ตอนนี้คนลง ICO เริ่มเยอะขึ้นเรื่อย ๆ แต่ก็ได้ยินหลายคนเหมือนกันที่เสียเงินฟรีไปจากการโดนมิจฉาชีพหลอกด้วยเรื่องของ ICO นี้ เราเลยรวบรวมเอากลโกงที่เกิดขึ้นมาแล้วมาเล่าให้ฟัง เพื่อให้ทุกคนตามทันโจรและไม่หลงกลเสียเงินที่หามาอย่างยากลำบากไปครับ
มาเริ่มเลยละกันนะ
1) โจรส่งข้อความใน Telegram มาหลอกให้โอนเงิน
อันนี้เบสิคสุด
แอป ฯ แชทที่เอาไว้ติดต่อสื่อสารกันในวงการ Cryptocurrency หลัก ๆ จะใช้ Telegram กัน (หรือมีบ้างที่ใช้ Discord แต่ก็ไม่เยอะมาก) สำหรับคนที่นึกไม่ออกว่ามันคืออะไร เอาง่าย ๆ มันก็เหมือน LINE นั่นแหละ แต่เป็นอีกเจ้านึง
และนี่เองก็เป็นช่องทางหลัก ๆ ที่โจรใช้เพื่อหลอกเอาเงินคนเช่นกัน
หลัก ๆ คือพอเราไป Join Telegram Group ใดที่เราสนใจแล้วก็ตาม มันมักจะมีคนที่ตั้งชื่อเป็นอย่างดีว่าเป็น Admin ของกรุ๊ปนั้นมาทักทายชวนคุย พอผ่านไปสักพักก็จะชอบถามเราว่า นี่ ๆ อยากซื้อ Token ในราคาพิเศษมั้ย เรามีขายนะ ถ้าสนใจส่งมาที่ Address 0xXXXXXX ได้เลย
ถ้าเจอแบบนี้ให้กด Block ทันทีและห้ามโอนเงินไปให้เด็ดขาดนะครับ เพราะเป็นโจร 100% ไม่มีข้อยกเว้น !
เพราะปกติแล้วไม่มี ICO เจ้าไหนเลยที่จะส่ง Address มาให้เราโอนแบบนี้ Address จะต้องได้จากหน้าเว็บของ ICO เจ้านั้น ๆ เท่านั้น ขอให้จำข้อนี้ไว้ให้ดี ถ้าได้ Address มาจากที่อื่นไม่ว่าจะจากทางไหน ให้ห้ามโอนไปโดยเด็ดขาดในทุกกรณีครับ สาเหตุเพราะว่าเราไม่สามารถมั่นใจได้เลยว่า Address นั้นถูกต้องหรือไม่ นอกจากจะไปผูกกับสิ่งเดียวที่เชื่อถือได้ในวงการนี้ ณ ขณะนี้คือ "เว็บไซต์ของ ICO นั้น ๆ" ครับ
และนั่นเอง ก็ทำให้เกิดเป็นกลโกงวิธีถัดไปที่มีในวงการนี้ ...
2) โจรทำเว็บปลอมมาหลอกให้โอน
พอรู้ว่าทุกคนเวลาหาข้อมูลก็จะ Search Google และเข้าหาข้อมูลในเว็บ อีกวิธีที่โจรใช้กันบ่อยก็เลยคือการโคลนเว็บขึ้นมาแล้วจดเป็นโดเมนที่คล้าย ๆ กันเพื่อหลอกให้คนเข้าไป ยกตัวอย่างเช่น BeeToken ซึ่งเป็น ICO ชื่อดัง ก็มีคนจดเว็บชื่อ beetoken-ico.eu ขึ้นมา (ส่วนเว็บจริงคือ https://beetoken.com) และก็จัดแจงก็อปปี้โค้ดของเว็บจริงมาแสดงผลจนดูแทบไม่ออกว่าเป็นของปลอม
แล้วคราวนี้โจรก็ใส่ข้อมูลเพื่อหลอกให้โอนลงไปในเว็บ เป็นอันเรียบร้อย เสร็จโจร ...
ความบ้าบอขอวิธีนี้คือ โจรซื้อ Ad บน Google ด้วยนะ ! แบบ บางทีเว็บปลอมขึ้นก่อนเว็บจริงอีก
ดังนั้นสิ่งที่จำเป็นมาก ๆ คือ ต้องเช็คโดเมนทุกครั้งว่าเป็นของเว็บจริง บางที URL จะเหมือนของจริงมาก ๆ แค่เติมตัว s หรือเพิ่ม the ขึ้นมา แนะนำให้เช็คให้ถี่ถ้วนว่าเว็บ Official มันคืออะไรกันแน่ ไม่งั้นเสียเงินฟรีได้ครับ
สำหรับการเข้าเว็บโดยมองไม่เห็นโดเมน ยกตัวอย่างเช่นการเข้าเว็บผ่านแอป ฯ มือถือหลาย ๆ ตัว ให้คิดว่าเว็บนั้นเป็นของปลอมเสมอครับ อยู่วงการนี้ให้ไม่เชื่อเป็น Default
3) โจรส่งอีเมลหลอกลวงให้โอนเงิน
นอกจากการปลอมเว็บแล้ว อีกวิธีที่เจอเป็นประจำคือ การส่งอีเมลพร้อม Address เพื่อหลอกให้โอนเงิน โดนส่วนใหญ่จะเป็น ICO ที่มือไม่ถึงและโดนแฮคอีเมลไป ยกตัวอย่างเช่น Experty และ BeeToken ซึ่งแฮคเกอร์ได้ฐานข้อมูลผู้ลงชื่ออยากลง ICO ไปทั้งหมด เลยสามารถส่งอีเมลปลอมไปหาเหยื่อได้อย่างแนบเนียน
ซึ่งจะเห็นได้จากอีเมลข้างต้นทำออกมาได้อย่างสวยงามพร้อมระบุให้โอนเงินไปที่ Ethereum Address เรียบร้อย แต่ถ้าสังเกตให้ดี จะเห็นว่าเมลถูกส่งมาจาก Email Address ที่ประหลาดมากกกกก
ตรงนี้สิ่งที่ต้องระวังไว้มีสองอย่างคือ
1) ถ้าเนื้อหาเมลบอกให้โอนเงินไปที่ Address อะไรก็ตาม ห้ามโอนเด็ดขาด ซึ่งจริง ๆ มันก็เข้ากับกฎข้อแรกที่เราบอกไว้คือ Address ต้องมาจากเว็บจริงของ ICO นั้น ๆ เท่านั้นครับ
2) เช็คด้วยว่าอีเมลที่ส่งมาเป็น Email Address อะไร หลาย ๆ ครั้งที่เค้าไม่ได้ระบุให้โอนเงินตรง ๆ แต่จะมีลิงก์เพื่อหลอกลวงต่ออีกที อันนี้ก็ต้องหลบเลี่ยงเช่นกันครับ
การส่งอีเมลหลอกนี้อาจจะยังไม่เยอะมากเพราะจะเกิดกับ ICO ที่โดนแฮคเอาฐานข้อมูลอีเมลไปเท่านั้น แต่ความน่ากลัวคือมันจะดูน่าเชื่อถือมาก ทำให้เคสล่าสุดของ BeeToken นี่โจรได้รับเงินไปแล้วกว่า 1 ล้านเหรียญหรือกว่า 30 ล้านบาท ...
วงการนี้มันโหด
4) โดนหลอกให้ลง Plugin ที่เป็น Malware
Browser ที่เราใช้อยู่ทุกวันเช่น Chrome, Safari ฯลฯ จะสามารถลงโปรแกรมเสริม (Plugin/Extension) ได้ ซึ่งโปรแกรมเสริมเหล่านี้สามารถแก้ไขข้อมูลในหน้าเว็บได้ และโจรก็ใช้ช่องทางนี้แหละในการปลอม Address ที่อยู่บนหน้าเว็บที่เราต้องโอนไป ถึงแม้เราจะเข้าเว็บถูก แต่ Address ก็ไม่ใช่ของจริงแต่เป็นของโจร
การโจมตีด้วยวิธีนี้ยังเจอไม่เยอะ แต่ก็เห็นบ้าง และหลังจากนี้น่าจะมีเยอะขึ้นเรื่อย ๆ ด้วย คำเตือนสั้น ๆ ในข้อนี้คือ "อย่าลง Extension มั่วเป็นอันขาด" ครับ โดยเฉพาะพวก Malware จากเว็บโป๊ เพราะความเสียหายที่อาจเกิดขึ้นได้มันน่ากลัวมาก
วิธีนี้น่ากลัวตรงที่คนที่ลง Malware ไปจะไม่มีทางรู้ตัวได้เลยว่า Address เป็นของปลอม เพราะเว็บที่เข้ามันเว็บจริงหนะ ...
5) โจรแฮคเว็บเข้าไปแก้ไข Address ที่ต้องโอนบนหน้าเว็บจริง
คงเคยเห็นบ้างที่มีแฮคเกอร์แฮคเว็บต่าง ๆ แล้วแทนที่ด้วยหน้าเว็บของตัวเองเพื่อประกาศศักดา ซึ่งส่วนใหญ่จะเกิดกับเว็บที่ผู้พัฒนาเว็บมือไม่ถึงด้าน Security จนทำให้เกิดช่องให้คนแฮคไปเปลี่ยนแปลงข้อมูลบนหน้าเว็บได้
ซึ่งในยุค ICO นี้ มันก็ไม่ต่างจากยุคที่แล้ว นักพัฒนาก็คนเดิมแหละ มือไม่ถึงก็มือไม่ถึงเหมือนเดิมแหละ เว็บหลาย ๆ เว็บก็ยังมีช่องทางให้แฮคได้อยู่ แต่ในครั้งนี้แฮคเกอร์ไม่ได้แฮคเพื่อประกาศศักดา แต่กลับใช้ช่องทางนี้เพื่อเข้าไปแก้ไข Contribution Address บนหน้าเว็บเลย ! โหดสัส !!
และที่เอามาเล่านี้ไม่ใช่แค่ทฤษฎีเพราะมันเกิดขึ้นจริงแล้ว โดยรายแรกที่ได้ยินมาเลยคือ APEX ที่ระหว่าง Crowdsale อยู่ก็โดนแฮคเว็บและเปลี่ยน Address ซะดื้อ ๆ ! ผลคือมีคนโอนเงินไปยังกระเป๋าของโจรไปเยอะพอสมควรก่อนที่เจ้าของเว็บจะรู้ตัวและเปลี่ยนกลับได้ทัน สุดท้ายเจ้าของ ICO ถึงกับต้องถ่ายรูปตัวเองกับ Address ที่ถูกต้องเพื่อให้คนโอนไปถูกที่
ก็ตลกดี
กรณีนี้บริษัทที่ทำ ICO ผิดเต็ม ๆ เลยต้องออกมาแสดงความรับผิดชอบด้วยการชดใช้ให้กับคนที่โอนไปยังกระเป๋าของโจร ซึ่งโชคยังดีที่ไม่เยอะมาก แต่เคสถัด ๆ ไปก็ไม่แน่ หากความเสียหายสูงมาก ICO นั้นอาจจะยกเลิกไปเลยก็ได้
อย่างไรก็ตาม ของพวกนี้มันเป็นกรณีที่ควรจะเกิดได้ยากมาก ๆ ส่วนตัวรู้สึกว่าคนที่ทำเว็บให้เกิดช่องแบบนี้ไม่ควรได้รับความเชื่อถือเท่าไหร่ นี่ Raise เงินกันทีเป็นล้านเหรียญนะคุณ เว็บแค่นี้ยังจัดการไม่ได้นี่ ... ไม่รู้จะพูดยังไงเลย
6) สร้างเว็บ ICO หลอกจากข่าวลือ
พอ ICO เริ่มได้รับความนิยมสูง บริษัทต่าง ๆ ก็เริ่มทำ ICO ของตัวเองกันทีละเจ้า ๆ หรือบางเจ้าก็มีแค่ประกาศว่าจะทำ ICO แต่ยังไม่ได้เริ่มทำ บางเจ้านี่เว็บยังไม่มีเลย ยกตัวอย่างเช่น ICO ของ Telegram
คราวนี้ก็มีโจรหัวใสเกาะกระแสข่าวและสร้างเว็บ ICO นั้นขึ้นมาเองซะเลย ! ยกตัวอย่างเช่น GramToken ที่บอกว่าตัวเองคือ ICO ของ Telegram ที่เป็นข่าว เล่นกันดื้อ ๆ แบบนี้แหละ
ผลคือคนก็ลงเงินกันกระหน่ำเลย จำตัวเลขไม่ได้ละว่าคนโดนหลอกไปเท่าไหร่ แต่ก็เยอะพอสมควร ล่าสุดเว็บโดนเอาออกไปละ แต่ก็คงจะมีแบบนี้ออกมาเรื่อย ๆ
สำหรับกรณีนี้เราควรจะตรวจสอบให้เรียบร้อยก่อนว่าเป็นเว็บของ ICO นั้นจริง ๆ ซึ่งทำได้ด้วยการหาข้อมูลเพิ่มใน Google และเช็คซ้ำอีกรอบกับ Community ครับ
7) หลอกลวงด้วยตัว ICO เองเลย
ในโลก ICO ที่ทุกอย่างทำบนอินเทอร์เนต เราไม่รู้หรอกว่าใครเป็นใคร ทีมงานก็อาจจะ Make ขึ้นมาก็ได้ Whitepaper ก็อาจจะก็อปมาก็ได้ ทุกอย่างมันเฟคได้หมด ดังนั้นไม่ต้องแปลกใจที่จะมีมิจฉาชีพสร้าง ICO ปลอมขึ้นมาเพื่อหลอกเอาเงินตรง ๆ เลย กรณีศึกษาชื่อดังที่ผ่านมาก็เช่น Prodeum ที่หลังจากเปิด ICO ทำ Marketing อย่างหรูเริดจนได้เงินลงทุนไปหลายล้านเหรียญ แล้วพี่แกก็เชิดเงินหนีไปดื้อ ๆ พร้อมทิ้งข้อความไว้บนหน้าเว็บสั้น ๆ ว่า ... penis ...
สำหรับกรณีนี้อยากจะบอกว่ามันมีอยู่เยอะมากกกกกก เยอะสุด ๆ ของสุด ๆ และเรื่องนี้ไม่มีวิธีดูที่ตายตัวเลย วิธีที่ดีที่สุดคือ ควรหาข้อมูลโดยละเอียดก่อนจะลง ICO ใด ๆ โดยสิ่งที่สำคัญที่สุดคือ ทีมที่ทำโปรเจคนั้น ๆ เป็นใคร มีตัวตนจริงมั้ย เคยมีสัมภาษณ์ออก YouTube ในโปรเจค ICO ที่เปิดมารึเปล่า ถ้าไม่สามารถหาตัวตนในโลกจริงของทีมได้ แนะนำให้ยกธงแดงและห้ามลงเป็นอันขาดครับ
จบ
ก็หวังว่าจะมีประโยชน์ เพราะเห็นคนที่ไม่เชี่ยว Tech เริ่มมาเล่น ICO กันมากขึ้น และก็มีคนโดนหลอกมากขึ้นเรื่อย ๆ ด้วย ซึ่งถามว่าถ้าโดนหลอกให้โอนไปเองเราทำอะไรได้มั้ย ? คำตอบคือ ทำอะไรไม่ได้เลย เสียไปฟรี ๆ เลยหละ
หลังจากเข้าคลุกกับเรื่อง ICO มาหลายเดือนมาก บอกเลยว่าวงการนี้เถื่อน ... เกิน 90% เป็นอะไรที่ทำมาเพื่อจะเอาเงินแค่นั้น ในฐานะ Developer อ่านหลายตัวแล้วดูออกเลยว่าไม่สามารถ Deliver โปรดักส์ได้แน่นอน แต่ก็ยังมีอะไรแบบนี้โผล่มาเรื่อย ๆ คนไม่รู้อิโหน่อิเหน่นี่โดนหลอกเอาเงินไปได้ง่าย ๆ เลยหละ
ก็พูดได้เลยว่าความเสี่ยงในวงการนี้มันสูงมาก มีโอกาสโดนหลอกสูง เลยขอใส่คำเตือนที่บอกไว้เสมอและคงจะบอกไว้ตลอดไป
ศึกษาให้เข้าใจก่อนจะทำอะไร และลงเงินเท่าที่เสียได้เท่านั้น
การลง ICO แทบจะเรียกว่าการลงทุนไม่ได้ด้วยซ้ำ ก็อย่าหน้ามืดไปเล่นกับมันเยอะมากครับ สุดท้ายอาจจะเสียหมด ทั้งเงินและสุขภาพ
เตือนเพราะรัก จุ๊บ !