเปิดให้ลงทะเบียนพัฒนาแอปฯ หากแต่จะดันแอปฯ ลงสู่สโตร์ ถามว่ามีการตรวจสอบหรือไม่ว่าเป็นแอปฯ ประเภทไหน หลอกลวงหรือไม่ คำตอบของคำถามนี้คือ มีการตรวจสอบ
แต่... เขาตรวจสอบแค่ระดับหนึ่ง ซึ่งความเข้มข้นมันอาจจะแบ่งเป็น 5 หรือ 10 ระดับ แต่เขาก็ตรวจระดับหนึ่ง (ย้ำตัวเลข)
อาจารย์นรินทร์ฤทธิ์ ยกตัวอย่างว่า ได้ทำแอปฯ แต่งรูป 1 แอปฯ ขึ้นมา เพื่อมุ่งประสงค์จะเอารูปของคนที่โหลดแอปฯ นี้ไป วิธีการคือ เขียนแอปฯ แต่งภาพธรรมดาขึ้นมา จากนั้นขอสิทธิ์เข้าถึงแกลอรี และ อินเทอร์เน็ต แค่เพียงเท่านี้แกลอรีภาพของคุณก็เสร็จผมแล้ว...
“สิ่งที่มีการตรวจสอบคือ เขาไม่ได้มองว่าเป็นเรื่องอันตราย หรือเป็นการกระทำที่ผิดกฎหมาย เพียงแต่ว่าหากแอปฯ นั้นๆ จะเข้าถึงอะไร จำเป็นต้องขออนุญาตเจ้าของอุปกรณ์นั้นๆ และต้องเขียนให้ชัดเจน ซึ่งเขาก็ทำถูกต้อง เพียงแต่ผู้ที่ใช้งานไม่เคยอ่านสิ่งเหล่านั้น ปัญหาคือไม่ได้อยู่ที่โจร เพราะโจรก็ทำตามกติกาทั้งหมด”
เมื่อเป็นเช่นนี้ เพลย์สโตร์ก็เอาแอปฯ ดังกล่าวเข้ามา หากพบว่ามีปัญหา หรือการร้องเรียน (พร้อมหลักฐาน) เขาถึงจะเอาแอปฯ นั้นๆ ออก ยิ่งเป็นหน่วยงานราชการร้องเรียนเข้าไป เขาก็จะเอาลงให้
...
หากคำนวณเป็นต้นทุนการทำแอปฯ เพื่อมีจุดมุ่งหมายเพื่อดูดข้อมูล คงใช้เงินไม่มาก เพราะหากคนร้ายเขียนโค้ดเป็น เขาอาจจะไม่เสียเงินเลย ส่วนการเข้าสโตร์ก็คงใช้เงินไม่มาก
ทางออกของเรื่องนี้คือ การให้ความรู้ประชาชนก่อนที่จะดาวน์โหลดแอปฯ เข้าเครื่อง ควรดูก่อนว่าใครเป็นผู้ผลิต คนเขียนแอปฯ ชื่ออะไร ใช่หน่วยงานราชการหรือไม่ มีคอมเมนต์ไหม มีรีวิว กี่ดาว เรื่องพวกนี้เราต้องใส่ใจ ระมัดระวัง... เพราะโลกดิจิทัลมันหล่อหลอมให้คนทำอะไรเร็วไปหมด แต่ของแบบนี้เราไม่ต้องรีบก็ได้ โดยเฉพาะการขอเข้าถึงอุปกรณ์ของเรา ที่คำขอมากมาย
รู้หรือไม่ “แอปฯ” บล็อกเบอร์โทรศัพท์ ได้มา...ก็ต้องเสียไป?
กรณีการขอการเข้าถึงข้อมูลนั้น อาจารย์ฝน ได้ยกตัวอย่าง แอปฯ บล็อกเบอร์โทรศัพท์ บางแอปฯ นั้น หากเราไม่ได้เมมรายชื่อดังกล่าวลงไป ชื่อนั้นจะไปปรากฏกับโทรศัพท์คนอื่นด้วย เมื่อมีเบอร์นี้โทรเข้ามาหาคนที่ใช้ เช่น เมมว่า “มิจฉาชีพ” มันจะโชว์ว่า “มิจฉาชีพ” โทรมา สาเหตุที่เป็นเช่นนี้แปลว่าแอปฯ นี้ได้ “เข้าถึง” สมุดรายชื่อของทุกคน เพื่อที่จะเอาไปเป็นฐานข้อมูลกลาง
...
กรณีนี้บางคนอาจจะรู้สึกว่าไม่น่ากังวล แต่หากลงลึกในรายละเอียด ลองเข้าไปดูคำอธิบายใน แอปฯ ดังกล่าว ว่าขอเข้าถึงอะไรบ้าง และมีข้อตกลงอย่างไร หมายรวมการนำข้อมูลไปเผยแพร่ด้วย...
โดยการเข้าถึงนี้ไม่ได้เข้าถึงแค่สมุดโทรศัพท์ แต่มันขอเข้าดูข้อมูลมากมาย ทั้งอีเมล เบอร์โทรศัพท์ รหัสผู้ใช้ ประวัติทางการเงิน SMS MMS ประวัติการโต้ตอบกับแอปฯ และเนื้อหาอื่นๆ ที่ผู้ใช้สร้างขึ้น
“สำหรับผม แค่ดูข้อตกลงต่างๆ ก็ไม่กล้าที่จะลงแอปฯ แล้ว แม้จะมีคนบอกว่าสามารถตั้งค่าได้ แต่มันก็เป็นเรื่องส่วนบุคคล แต่ส่วนตัวเชื่อว่า คนที่ใช้แอปฯ นี้จำนวนมากไม่ได้อ่านข้อตกลงนี้ และไม่รู้ด้วยซ้ำ”
เมื่อถามว่า มีหลายหน่วยงานสนับสนุนให้ใช้แอปฯ นี้... “แม้แต่ตำรวจไซเบอร์” อาจารย์ฝน กล่าวก่อนเสริมว่า คำตอบที่ได้จากตำรวจโดยผมถามเขาว่า
“พี่สนับสนุน พี่รู้จักเขาไหม”
“ผมรู้จักกันดี เข้ามาคุยกันบ่อย”
“รู้ไหม ว่าเขาข้อมูลเยอะขนาดนี้”
“รู้…”
“แล้วพี่ไม่ทำอะไรเลยหรือ...?”
“แล้วพี่จะทำอะไรเขา เขาทำธุรกิจ และนี่ก็ไม่ใช่หน้าที่พี่”
ถูกต้อง! ไม่ใช่หน้าที่เขาจริงๆ เพราะตำรวจไซเบอร์มีหน้าที่ปราบปรามอาชญากรรม และการติดตั้งแอปฯ ดังกล่าวคือการยอมรับในเงื่อนไข ซึ่งถือเป็นการทำถูกกฎหมายทุกประการ
นี่คือสิ่งที่อาจารย์ฝนตั้งข้อสังเกต
...
แต่ประเด็น “ข้อมูลส่วนบุคคล” ผู้ที่เกี่ยวข้องมากที่สุด คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่งปัจจุบันก็ไม่มีใครร้องเรียน... อาจารย์ฝน กล่าวว่า หากแอปฯ ดังกล่าวไปทำแบบนี้ในยุโรป อาจโดนปรับและเล่นงาน นี่คือการตั้งคำถามและข้อสังเกต ซึ่งหน่วยงานที่เกี่ยวข้องน่าจะเข้ามาตรวจสอบดูแลหรือไม่
“การขอข้อมูลเกินกว่าความจำเป็นในการให้บริการ หากเป็นประเทศในยุโรปจะถือเป็นเรื่องผิดกฎหมาย แต่สำหรับประเทศไทยถือเป็นเรื่องผิดหรือไม่ และที่สำคัญมีแอปฯ มากมายที่ขอข้อมูลลักษณะนี้” อาจารย์ฝน กล่าว
“บล็อกเฟซบุ๊ก” ตุ๋นเหยื่อหมื่นล้าน ทำได้แค่ไหน
ในกรณี DES จะบล็อกเฟซบุ๊ก เพราะให้โจรยิงแอดฯ ประเด็นนี้ อาจารย์นรินทร์ฤทธิ์ มองว่าสิ่งที่ DES พยายามทำ อาจเป็นระเบิดที่ทิ้งไว้ให้รัฐบาลต่อไป แต่หากมองลึกๆ เรื่องนี้เป็นสิ่งที่รัฐบาลพยายาม “กดดัน” ไปที่เฟซบุ๊กให้มีมาตรการในการดูแลคนไทย เพราะต้องยอมรับก่อนว่าแพลตฟอร์ม “เฟซบุ๊ก” คือหนึ่งในแพลตฟอร์มที่ถูกใช้เป็นเครื่องมือของ “มิจฉาชีพ”
แล้ว...คุณควรมีมาตรการอะไรหรือไม่
คุณได้เงินอย่างเป็นล่ำเป็นสัน เงินหลายหมื่นล้าน
แต่เมื่อคิดจะทำอะไรเพื่อเป็นการต่อต้านอาชญากรรม หรือการฉ้อโกง คุณไม่ทำอะไรหรือ...นี่คือการดำเนินการธุรกิจโดยไม่รับผิดชอบอะไรเลยหรือไม่ แถมยังรับเงินมิจฉาชีพจากโฆษณาอีก
“ถ้าไม่ทำอะไรเลย แปลว่าร่วมมือในการทำอาชญากรรมหรือเปล่า ฉะนั้นนี่คือการกดดันให้เข้ามาคุยเพื่อหาทางออกร่วมกัน เพราะสุดท้าย มันคือความเดือดร้อนของประชาชน ซึ่งบางคนอาจไม่เข้าใจ และด่าอย่างเดียวว่าเป็น “ไดโนเสาร์” แท้จริงอยากให้เข้าใจเจตนาว่าป้องกันไม่ให้พี่น้องประชาชนถูกโกง”
ความจริงคือ ทำได้หรือไม่ อาจารย์ฝน มองว่าขึ้นอยู่กับอำนาจต่อรอง คำถามคือ คุณขู่เขา แล้วเขากลัวหรือไม่ หากไทยไม่ใช้เฟซบุ๊ก เขาจะกระทบหรือไม่ เพราะเขาก็มีผู้ใช้งาน 2,000-3,000 ล้านคน ขณะที่คนไทยมีแค่นิดเดียวถ้าเทียบกับทั้งโลก
“มุมมองส่วนตัวเชื่อว่าสุดท้ายก็ปิดไม่ได้ เพราะปิดจริงก็จะกระทบไปหมด ทั้งส่วนบุคคลและภาคธุรกิจ หากคนไทยไม่ได้ใช้ คนไทยเดือดร้อน จะมีรัฐมนตรีคนไหนกล้าทำแล้วกระทบคะแนนเสียงบ้าง หากภาคธุรกิจเองก็อาจจะมีปัญหา”
พูดตรงๆ ว่า คนที่ทำงานด้านธุรกิจ โพสต์เกี่ยวกับธุรกิจ เข้าถึงคนยากมาก แต่พอมิจฉาชีพบูสต์โพสต์ เข้าถึงคนมากมาย นี่คือสิ่งที่น่าจะถามกับเฟซบุ๊กเช่นเดียวกัน
คำถามว่า ในเชิงเทคนิค จริงๆ ไทยสามารถ “บล็อกเฟซบุ๊ก” ได้หรือไม่ อาจารย์ฝน ตอบว่า พอทำได้ หากมีการบล็อกอย่างเป็นทางการ แต่หากคนมีความรู้หน่อยก็เข้ามาดูได้อยู่ดี เช่น ผ่าน VPN หรือบางประเทศก็บล็อก VPN ด้วย
แต่สำหรับทางออกที่ดีที่สุด คือ การขอความร่วมมือทำการวัดผล โดยมีภาครัฐควรตั้งหน่วยงาน หรือมีหน่วยงานอยู่แล้วก็ให้เฝ้าระวัง จากนั้นก็ให้หน่วยงานแจ้งเฟซบุ๊ก จากนั้นก็รอวัดผลว่าเฟซบุ๊กให้ความร่วมมือแค่ไหน ดำเนินการให้ภายในกี่ชั่วโมง เช่น 24 ชั่วโมง หรือ 48 ชั่วโมง ซึ่งความร่วมมือต้องวัดผลได้
ช่วงท้าย อาจารย์ฝน อยากจะเตือนไปยังทุกคนที่ใช้เครื่องมือสื่อสารว่า ปัจจุบันมันมีข้อมูลมากมายเข้าถึงเราได้เร็วมาก ส่งผลให้มีมิจฉาชีพปะปนเข้ามาเยอะเช่นกัน การดูแลก็ไม่ทั่วถึง ดังนั้นข้อมูล หรือคอนเทนต์ต่างๆ ที่เข้ามาบอกได้ยากมากว่า อันไหนจริงหรือหลอกลวง หากเราบอกวิธีการสังเกต มิจฉาชีพก็เรียนรู้ เช่น เราบอกให้โหลดในเพลย์สโตร์ มิจฉาชีพก็ทำเพลย์สโตร์ปลอมขึ้นมา
“ดังนั้นสิ่งที่อยากเตือน คือ เราอย่าเพิ่งเชื่ออะไรในทันที เราต้องเริ่มจากไม่เชื่อ เช็กและตรวจสอบจากหลายแหล่งข้อมูล เช่น ตรวจสอบไปยังต้นสังกัดนั้นๆ ลองไปหาข้อมูลที่เว็บไซต์หน่วยงานนั้นๆ ว่าเขาพูดเรื่องนี้หรือไม่ อย่ากดเร็ว และเชื่ออะไรง่ายๆ”.
ทีมข่าวเฉพาะกิจไทยรัฐออนไลน์ รายงาน
อ่านบทความที่น่าสนใจ