Lợi dụng sơ hở của Apple Store, 1 vài người Việt đang lừa đảo hơn 80.000 USD/tháng
- thành nguyễn
- •
Bài viết dịch lại từ blog của tác giả Johnny Lin trên Medium mô tả cách anh tìm thấy một ứng dụng lừa đảo nhưng hiện kiếm được rất nhiều tiền từ Apple.
Tại WWDC, Apple nói họ đã trả 70 tỷ USD cho các nhà phát triển ứng dụng, 30% trong số đó (21 tỷ USD) đã trả trong năm ngoái.
Đó là sự gia tăng đột biến và gây ngạc nhiên với tôi, bởi trong năm ngoái tôi không thấy mình và bạn bè đã tiêu nhiều hơn vào các ứng dụng. Nhưng đó chỉ là cảm nhận của tôi, vì vậy tôi tự hỏi: Các nguồn thu này đến từ đâu? Tôi đã mở App Store để duyệt qua các ứng dụng có doanh thu cao nhất.
Bước 1: Đi theo dòng tiền
Tôi cuộn xuống danh sách trong mục Productivity và thấy ứng dụng từ các công ty nổi tiếng như Dropbox, Evernote và Microsoft. Điều này là bình thường. Nhưng cái gì đây? Ứng dụng số 10 trong danh sách Top Grossing Productivity (Sản phẩm thu nhập hàng đầu) (tính đến ngày 7/6/2017) là một ứng dụng mang tên “Mobile protection :Clean & Security VPN” (Bảo vệ thiết bị di động: Mạng sạch và VPN bảo mật).
Với tiêu đề theo tôi là khủng khiếp của ứng dụng này (viết hoa không nhất quán, sai dấu hai chấm, và “Clean & Security VPN” – vô nghĩa về ngữ pháp), tôi chắc chắn đây là một lỗi trong thuật toán xếp hạng. Vì vậy, tôi kiểm tra Sensor Tower để ước tính doanh thu của ứng dụng, và thấy nó kiếm được đến… 80.000 USD mỗi tháng? Điều đó không thể nào, và bây giờ tôi thực sự tò mò.
Tôi vào chi tiết ứng dụng và thấy ghi nhà phát triển là “Ngan Vo Thi Thuy”. Khoan đã, đây là một dịch vụ VPN được cung cấp bởi một nhà phát triển độc lập chứ không phải là một công ty? Đây rõ ràng là một sự nguy hại.
Nếu bạn không biết tại sao nó tồi tệ thì thế này, một VPN về cơ bản sẽ định tuyến toàn bộ lưu lượng truy cập internet của bạn thông qua một máy chủ bên thứ ba. Vì vậy trong trường hợp này – một người mà không thể đặt tựa đề đúng ngữ pháp, cũng không thành lập công ty – yêu cầu truy cập vào tất cả lưu lượng internet của bạn.
Một nguy hiểm khác là mô tả khủng khiếp đến nực cười của ứng dụng này:
Theo đó, “Mobile protection :Clean & Security VPN” có đầy đủ tính năng (Full of features), như “Mobile protection” gồm bảo vệ bạn khỏi các danh bạ “trùng lặp”. Và tính năng “scans” được tuyên bố là “Quick & Full Scan Internet Security”. Tôi đố cái cả Internet này có thể tìm ra mối quan hệ giữa Internet Security và các danh bạ trùng lặp.
Và với những điểm nguy hiểm này, tôi đã không tải ứng dụng vội. Tôi kiểm tra phần đánh giá (reviews) và toàn những 5 sao giả mạo:
Dựa trên thời gian đánh giá, tôi lại có thêm câu hỏi: Ứng dụng này đã được đăng lên kho App Store khi nào.
Và theo Sensor Tower, “Mobile protection :Clean & Security VPN” đã nằm trong top 20 ứng dụng có thu nhập tăng trưởng nhanh ít nhất là từ ngày 20/4, tức chỉ trong 2 tháng.
Bước 2: Những hành vi lừa đảo
Với sự tò mò về ứng dụng có doanh thu hàng đầu này, tôi đã tải nó xuống. Và dưới đây là những gì xảy ra khi tôi mở nó lần đầu tiên:
Vâng, đúng như hình trên, “This app need to cccess to your Contact to scan your Contact first.” (bạn chú ý chữ access còn viết thiếu cả chữ ‘a’)
Và chỉ có một tuỳ chọn là bấm vào Agree, tiếp theo iOS yêu cầu tôi phải cấp quyền vào danh bạ của mình. Tôi đã không chọn lựa điều này.
>> Apple bắt tay với Trung Quốc: Cấm quảng cáo iPhone trên một số tờ báo tiếng Hoa
Khi đã bỏ qua, ứng dụng này lại thông báo là thiết bị của tôi đang gặp nguy hiểm. Dĩ nhiên rồi vì tôi đã thử cài chính ứng dụng nguy hiểm mày.
Nó cũng cho biết là sẵn sàng để “Device Analyze”, quét Quick and Full Scan, và bảo mật kết nối internet của mình (!)
Tôi bấm vào Device Analyze, nó cho tôi thấy bộ nhớ còn trống trên iPhone và dung lượng lưu trữ, một tính năng thực sự vô dụng.
Tiếp tục bấm vào Quick Scan và Full Scan, nó cho tôi dòng “Your contact is cleaned. No dupplicated found.”
Và bạn cũng nên chú ý thông báo, từ dupplicated đã dư 1 chữ “p”.
Cuối cùng tôi thử bấm vào nút Secure Internet và đây là kết quả.
Như hình trên bạn thấy, ứng dụng mời gọi tôi chơi trò chơi … bắn bong bóng mà không cần cài đặt???
Tôi không chắc lắm mình đã làm gì để nhận được phần quà bất ngờ này, nhưng giờ thì không có thời gian cho nó, tôi bấm vào nút X, dưới đây là hình tiếp theo.
Hào phóng làm sao. Thiết kế thật đẹp. Đầy tính lừa đảo.
Tôi tiếp tục thử chọn “Instantly use full of smart anti-virus” bằng cách bấm vào nút “FREE TRIAL”. Dù sao nó cũng ghi là miễn phí mà.
Và như hình dưới đây:
Chỉ cần chạm ngón tay đã đăng ký Touch ID, tôi sẽ phải trả 99,99 USD cho việc đăng ký trong 7 ngày…
Và dĩ nhiên tôi đã không lựa chọn, một khoản chi phí điên rồ cho chỉ 1 tuần, mà chỉ cần chạm ngón tay vào cảm biến là thanh toán…
Dòng chữ rất nhỏ nhưng có thể làm tôi mất đến 400 USD/tháng và giao toàn bộ lưu lượng Internet của mình tới một kẻ lừa đảo, mà chỉ cách có một cú chạm Touch ID mà thôi.
Bước thứ 3: Tất cả chỉ nhằm kiếm tiền quảng cáo
Tôi bỗng hiểu ra ứng dụng này làm thế nào kiếm về đến 80.000 USD một tháng. Ở mức 400 USD/tháng cho mỗi người, chỉ cần ứng dụng này lừa đảo 200 người thì số tiền đã là 80.000 USD/tháng, hoặc 960.000USD/năm.
Trong số tiền đó, Apple nhận được 30%, tức 288.000 USD – chỉ từ một ứng dụng này.
Bạn có thể không tin, có lẽ bạn sẽ không tải nó. Riêng tôi chắc chắn là không. Nhưng tôi cũng chưa bao giờ nhấp vào một Quảng cáo nào từ Google, vậy mà Google bằng cách nào đó đã kiếm được từ Adwords con số lên đến 700 tỷ USD.
“Mobile protection :Clean & Security VPN” hiện đang xếp thứ 144 trong những ứng dụng miễn phí được tải xuống nhiều nhất trong App Store, với khoảng 50.000 lượt tải vào tháng Tư.
Để có được 200 người đăng ký từ 50.000 lượt tải xuống, họ chỉ cần 0,4% người dùng nhấn “đồng ý” chi tiền – hoặc thậm chí còn ít hơn, bởi vì các đăng ký này sẽ tự động gia hạn, do đó người dùng sẽ trả tiền liên tục từ tháng này qua tháng nọ.
Bạn có thể nghĩ ra bao nhiều người họ hàng không rành công nghệ của bạn vô tình (hoặc thậm chí cố ý) đăng ký “dùng thử miễn phí” này để bảo vệ iPad khỏi virus?
>> Quảng cáo tác động đến tiềm thức: Cách bảo vệ tâm trí bạn khỏi bị thao túng
Nhưng làm thế nào để ứng dụng này có được 50.000 lượt tải về đầu tiên? Tôi nhớ đã đọc rằng phần lớn các ứng dụng được tìm thấy thông qua tìm kiếm trong cửa hàng ứng dụng. Vì vậy, có thể ứng dụng này bằng cách nào đó đã thực hiện tốt phần tối ưu tìm kiếm. Tôi đã thử tìm kiếm cửa hàng ứng dụng cho từ khoá “virus scanner”
Kết quả đầu tiên như hình trên, là một quảng cáo cho ứng dụng “Protection for iPhone — Mobile Security VPN”.
Cái tên nghe có vẻ rất tương đồng với app phía trên. Không phải cùng ứng dụng, nhưng ứng dụng này (lại 1 cái tên Việt Nam đăng ký) cũng có In-App Purchase và “Free Trial to Premium Protection” với giá 99,99 USD, và nó xếp hạng #33 có doanh thu cao nhất ở danh mục ứng dụng Business.
Hóa ra những kẻ lừa đảo đã lạm dụng Quảng cáo Tìm kiếm tại App Store, một tính năng tương đối mới và chưa hoàn thiện của Apple. Họ đang lợi dụng việc không có quy trình lọc hoặc kiểm duyệt cho quảng cáo, và quảng cáo hầu như không thể phân biệt được với kết quả thực sự. Một số quảng cáo chiếm toàn bộ trang đầu tiên của kết quả tìm kiếm.
Sau đó, tôi đào sâu tìm hiểu và thấy đây không phải là trường hợp cá biệt – chúng khá phổ biến trong danh sách doanh thu hàng đầu của cửa hàng ứng dụng. Và điều này không chỉ xảy ra với các từ khóa bảo mật. Có vẻ như những kẻ lừa đảo đang đặt giá thầu cho nhiều từ khóa khác. Dưới đây là tìm kiếm cho từ “wifi”:
Kết quả đầu tiên là quảng cáo cho “Trình tạo mật khẩu WEP”, một bộ tạo chuỗi ngẫu nhiên đơn giản, tính phí 50 USD/tháng. Nó đã kiếm được 10.000 USD mỗi tháng, mặc dù mới được đưa lên vào tháng Tư. Nó có thể là một bản sao của ứng dụng này, có thể trò lừa này đã trở nên quá lớn nên nhiều kẻ lừa đảo đang sao chép lẫn nhau.
Bạn có thể làm gì để khắc phục
Trước hết nếu bạn là một nhà lập trình, người có đạo đức chưa qua trung bình thì xin chúc mừng, bạn đã học được một cách tương đối dễ dàng kiếm được hàng chục ngàn USD trên App Store của Apple – ít nhất là cho đến khi họ thay đổi điều gì đó.
Nếu không, đây là một vài gợi ý:
- Hãy dạy những người ít hiểu biết về công nghệ, người thân của bạn, để họ biết cách kiểm tra và vô hiệu hóa việc đăng ký. Nếu họ bị lừa tiền, hãy giúp họ yêu cầu hoàn tiền lại.
- Báo cáo ứng dụng lừa đảo khi bạn nhìn thấy chúng bằng biểu mẫu Contact Us của iTunes, chọn “Feedback and Concerns” (Phản hồi và lo ngại) và “Report a Fraud Concern”(Báo cáo mối lo ngại về lừa đảo).
- Chia sẻ bài viết này qua mạng xã hội cho đến khi Apple sửa lỗi
Những gì Apple nên làm
Khó mà tin rằng Apple không biết vấn đề này, vì những ứng dụng này không phải những con cá nhỏ – tất cả đều nằm trong danh sách hàng đầu trên App Store. Có thể họ chỉ đơn giản không xem đó là một vấn đề đủ lớn để đi giải quyết, hoặc đây tình cờ lại là vấn đề mang tới lợi nhuận cho nền tảng App Store và tìm kiếm quảng cáo của họ. Dù sao đi nữa, dưới đây là một số đề xuất:
- Loại bỏ kẻ lừa đảo và hoàn lại tiền: Đơn giản nhất là chỉ cần thuê ai đó chủ động và thường xuyên duyệt các ứng dụng hàng đầu và loại bỏ các trò gian lận. Như đã nói, những điều này không khó để phát hiện. Và đối với những người bị lừa thì Apple cần tự động và hoàn trả đầy đủ những khoản thanh toán trước đó.
- Cải thiện Giao diện người dùng và đăng kí Touch ID: Không sử dụng chữ quá nhỏ với giá tiền chìm trong đó. Giá tiền nên nổi bật hơn nhiều, có thể yêu cầu bắt buộc chờ 5 giây trước khi thực hiện mua hàng. Tại đây có thể hiển thị xếp hạng/ đánh giá hữu ích/ đánh giá gần nhất của ứng dụng để người dùng quyết định có nên mua hay không.
- Lọc nghiêm ngặt những đánh giá: Làm sao Apple lại phê duyệt cho đăng lên những ứng dụng như “Full Virus, Malware Scanner” với giá tới 400 USD/tháng? Có ai đang phê duyệt hay không? Chỉ nghĩ thôi đã thấy không thể tin được.
- Nhắc nhở xóa đăng ký trước khi xoá ứng dụng: Nhiều người đánh giá 1 sao về các ứng dụng lừa đảo cho biết họ đã bị tính phí ngay cả khi đã xóa ứng dụng. Đối với hầu hết người dùng, đáng lẽ là nên như thế – vậy tại sao nó lại không hoạt động như vậy? Khi người dùng xóa ứng dụng, hãy hỏi rằng liệu họ có muốn hủy đăng ký (để không bị trừ tiền). Tất nhiên, hãy xác nhận lại lần nữa để họ không vô tình huỷ các dịch vụ đàng hoàng khác.
- Dễ dàng huỷ đăng ký: Đăng ký rất khó để hủy bỏ, như thể Apple có vẻ cố ý làm cho nó khó khăn. Trên iOS 10, việc hủy đăng ký thực sự là một quy trình 9 bước. Ngay cả việc cài đặt một bàn phím từ bên thứ ba còn dễ hơn (sáu bước). Apple nên làm cho đơn giản hơn. Và nút “Báo cáo vấn đề” nhỏ nhỏ trên email hóa đơn là không đủ. (Tôi thực sự không thể đòi hoàn tiền từ một trong những đăng ký lừa đảo, ngay cả thông qua các liên kết chính thức của Apple.)
- Ngăn chặn Quảng cáo tìm kiếm gian lận: Một phần lý do các vụ lừa đảo này thành công là tính năng mới Store Search Ads. Nhiều người dùng thường xuyên có thể thậm chí không biết họ đang nhấn vào quảng cáo. Ít nhất Apple nên xem xét quảng cáo về các gian lận tiềm ẩn trước khi chạy chúng (Facebook và Google đều làm điều này) và hiển thị rõ rằng kết quả trên cùng là quảng cáo.
- Phạt tiền và có hành động pháp lý: Hiện tại hầu như không có rao cản nào để ngăn các nhà phát triển xây dựng ứng dụng lừa đảo. Điều tồi tệ nhất có thể xảy ra là tài khoản của họ bị xóa – không thành vấn đề, bởi họ vẫn giữ được lợi nhuận phi pháp, và họ vẫn có thể tạo một tài khoản mới và làm lại. Nên ngăn chặn bằng cách phạt tiền và có hành động pháp lý.
Một ứng dụng tốt đòi hỏi kỹ năng thiết kế, kỹ thuật và bán hàng, cũng như sự cống hiến và công sức. Vì vậy, thật đáng thất vọng khi biết rằng một số nhà phát triển đang kiếm tiền một cách dễ dàng và phi đạo đức – chỉ tốn vài giờ viết code các ứng dụng giả mạo với chức năng hoàn toàn là để ăn cắp từ người dùng cả tin.
Theo Medium,
Bản dịch của Thành Nguyễn/techsignin.com
Xem thêm:
Từ khóa An ninh mạng lừa đảo ứng dụng di động đạo đức nghề nghiệp Công ty Apple