กูรูแฉ 2 วิธีดูดเงิน ของแก๊งคอลเซ็นเตอร์ เหยื่อโอนเกลี้ยงบัญชี ไม่ต้องติดตั้งแอปฯ !

แก๊งคอลเซ็นเตอร์ ทำไม่ได้ ดูดเงินคนใน 2 นาที แต่เชื่อว่าที่อดีตแก๊งคอลเซ็นเตอร์ออกมาแฉนั้นเป็นเรื่องจริง ไม่ต้องติดตั้งแอปฯ ไม่ต้องกดลิงก์ ไม่ต้องทำอะไร เงินก็หายเกลี้ยงบัญชีได้ งานนี้มีความสลับซับซ้อนมากกว่านั้น อยากรู้ทำไงกัน ดูเลย

แก๊งคอลเซ็นเตอร์

จากกรณีที่อดีตแก๊งคอลเซ็นเตอร์ ได้หลบหนีออกมา และออกมาแฉถึงขบวนการของแก๊งคอลเซ็นเตอร์ในประเทศเพื่อนบ้านที่มีขนาดใหญ่ และมีความทันสมัย สามารถดูดเงินของบรรดาเหยื่อได้ในไม่กี่นาที โดยที่เหยื่อไม่ต้องติดตั้งแอปฯ พร้อมกับที่บอสได้กำหนดว่า แต่ละคนต้องหาเงินให้ได้ด้วยยอดกว่า 150 ล้านบาทต่อวัน

อย่างไรก็ตาม เรื่องนี้ได้นำไปสู่คำถามในเว็บไซต์ พันทิปดอทคอม ที่คุณสมาชิกหมายเลข 7027340 ได้มาตั้งคำถามว่า ต้องยอมรับว่าทุกวันนี้แก๊งคอลเซ็นเตอร์เยอะมาก และคนที่ตามไม่ทันเทคโนโลยีก็มาก แต่ทำไมถึงมีคนเชื่อและแตกตื่นกับอะไรแบบนี้ แต่ไม่กลัวที่จะกดลิงก์แปลกปลอม ไม่กลัวที่ดาวน์โหลดแอปฯ เถื่อน แต่มากลัวอะไรกับเรื่องพวกนี้

กูรูชี้ คุยคอลเซ็นเตอร์ 2 นาที โดนดูดเงินเกลี้ยงบัญชีไม่ได้ ข้อมูลที่หลุดไป ไม่เคยมีข้อมูลไบโอเมตริก

          ด้านคุณสมาชิกหมายเลข 1477043 ได้มาร่วมคอมเมนต์ว่า ซึ่งจริง ๆ แล้ว การที่เหยื่อคุยกับแก๊งคอลเซ็นเตอร์แค่ 2 นาที แล้วโดนดูดเงินออกหมดบัญชี ไม่ต้องลงแอปฯ ใด ๆ แค่หลอกถามข้อมูลที่ซื้อมาจากธนาคารนั้น มันเป็นเรื่องโกหกและทำไม่ได้ และเป็นไปไม่ได้เลยในทางเทคนิค  เป็นการสร้างความตื่นตระหนกเท่านั้น และถ้าบอกว่าเป้าหมายคือเหยื่อที่มีเงิน 2 ล้านบาทขึ้นไปในบัญชี ยิ่งเป็นไปไม่ได้เลย เพราะ

แก๊งคอลเซ็นเตอร์

– แอปฯ ธนาคารไม่ได้ใช้เสียงในการยืนยันตัวตน แต่ไบโอเมตริกที่ธนาคารเก็บนั้น คือการสแกนหน้าและลายนิ้วมือ

– การโอนเงิน 50,000 บาทต่อครั้ง หรือ 200,000 บาทต่อวัน ต้องมีการสแกนใบหน้า

– การปรับเพิ่มวงเงินให้โอนเงินเกิน 50,000 บาทต่อวัน ต่องมีการสแกนใบหน้า

– ข้อมูลที่หลุดออกไปในดาร์กเว็บ มีแค่ข้อมูลส่วนตัว แต่ไม่เคยมีข้อมูลไบโอเมตริกเลยแม้แต่ครั้งเดียว

กูรูคาด เหตุผลอดีตแก๊งคอลเซ็นเตอร์ออกมาแฉ อาจจะเป็นแค่ปลายแถว ไม่ได้รู้เรื่องราวทั้งหมด

          อย่างไรก็ตาม การที่อดีตแก๊งคอลเซ็นเตอร์มาบอกว่า ใช้เวลาแค่ 2 นาทีก็ถูกดูดเงินได้เกลี้ยงบัญชี อาจจะเพราะมีเป้าหมายดังนี้

1. คนที่ออกมาให้ข่าว เป็นแค่ม้าสายหนึ่งเท่านั้น คนที่เป็นม้าสายหนึ่ง คือมีหน้าที่เพียงแค่ยืนยันตัวตนของเหยื่อที่ได้รับมา จากนั้นก็จบ และส่งต่อหน้าที่ให้ม้าสายสองเพื่อข่มขู่ หลอกลวงเหยื่อ ซึ่งม้าสายหนึ่งจะใช้เวลาน้อยกว่า 2 นาที เพราะมีหน้าที่แค่ยืนยันว่าใช่เจ้าของเบอร์ เจ้าของเลขบัตรประชาชนจริง    

2. คนที่ออกมาให้ข่าว โดนหลอกมาอีกทีว่ามีเทคโนโลยีขั้นสูงที่สามารถหลอกดูดเงินเหยื่อได้ใน 2 นาที โดยจุดสังเกตคือ มีการบอกว่า ซื้อข้อมูลจากเหยื่อมาแบบเจาะจงธนาคารได้ ซึ่งถ้าจะเป็นแบบนั้นจริง ทำไมมิจฉาชีพ ไม่ไปซื้อข้อมูลของเศรษฐีระดับ 50 อันดับแรกของไทยที่มีเงินเป็นพันล้าน จะมาอยู่กับรายย่อยที่มีเงินแค่ 2 ล้านบาททำไม หากเทคโนโลยีที่ว่ามันทำได้จริง ๆ ซึ่งจะได้รู้ว่า เทคโนโลยีนั้นมันทำไม่ได้ เหล่าเศรษฐีไม่หลงเชื่อวิธีการหลอกลวงพวกนี้อยู่แล้ว จึงต้องมาทำกับเป้าหมายผู้สูงอายุที่เกษียณไปแล้ว มีเงินเก็บในบัญชี และทำให้หลอกง่าย

3. ต้องการสร้างความตื่นตระหนกในสังคม ซึ่งในความเป็นจริง หากไม่มีการติดตั้งแอปฯ ปลอม ไม่มีการคลิกลิงก์ เหยื่อไม่โอนเงินไปให้เอง มิจฉาชีพก็ไม่มีทางได้เงินออกจากบัญชี แต่ถึงกระนั้น การคุยกับมิจฉาชีพนาน ๆ ไม่ใช่เรื่องดี เพราะมิจฉาชีพอาจจะอัดเสียงเอาไว้ แล้วใช้ AI หลอกแล้วนำไปหลอกให้คนรู้จักโอนเงินมาให้

4. ต้องการปกป้องมิจฉาชีพด้วยกันเอง เพราะมีหลายคนที่รู้ทัน และทำการอัดหน้าจอสร้างคอนเทนต์ด่าทอมิจฉาชีพ

แก๊งคอลเซ็นเตอร์

รู้จัก Social Engineering 2 วิธีหลอกเงินจากเหยื่อ ติดตั้งแอปฯ ไม่รู้ตัว – ขู่สารพัดจนยอมโอนเงินออกเอง

 อย่างไรก็ตาม สิ่งที่อดีตแก๊งคอลเซ็นเตอร์พูดมาก็ถูก คือ มิจฉาชีพสามารถดูดเงินเกลี้ยงบัญชีไปได้โดยไม่คลิกลิงก์ ไม่ต้องลงแอปฯ และมีเป้าหมายคือคนสูงอายุ ซึ่งทำได้หมดไม่ว่าจะใช้แอนดรอยด์หรือ iOS เพราะมันคือการหลอกลวงที่เรียกว่า Social Engineering แค่เหยื่อหลงเชื่อ เหยื่อก็จะโอนเงินออกไปให้มิจฉาชีพหมดเอง โดยวิธีการหลอกเหยื่อมี 2 รูปแบบ คือ

 1. หลอกให้ติดตั้งแอปฯ ปลอมที่เป็นแอปฯ Remote สามารถควบคุมเครื่องได้จากระยะไกล มีขั้นตอนดังนี้

          – ส่งลิงก์เว็บปลอมมาทางไลน์ เพื่อหลอกเหยื่อให้ติดตั้งแอปฯ ปลอม หรือส่ง APK มาทางไลน์ เพื่อให้เหยื่อติดตั้งแอปฯ ปลอม

          – หลอกให้เหยื่อไปอนุญาตให้เข้าถึงเครื่อง (Accessibility Service) ซึ่งจะขอทั้งหมด 3 สิทธิ์ เมื่อเหยื่ออนุญาต จะทำให้มิจฉาชีพสามารถรีโมตมายังมือถือของเหยื่อ และสามารถคลิกแทนเหยื่อได้ ได้สิทธิ์เกือบเท่าเจ้าของเครื่อง แต่ไม่สามารถห้ามเจ้าของเครื่องไม่ให้ปิดเครื่อง ถอดซิม ตัดสัญญาณเน็ต ทัชหน้าจอเพื่อก่อกวน

          – หลอกให้เหยื่อเปิดแอปฯ ปลอม ให้เหยื่อใส่ข้อมูลส่วนบุคคล เช่น เลขบัตรประชาชน – เบอร์มือถือ และหลอกให้เหยื่อตั้งรหัสผ่าน 6 หลัก ซึ่งคนส่วนมากมักจะกลัวว่าตัวเองจะลืมรหัสผ่าน จึงเลือกตั้งรหัสผ่านเหมือนกันทุกแอปฯ

          – หากรหัสผ่าน 6 หลักไม่ตรงกับแอปฯ ธนาคาร มิจฉาชีพจะคอยดูว่าเหยื่อจะเข้าแอปฯ ธนาคาร ตอนไหน แล้วค่อยดูว่าเหยื่อจะกดรหัสอย่างไร บางแอปฯ สามารถมองเห็นคีย์บอร์ดได้ ทำให้รู้ว่าเหยื่อกดเลขอะไรไป

          – บางครั้งเหยื่อตั้งรหัสผ่าน 6 หลักไม่ตรงกับแอปฯ ธนาคาร และมองไม่เห็นคีย์บอร์ดว่าเหยื่อกดอะไรไป มิจฉาชีพก็จะหลอกถามดื้อ ๆ ไปเลย โดยข่มขู่ เช่น มีการสอบสวนออนไลน์ ถ้าไม่เกี่ยวข้องกับคดีความต้องให้ความร่วมมือ จนเหยื่อหลงบอกรหัสผ่านไปเอง

          – เมื่อได้ข้อมูลครบ มิจฉาชีพจะโอนเงินออกไปยังบัญชีม้า หากติดปัญหายืนยันตัวตนด้วยไบโอเมริก เช่นเหยื่อมีการล็อกแอปฯ เอาไว้ มิจฉาชีพก็จะบอกให้เหยื่อสแกนลายนิ้วมือ หรือเมื่อโอนเงินออกไปกว่า 50,000 บาทแล้วติดใบหน้า มิจฉาชีพก็จะหลอกให้เหยื่อสแกนใบหน้าเพื่อปลดล็อก

2. หลอกเหยื่อว่ามีอาชญากรรมร้ายแรง ใช้เอกสารราชการปลอม เอกสารข้อมูลส่วนบุคคลจริง เพื่อข่มขู่เหยื่อ มีขั้นตอนดังนี้

          – มิจฉาชีพจะล็อกเป้าเหยื่อผู้สูงอายุที่มีเงินในบัญชี โดยมีเจ้าหน้าที่รัฐที่เข้าถึงข้อมูลเหล่านี้เป็นคนให้ความร่วมมือ มีภาพถ่ายบัตรประชาชน ข้อมูลบัตรประชาชน ข้อมูลทะเบียนบ้าน แล้วเอาข้อมูลเหล่านี้มาทำเอกสารปลอม

          – ม้าสายหนึ่ง จะโทร. มาหาเหยื่อ เพื่อคอนเฟิร์มว่าเหยื่อใช้เบอร์นี้จริง เป็นบุคคลที่ได้รับมาอย่างถูกต้อง และบอกเหยื่อว่าจะมีการตรวจสอบเกี่ยวกับคดีอาชญากรรมร้ายแรง จากนั้นจะโอนสายไปยังม้าสายสอง แล้วม้าสายหนึ่งจะวางสาย

          – ม้าสายสองจะแอดไลน์เข้ามา อ้างว่าเป็นหน่วยงานรัฐจากดีเอสไอ ป.ป.ช. ปปง. และจะวิดีโอคอลเป็นหลัก มีการแต่งกายคล้ายเจ้าหน้าที่ที่แอบอ้าง และส่งเอกสารราชการปลอมมาเพื่อข่มขู่เหยื่อว่าเกี่ยวข้องกับคดีอาญาร้ายแรง ซึ่งอาจจะมีการส่งข้อมูลส่วนบุคคลที่ได้จากเจ้าหน้าที่รัฐ เช่น เลขบัตรประชาชน รูปในบัตรประชาชนไปให้เหยื่อดู เพื่อให้เหยื่อหวาดกลัว จนเหยื่อเชื่อว่าเป็นเจ้าหน้าที่รัฐจริง และยอมให้ข้อมูลทางการเงินกับมิจฉาชีพ ยอมโอนเงินออกไปเพื่อแสดงความบริสุทธิ์ใจว่าไม่เกี่ยวข้องกับคดี

          – ม้าสายสองจะใช้วิธี Social Engineering ทำหน้าที่ข่มขู่ แสดงตัวว่าเป็นนายตำรวจชั้นผู้ใหญ่ หากไม่ให้ความร่วมมือจะมาบุกจับถึงบ้าน ยึดทรัพย์สินทุกอย่างไม่ว่าบ้าน รถ เอาไว้ตรวจสอบ อายัดบัญชีธนาคาร เอาหมายจับมาถึงบ้าน ทำให้โดนไล่ออกจากงาน ให้ครอบครัวอับอาย และจากนั้นจะมีมิจฉาชีพที่ทำบทปลอบ บอกว่าถ้าให้ความร่วมมือก็จบแล้ว ไม่เป็นคดีอะไร ให้โอนเงินมาเพื่อความบริสุทธิ์ใจ เพื่อการตรวจสอบ โอนเงินออกมาก่อนที่บัญชีจะถูกอายัด เมื่อเหยื่อหลงเชื่อ เหยื่อจะโอนเงินออกไปเอง

          – มิจฉาชีพจะหลอกถามข้อมูลบัตรเครดิต เพื่อถอนเงินจากบัตรเครดิต โดยโอนวงเงินสูงสุดจากบัตรเครดิตเข้าบัญชีธนาคารของเหยื่อ จากนั้นก็โอนเงินออกจากบัญชี ซึ่งวงเงินสูงสุดนั้นมีตั้งแต่ 50,000-500,000 บาท แล้วแต่ความน่าเชื่อถือ

แก๊งคอลเซ็นเตอร์

ยืนยัน ไม่มีการยืนยันตัวตนด้วยเสียง แต่คุยกับมิจฉาชีพนาน ๆ ไม่ดี – เลิกกดลิงก์มั่วซั่ว

          ในขณะเดียวกัน นิตยสารการเงินการธนาคาร ระบุว่า ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) ได้ยืนยันว่า จากข่าวที่มีการโทร. คุยและดูดเงินได้ใน 2 นาทีนั้น ปัจจุบันธนาคารไม่มีการใช้เสียงในการยืนยันตัวตน และไม่เคยพบความเสียหายจากกรณีดังกล่าว

 อย่างไรก็ตาม หากประชาชนควรพึงระวัง เพื่อไม่ให้ตัวเองตกเป็นเหยื่อ ดังต่อไปนี้

          1. ไม่ดาวน์โหลดหรือคลิกลิงก์ใด ๆ จากคนที่ไม่รู้จัก

          2. ไม่สแกนหน้ากับโปรแกรมจากแหล่งอื่น ๆ นอกจากที่ได้รับการควบคุมและรับรองความปลอดภัยจากผู้พัฒนาระบบที่เป็น official Store

          3. เมื่อรู้ตัว ไม่ควรคุยกับมิจฉาชีพต่อ เพราะยิ่งคุยยิ่งทำให้มิจฉาชีพให้ข้อมูลจริงจนเหยื่อหลงเชื่อ

          4. หากมีข้อสงสัย ให้สอบถามกับทางเบอร์ตรงของทางหน่วยงาน