Cách dễ dàng để lừa kiếm 80.000 đô mỗi tháng từ App Store và iOS

Bài viết này được Johnny Lin chia sẻ trên Medium, trong đó kể về việc điều tra một app với doanh thu 80.000$ mỗi tháng từ App Store.

Tại WWDC, Apple đã báo cáo rằng họ phải trả 70 tỷ đô la cho các nhà phát triển, với 30% trong số đó (21 tỷ đô la) được trả vào năm ngoái. Số tiền này tăng đột biến, và gây ngạc nhiên với Lin bởi vì bạn bè của Lin và anh chàng không hề mua nhiều ứng dụng hơn trong năm ngoái, và có vẻ như chúng ta cũng thế. Vì vậy anh ta đã tự hỏi: Các nguồn thu này đến từ đâu? Câu hỏi này sẽ được trả lời trong bài viết, Lin đã đi tìm đáp án cho câu hỏi kiếm 80.000 đô la trên App Store như thế nào. Anh ta đã mở App Store để duyệt qua các ứng dụng có doanh thu cao nhất và phát hiện một ứng dụng VPN, đứng thứ 10. Nhưng thực chất đây chỉ là một app lừa đảo, nó là app VPN mà còn có khả năng quét virus và quét danh bạ để tìm số liên lạc bị trùng nữa chứ! Gói in-app purchase mà app này bán để "bảo mật Internet" có giá tới 100$/tuần, tức là nếu bạn bị dụ mua thì bạn sẽ tốn 400$ mỗi tháng! Thật là điên rồ. Mời bạn đọc qua bài để biết app này trục lợi bằng cách nào, những ứng dụng tương tự nó đang rút tiền từ ví người dùng ra sao, và bạn nên làm gì để không mắc lừa các app như thế này.

Bước 1: Đi kiếm xem app nào kiếm được nhiều tiền nhất

Cách dễ nhất để xem được những app nào đang kiếm tiền khá nhất đó là vào thẻ Top Grossing của App Store. Ở đây ngoài những cái tên quen thuộc như Dropbox, Evernote, Microsoft thì còn có một app xếp hạng thứ 10 với tên rất đáng ngờ: "Mobile protection :Clean & Security VPN". Lưu ý là thông tin này được ghi nhận ngày 7/6/2017.

Chọn app trên iOS

Vì sao cái tên này lại đáng ngờ? Thứ nhất, nó được viết hoa bậy bạ và không thống nhất. Thường thì các nhà phát triển sẽ viết in chữ cái đầu tiên cho mọi chữ trong tên app, đằng này có chữ "protection" nhìn lạ lạ. Thứ hai, nó sai văn phạm tiếng Anh vì danh từ và tính từ được trộn lại với nhau. Chưa hết, dấu : cũng được viết rất kì lạ và sai quy ước thông thường. Trong tiếng Anh thì tên của ứng dụng này hoàn toàn vô nghĩa, sai ngữ pháp. Nghĩ rằng có thể do công cụ xếp hạng có vấn đề, anh chàng đã kiểm tra Sensor Tower để ước tính doanh thu của ứng dụng thì được con số 80.000 đô la? WTF? Có cái gì đó sai sai.

Con số quá lớn đó đã khiến anh chàng bị sốc, click vào thông tin của nhà phát triển: "Ngan Vo Thi Thuy". Nghĩa là đây là một dịch vụ VPN được cung cấp bởi một nhà phát triển độc lập, chứ không phải một công ty? Điều này thực sự đáng quan ngại và nên được gắn "cờ đỏ". Nếu bạn chưa biết tại sao việc này lại xấu thì có thể hiểu như thế này: khi dùng VPN để lướt web thì mọi traffic, dữ liệu bạn truyền tải qua Internet đều phải đi qua máy chủ của dịch vụ VPN đó. Một người viết tên ứng dụng bằng tiếng Anh sai, ứng dụng không rõ ràng, không tên tuổi, có thể truy cập vào mọi dữ liệu Internet của bạn một cách dễ dàng, vậy có ổn không? Các công ty cung cấp VPN thường phải có pháp nhân rõ ràng, có hệ thống bảo mật phức tạp, đăng ký với các cơ quan có thẩm quyền tương ứng. Vậy thì một dịch vụ VPN từ một cá nhân có đáng tin cậy?

Khi nhấn vào app để xem chi tiết mô tả thì mọi chuyện còn tệ hơn. App VPN mà còn có khả năng quét danh bạ trùng, gộp số điện thoại bị lặp, kèm theo là khả năng đổi địa chỉ IP. Thậm chí còn có tính năng "Quick & Full Scan Internet Security" - ai có thể tìm ra được mối liên hệ giữa xóa các số liên lạc trùng lặp với bảo mật Internet? Kéo xuống phần nhận xét thì chỉ có một vài comment chung chung như "OK", "App duyệt virus tốt, khuyên nên xài (!?)" (tiếng Việt). Sai quá sai, quá sai!

Bình luận về ứng dụng VPN

Những comment này chỉ trong vòng 2 tháng gần đây, và theo Sensor Tower thì app VPN này mới lọt top 20 Productivity từ ngày 20/04/2017. Bây giờ thì thực sự là không hề ổn!

Bước 2: Cài app và thử nghiệm

Vừa mở app ra, ngay lần đầu tiên đã thấy tiếp tục có vấn đề. App yêu cầu người dùng chấp thuận cho phép nó quét qua danh bạ, vấn đề là thông báo này tiếp tục mắc lỗi chính tả, và chỉ có duy nhất một tùy chọn Agree (đồng ý). Ngay cả khi bạn không muốn app làm điều này thì bạn cũng không còn lựa chọn nào khác cả.

Cài đặt app để dùng thử

Ở màn hình kế tiếp, app báo rằng thiết bị của tôi đang có rủi ro về bảo mật. Ờ, hẳn rồi. App hiện thêm một chút để chạy "Device Analyze" (sai văn phạm), trong đó có hai lựa chọn quét cả máy, quét nhanh và đảm bảo an toàn cho Internet. Có thể thấy app đang cố bắt chước các ứng dụng quét virus trên máy tính, nhiều khả năng là để tạo sự tin cậy từ phía người dùng để dễ lừa lọc hơn.

App sẽ cố bắt chước các ứng dụng quét virus trên máy tính

Nhấn vào nút "Device Analyze", app chuyển sang chế độ giải phóng dung lượng và bộ nhớ chứ chẳng liên quan gì tới bảo mật hay VPN gì cả. Tất nhiên, bản thân app cũng không thể làm được chuyện đó ngay cả khi chức năng này là thật vì iOS không cho phép.

Khi bạn nhấn cả nút Quick Scan hay Full Scan thì sẽ thấy thông báo như nhau rằng máy bạn không còn danh bạ bị trùng. "Your contact is cleaned. No dupplicated found". Tiếp tục sai chính tả ở chữ "p", dư có 1 chữ thôi chứ cũng không có gì nhiều.

Còn nếu bạn nhấn nút "Secure Internet" thì sao? Một thông báo quảng cáo sẽ hiện ra, có lẽ đây là cách tin tặc cố gắng kiếm thêm được chút ít doanh thu từ quảng cáo. Nhưng thôi, nhấn dấu x để đóng thông báo lại, mình đang cần bảo mật cho Internet của mình mà.

Đây là màn hình tiếp theo:

Thông báo quảng cáo

Màn hình hiển thị một loạt lựa chọn với từ ngữ rất hấp dẫn, dạng như bắt đầu bảo mật ngay hoặc bạn có thể hủy bất kì khi nào bạn muốn. Nếu chạm vào nút "Free Trial", màn hình sẽ hiện ra:

Chọn bảo mật

Touch ID à, OK... Đợi chút, đọc kỹ phát đã.

"Full Virus, Malware scanner": Anh chàng chắc chắn là không có bất kỳ ứng dụng nào quét iPhone của anh để phát hiện virus hoặc phần mềm độc hại, vì các ứng dụng của bên thứ ba được sandboxed vào dữ liệu của riêng chúng, nhưng anh chàng vẫn tiếp tục đọc... "You will pay $99.99 for a 7-day subscription": Mua một ứng dụng với số tiền lên tới 99,99$, thời hạn sử dụng là 7 ngày!!!!! 7 ngày tiêu 100$ cho một ứng dụng như thế này, vị chi 400$ mỗi tháng. Một dòng chữ với phông chữ nhỏ được chèn vào đoạn thông báo, nói với anh chàng rằng chỉ cần chạm vào cảm biến Touch ID một phát là xem như mọi chuyện đã xong, giao dịch sẽ được tiến hành và tiền bị trừ khỏi tài khoản.

Lin cảm thấy may mắn vì đã đọc kỹ mọi thứ trong thông báo.

Bước 3: Vì sao doanh thu lại lớn như vậy?

Thông báo đáng ngờ như vậy, có quá nhiều điểm nghi vấn như thế nhưng vì sao app vẫn có thể kiếm được 80.000$ mỗi tháng? Nếu mỗi người dùng bị lừa 400$/tháng thì tính ra có khoảng 200 người bị dụ một cách dễ dàng. Tổng doanh thu 1 năm của ứng dụng này sẽ là 960.000$, trong đó Apple giữ 30% lại - tương đương 288.000$ - phần còn lại sẽ được chi trả cho người nào đã viết ra app VPN điên rồ này.

Bạn nghĩ con số 200 này là ít? Có thể nó nhỏ thật đấy, nhưng khi bạn nhìn vào bảng xếp hạng app được download nhiều nhất thì "Mobile protection :Clean & Security VPN" đang đứng hạng 144 với khoảng 50.000 lượt tải về chỉ trong tháng 4. Điều đó có nghĩa là số lượng người download về rất lớn, may mắn nhiều người tỉnh táo không bị lừa. Tỉ lệ chuyển đổi khách hàng ở mức 0,4%, hơi thấp, nhưng nếu bạn nhớ lại rằng khoản tiền này sẽ được tính mỗi tuần thì thôi không còn gì để nói nữa rồi.

Câu hỏi bây giờ đó là lúc app mới được đăng lên, vì sao nó có thể đạt được tới 40.000 lượt tải? Có khả năng app này làm rất tốt việc tối ưu cho kết quả tìm kiếm trong App Store. Nếu bạn tìm thử từ khóa "virus scanner", bạn sẽ thấy nằm trong top đầu là những ứng dụng từ các nhà phát triển cá nhân, không phải từ các công ty lớn, và điều này rất đáng báo động.

Thử từ khóa "virus scanner",

Chưa hết, kết quả đầu tiên được chạy quảng cáo là "Protection for iPhone — Mobile Security VPN". Nghe rất quen thuộc đúng không? Cũng là app VPN mà tự nhiên có thêm chức năng bảo mật, và bản "free trial" của app này cũng tồn tại ở dạng in-app purchase với giá 99,99$. Hiện app đang được xếp hạng thứ 33 trong mục Top Grossing của app dành cho doanh nghiệp, tức là có thêm một mớ người dùng nữa đã bị app này lừa đảo. Không loại trừ khả năng chúng do cùng 1 người làm ra.

Hay nếu bạn search thử từ khóa "Wi-Fi", xuất hiện trong quảng cáo là app "WEP Password Generator", nó chỉ làm một nhiệm vụ đơn giản là tạo ra một chuỗi kí tự và đang tính phí người dùng 50$ mỗi tháng. Số liệu cho thấy app này đang kiếm doanh thu 10.000$ mỗi tháng dù chỉ mới được ra mắt từ tháng 4 năm nay. Nhiều ứng dụng lừa đảo tương tự cũng đang xuất hiện trên App Store.

Làm thế nào để phòng tránh?

  • Hãy đọc kĩ những nội dung mà app có khả năng làm được, và đặc biệt cẩn thận trước khi bỏ tiền ra mua bất kì vật phẩm in-app purchase nào. Bạn cần chú ý kĩ với những món có giá trị cao.
  • Nếu không rành, hãy hỏi mọi người bạn nào đó rành hơn, hoặc nếu bạn không đọc được tiếng Anh thì hãy nhờ ai đó dịch ra cho bạn biết món hàng bạn sắp mua là gì, tốn bao nhiêu tiền mỗi tháng.
  • Chú ý tới những câu chữ, cách hành văn, cách viết của app. Những app lừa đảo thường rất cẩu thả ở mặt này và bạn có thể dễ dàng phát hiện ra.
  • Khi thấy một app nào đó có ý định lừa đảo, hãy report cho Apple bằng cách nhấn vào link này: Contact Us. Chọn "Feedback and Concerns" và "Report a Fraud Concern".
  • Chia sẻ bài viết này, hi vọng Apple sẽ thấy nó và khắc phục những vấn đề còn tồn tại trong hệ thống của họ.

Phía Apple có thể làm gì?

  • Trước mắt, Apple có thể nhanh chóng gỡ bỏ những ứng dụng lừa đảo và hoàn tiền lại cho người dùng. Rõ ràng những app này không quá khó để phát hiện ra.
  • Apple cũng cần coi lại quy trình duyệt app, đặc biệt là những ứng dụng tính phí theo kiểu subscription vì chúng có thể trừ tiền người dùng nhiều lần về sau một cách tự động. Một ứng dụng như thế này lọt qua khâu duyệt app là điều không thể chấp nhận.
  • Thông báo rõ ràng hơn khi thanh toán các gói cước.
  • Cho phép ngừng dịch vụ subscription khi bạn gỡ app, bằng cách này người dùng sẽ không tiếp tục bị trừ tiền ngay cả khi họ đã gỡ app ra khỏi điện thoại.
  • Xem xét chặt chẽ hơn với các subscription, làm gì có chuyện thông báo là Free Trial mà khi nhấp vào lại là thanh toán tiền và mua hàng ngay, với mức giá cắt cổ nữa chứ!!!
  • Quản lý quảng cáo trong App Store chặt hơn, loại bỏ những ứng dụng có ý đồ xấu ngay từ đầu, làm nổi bật các ứng dụng được quảng cáo.
  • Đưa ra những hành động pháp lý, phạt tiền để ngăn chặn việc tạo ra những ứng dụng xấu, lừa đảo, thay vì chỉ xóa tài khoản như hiện tại.

Có thể thấy rằng App Store đang giúp các nhà phát triển phát tài, nhưng ngoài những người tốt thì vẫn có những người xấu với ý đồ trục lợi rất rõ ràng. Họ không xứng đáng nhận được khoản tiền đó. Người dùng thì xứng đáng có được một trải nghiệm duyệt, mua sắm app an toàn và đáp ứng đúng nhu cầu của họ thay vì phải chấp nhận hi sinh và đành cắn răng chịu đựng khi có thiệt hại gì đó về mình. Apple hãy nhanh chóng làm gì đó đi.

Nguồn: Medium + Tinh tế​

Thứ Ba, 13/06/2017 13:29
52 👨 3.673
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng