Business Email Compromise (BEC) คืออะไร? เมื่ออีเมลปลอมสั่งโอนเงินธุรกิจคุณ

Business Email Compromise (BEC) คืออะไร? เมื่ออีเมลปลอมสั่งโอนเงินธุรกิจคุณ

Business Email Compromise (BEC) คืออะไร? เมื่ออีเมลปลอมสั่งโอนเงินธุรกิจคุณ

สถานการณ์ที่ SME เจอได้จริง

บ่ายวันศุกร์ ฝ่ายบัญชีได้รับอีเมลจาก “กรรมการผู้จัดการ” ที่กำลังเดินทางไปต่างประเทศ ข้อความสั้นๆ ว่า

“ด่วน ช่วยโอนเงินมัดจำให้ Supplier เจ้าใหม่ 850,000 บาท ตามใบแจ้งหนี้แนบ ผมติดประชุมโทรไม่สะดวก” ลายเซ็นอีเมลถูกต้องทุกตัวอักษร โทนการเขียนก็คุ้นเคย

ฝ่ายบัญชีโอนเงินให้ทันที เพราะ “เจ้านายสั่งเอง”

สามวันต่อมาเมื่อกรรมการผู้จัดการตัวจริงกลับจากทริป ถึงรู้ว่าไม่เคยส่งอีเมลฉบับนั้น — เงิน 850,000 บาทได้โอนเข้าบัญชีมิจฉาชีพไปแล้ว และไม่สามารถเรียกคืนได้

นี่คือ Business Email Compromise (BEC) ภัยไซเบอร์ที่สร้างความเสียหายทางการเงินสูงที่สุดประเภทหนึ่ง เพราะไม่ต้องแฮกระบบเลยแม้แต่นิดเดียว แค่หลอกให้ “คนโอนเงินเอง”

Business Email Compromise คืออะไร?

BEC คือการโจมตีที่แฮกเกอร์ปลอมตัวเป็นผู้บริหาร, เจ้าของธุรกิจ, หรือ Supplier ที่น่าเชื่อถือ ผ่านทางอีเมล เพื่อหลอกให้พนักงานโอนเงินหรือเปิดเผยข้อมูลสำคัญ

ต่างจาก Phishing ทั่วไปตรงที่ BEC ไม่มีลิงก์ปลอมหรือมัลแวร์แนบมาให้สังเกต — เป็นแค่ข้อความล้วนๆ ที่อาศัยความไว้ใจ ความเร่งด่วน และตำแหน่งอำนาจของผู้ส่ง (สมมติ) เป็นอาวุธ ทำให้ Email Filter ทั่วไปตรวจจับได้ยากกว่า Phishing แบบมีลิงก์มาก

สถิติที่น่าตกใจ

  • BEC สร้างความเสียหายกว่า 2,900 ล้านดอลลาร์สหรัฐต่อปีทั่วโลก สูงที่สุดในบรรดา Cybercrime ทุกประเภท (FBI IC3 Report)
  • ความเสียหายเฉลี่ยต่อเหตุการณ์สูงกว่า Ransomware เพราะเป็นการโอนเงินสดโดยตรง ไม่ใช่ค่าไถ่ที่ต่อรองได้
  • SME คือเป้าหมายหลัก เพราะกระบวนการอนุมัติจ่ายเงินมักไม่มีการ Cross-check หลายชั้นเหมือนองค์กรใหญ่
  • กว่า 70% ของเหยื่อไม่สามารถเรียกเงินคืนได้แม้แจ้งธนาคารทันที

รูปแบบของ BEC ที่ SME ไทยเจอบ่อย

รูปแบบวิธีการเป้าหมาย
CEO Fraudปลอมเป็นผู้บริหารสั่งโอนเงินด่วนฝ่ายบัญชี/การเงิน
Fake Invoice / Supplier Swapปลอมเป็น Supplier แจ้งเปลี่ยนเลขบัญชีฝ่ายจัดซื้อ/บัญชี
Payroll Diversionปลอมเป็นพนักงานขอเปลี่ยนบัญชีรับเงินเดือนฝ่าย HR/บัญชีเงินเดือน
Attorney/Legal Impersonationปลอมเป็นทนายเร่งโอนเงินเรื่องด่วนลับผู้บริหารระดับสูง
Data Theft BECปลอมเป็นผู้บริหารขอข้อมูลพนักงานHR

ทำไม BEC ถึงหลอกคนได้ง่ายกว่าที่คิด

1. ใช้ Domain Spoofing หรือ Look-alike Domain

อีเมลผู้ส่งอาจดูคล้ายของจริงมาก เช่น บริษัทจริงใช้ @company.com แต่มิจฉาชีพจดโดเมนคล้ายกันอย่าง @compqny.com หรือ @company-th.com ซึ่งคนอ่านผ่านๆ มักไม่ทันสังเกต

2. แฮกอีเมลจริงได้ (Account Takeover)

บางกรณีร้ายแรงกว่านั้นคือแฮกเกอร์เข้าบัญชีอีเมลจริงของผู้บริหารหรือ Supplier ได้สำเร็จ (มักผ่าน Phishing มาก่อน) แล้วส่งอีเมลจากบัญชีจริงเลย — กรณีนี้ตรวจจับยากที่สุดเพราะทุกอย่างคือของจริง 100%

3. อาศัยจังหวะและความเร่งรีบ

มักเลือกส่งช่วงบ่ายวันศุกร์ ก่อนวันหยุดยาว หรือช่วงที่ผู้บริหารตัวจริงเดินทาง/ประชุม เพื่อให้พนักงานรีบตัดสินใจโดยไม่ทันยืนยัน

4. ศึกษาโครงสร้างองค์กรมาก่อน (Social Engineering)

มิจฉาชีพมักหาข้อมูลจาก LinkedIn, เว็บไซต์บริษัท หรือข่าวประชาสัมพันธ์ เพื่อรู้ว่าใครเป็นผู้บริหาร ใครดูแลการเงิน และเขียนอีเมลให้สมจริงที่สุด

8 สัญญาณเตือน BEC ที่ต้องสังเกตให้ออก

  1. ที่อยู่อีเมลผู้ส่งผิดเพี้ยนเล็กน้อย — ตรวจสอบ Domain ให้ละเอียด ไม่ใช่แค่ชื่อที่แสดง
  2. ขอให้ “เก็บเป็นความลับ” หรือ “อย่าคุยกับใคร” — ผู้บริหารจริงแทบไม่เคยขอให้ปกปิดธุรกรรมทางการเงิน
  3. เร่งด่วนผิดปกติและกดดันเรื่องเวลา
  4. ขอเปลี่ยนบัญชีปลายทางกะทันหัน
  5. โทนภาษาหรือลายเซ็นอีเมลผิดจากปกติ
  6. ไม่สามารถติดต่อกลับทางโทรศัพท์ได้
  7. คำขอไม่ตรงกับกระบวนการอนุมัติปกติของบริษัท
  8. Reply-To Address ไม่ตรงกับผู้ส่ง

Checklist: ก่อนโอนเงินตามคำขอทางอีเมลทุกครั้ง

  • ยืนยันด้วยช่องทางที่สอง (Two-Channel Verification) — โทรกลับด้วยเบอร์ที่มีอยู่แล้วในระบบ ไม่ใช่เบอร์ที่แนบมาในอีเมล
  • ตรวจสอบ Domain ผู้ส่งอย่างละเอียดทุกตัวอักษร
  • เช็คกับกระบวนการอนุมัติปกติของบริษัทว่าครบขั้นตอนหรือไม่
  • สงสัยไว้ก่อนหากมีการขอเปลี่ยนบัญชีธนาคารกะทันหัน
  • ปรึกษาเพื่อนร่วมงานอีกคนก่อนตัดสินใจ โดยเฉพาะยอดเงินก้อนใหญ่

วิธีป้องกันธุรกิจจาก BEC

สำหรับองค์กร SME

1. ตั้ง Policy “ยืนยัน 2 ช่องทางเสมอ” สำหรับการโอนเงินหรือเปลี่ยนบัญชี — ไม่ว่าจะเร่งด่วนแค่ไหน คำขอโอนเงินหรือเปลี่ยนบัญชีปลายทางต้องยืนยันด้วยโทรศัพท์หรือพบหน้าเสมอ

2. เปิดใช้ MFA บนอีเมลผู้บริหารและฝ่ายการเงินทุกคน — ป้องกัน Account Takeover ซึ่งเป็นกรณี BEC ที่อันตรายที่สุด (ดูบทความ MFA ประกอบ)

3. ใช้ Email Security Gateway ที่ตรวจจับ Domain Spoofing — ตั้งค่า DMARC/SPF/DKIM เพื่อบล็อกอีเมลปลอมจาก Look-alike Domain

4. อบรมพนักงานฝ่ายบัญชีและจัดซื้อโดยเฉพาะ — ฝ่ายที่มีอำนาจอนุมัติการเงินคือเป้าหมายหลักของ BEC

5. จำกัดข้อมูลที่เปิดเผยต่อสาธารณะ — ระวังการโพสต์ตารางเดินทางผู้บริหารหรือโครงสร้างองค์กรบน Social Media

6. ใช้ Password Manager คู่กับ MFA — ลดความเสี่ยง Account Takeover จากรหัสผ่านที่ใช้ซ้ำ

สำหรับพนักงานทุกคน

  • อย่ารีบโอนเงินเพียงเพราะอีเมลดูเร่งด่วนหรือมาจาก “เจ้านาย”
  • ยืนยันเสมอผ่านช่องทางที่สองก่อนทำธุรกรรมการเงินทุกครั้ง
  • หากไม่แน่ใจ ปรึกษาหัวหน้าหรือเพื่อนร่วมงานก่อนตัดสินใจ ดีกว่าเสียใจภายหลัง

ถ้าตกเป็นเหยื่อ BEC แล้ว ต้องทำอะไรทันที?

ภายใน 1 ชั่วโมงแรก

  • ติดต่อธนาคารทันทีเพื่อขออายัดเงิน (Recall/Freeze) — ยิ่งเร็วยิ่งมีโอกาสกู้เงินคืนได้
  • แจ้งความที่สถานีตำรวจหรือผ่านสายด่วนตำรวจไซเบอร์ 1441
  • แจ้งทีม IT/ผู้ดูแลระบบ ตรวจสอบว่าอีเมลถูกแฮกจริงหรือเป็นแค่ Domain Spoofing
  • เก็บหลักฐานอีเมลต้นฉบับทั้งหมด (Header, ไฟล์แนบ) ไว้ประกอบการแจ้งความ

ภายใน 24 ชั่วโมง

  1. เปลี่ยนรหัสผ่านอีเมลที่เกี่ยวข้องทั้งหมดและเปิด MFA
  2. ตรวจสอบ Log การเข้าสู่ระบบอีเมลว่ามีการเข้าจากที่ไม่ปกติหรือไม่
  3. แจ้งคู่ค้า/Supplier ที่เกี่ยวข้องว่าอาจมีการปลอมแปลงอีเมลบริษัท
  4. ทบทวนกระบวนการอนุมัติจ่ายเงินภายในทันทีเพื่อป้องกันไม่ให้เกิดซ้ำ

FAQ: คำถามที่ SME ถามบ่อย

Q: BEC ต่างจาก Phishing ทั่วไปอย่างไร? A: Phishing มักมีลิงก์ปลอมหรือไฟล์แนบอันตรายให้สังเกต ส่วน BEC เป็นข้อความล้วนๆ ที่อาศัยการปลอมตัวเป็นบุคคลที่น่าเชื่อถือ ไม่มีอะไรให้ระบบ Filter ตรวจจับได้ง่าย

Q: มี MFA แล้วยังเสี่ยง BEC ไหม? A: ลดความเสี่ยงได้มาก โดยเฉพาะกรณี Account Takeover แต่ยังต้องมี Policy “ยืนยัน 2 ช่องทาง” สำหรับการโอนเงินคู่ไปด้วย

Q: เงินที่โอนไปแล้วเรียกคืนได้ไหม? A: มีโอกาสถ้าแจ้งธนาคารเร็วมากภายในไม่กี่ชั่วโมง แต่ยิ่งช้าโอกาสยิ่งลดลงมาก

Q: ธุรกิจเล็กๆ จะโดน BEC ไหม? A: เจอได้เสมอ เพราะมิจฉาชีพเลือกเป้าหมายจากกระบวนการอนุมัติที่หละหลวม ไม่ใช่แค่ขนาดของธุรกิจ

Q: ควรเชื่ออีเมลจาก Supplier ที่ขอเปลี่ยนบัญชีธนาคารไหม? A: ไม่ควรเชื่อทันที ต้องโทรยืนยันกับ Supplier โดยตรงผ่านเบอร์ที่มีอยู่แล้วก่อนโอนเงินทุกครั้ง

ติดต่อ Skysoft ได้เลย — ทีมงานพร้อมตอบทุกคำถามโดยไม่มีค่าใช้จ่าย
พร้อมประเมินความเสี่ยงด้านความปลอดภัยขององค์กรของคุณหรือยัง?
ติดต่อทีมผู้เชี่ยวชาญ WatchGuard เพื่อรับคำแนะนำเฉพาะสำหรับธุรกิจของคุณได้วันนี้
หากท่านสนใจทดลองใช้สามารถ  ลงทะเบียนเพื่อขอทดลองได้ฟรี 30 วัน
 

Credit https://www.watchguard.com

Leave a Reply

Your email address will not be published. Required fields are marked *