Business Email Compromise (BEC) คืออะไร? เมื่ออีเมลปลอมสั่งโอนเงินธุรกิจคุณ
สถานการณ์ที่ SME เจอได้จริง
บ่ายวันศุกร์ ฝ่ายบัญชีได้รับอีเมลจาก “กรรมการผู้จัดการ” ที่กำลังเดินทางไปต่างประเทศ ข้อความสั้นๆ ว่า
“ด่วน ช่วยโอนเงินมัดจำให้ Supplier เจ้าใหม่ 850,000 บาท ตามใบแจ้งหนี้แนบ ผมติดประชุมโทรไม่สะดวก” ลายเซ็นอีเมลถูกต้องทุกตัวอักษร โทนการเขียนก็คุ้นเคย
ฝ่ายบัญชีโอนเงินให้ทันที เพราะ “เจ้านายสั่งเอง”
สามวันต่อมาเมื่อกรรมการผู้จัดการตัวจริงกลับจากทริป ถึงรู้ว่าไม่เคยส่งอีเมลฉบับนั้น — เงิน 850,000 บาทได้โอนเข้าบัญชีมิจฉาชีพไปแล้ว และไม่สามารถเรียกคืนได้
นี่คือ Business Email Compromise (BEC) ภัยไซเบอร์ที่สร้างความเสียหายทางการเงินสูงที่สุดประเภทหนึ่ง เพราะไม่ต้องแฮกระบบเลยแม้แต่นิดเดียว แค่หลอกให้ “คนโอนเงินเอง”
Business Email Compromise คืออะไร?
BEC คือการโจมตีที่แฮกเกอร์ปลอมตัวเป็นผู้บริหาร, เจ้าของธุรกิจ, หรือ Supplier ที่น่าเชื่อถือ ผ่านทางอีเมล เพื่อหลอกให้พนักงานโอนเงินหรือเปิดเผยข้อมูลสำคัญ
ต่างจาก Phishing ทั่วไปตรงที่ BEC ไม่มีลิงก์ปลอมหรือมัลแวร์แนบมาให้สังเกต — เป็นแค่ข้อความล้วนๆ ที่อาศัยความไว้ใจ ความเร่งด่วน และตำแหน่งอำนาจของผู้ส่ง (สมมติ) เป็นอาวุธ ทำให้ Email Filter ทั่วไปตรวจจับได้ยากกว่า Phishing แบบมีลิงก์มาก
สถิติที่น่าตกใจ
- BEC สร้างความเสียหายกว่า 2,900 ล้านดอลลาร์สหรัฐต่อปีทั่วโลก สูงที่สุดในบรรดา Cybercrime ทุกประเภท (FBI IC3 Report)
- ความเสียหายเฉลี่ยต่อเหตุการณ์สูงกว่า Ransomware เพราะเป็นการโอนเงินสดโดยตรง ไม่ใช่ค่าไถ่ที่ต่อรองได้
- SME คือเป้าหมายหลัก เพราะกระบวนการอนุมัติจ่ายเงินมักไม่มีการ Cross-check หลายชั้นเหมือนองค์กรใหญ่
- กว่า 70% ของเหยื่อไม่สามารถเรียกเงินคืนได้แม้แจ้งธนาคารทันที
รูปแบบของ BEC ที่ SME ไทยเจอบ่อย
| รูปแบบ | วิธีการ | เป้าหมาย |
| CEO Fraud | ปลอมเป็นผู้บริหารสั่งโอนเงินด่วน | ฝ่ายบัญชี/การเงิน |
| Fake Invoice / Supplier Swap | ปลอมเป็น Supplier แจ้งเปลี่ยนเลขบัญชี | ฝ่ายจัดซื้อ/บัญชี |
| Payroll Diversion | ปลอมเป็นพนักงานขอเปลี่ยนบัญชีรับเงินเดือน | ฝ่าย HR/บัญชีเงินเดือน |
| Attorney/Legal Impersonation | ปลอมเป็นทนายเร่งโอนเงินเรื่องด่วนลับ | ผู้บริหารระดับสูง |
| Data Theft BEC | ปลอมเป็นผู้บริหารขอข้อมูลพนักงาน | HR |
ทำไม BEC ถึงหลอกคนได้ง่ายกว่าที่คิด
1. ใช้ Domain Spoofing หรือ Look-alike Domain
อีเมลผู้ส่งอาจดูคล้ายของจริงมาก เช่น บริษัทจริงใช้ @company.com แต่มิจฉาชีพจดโดเมนคล้ายกันอย่าง @compqny.com หรือ @company-th.com ซึ่งคนอ่านผ่านๆ มักไม่ทันสังเกต
2. แฮกอีเมลจริงได้ (Account Takeover)
บางกรณีร้ายแรงกว่านั้นคือแฮกเกอร์เข้าบัญชีอีเมลจริงของผู้บริหารหรือ Supplier ได้สำเร็จ (มักผ่าน Phishing มาก่อน) แล้วส่งอีเมลจากบัญชีจริงเลย — กรณีนี้ตรวจจับยากที่สุดเพราะทุกอย่างคือของจริง 100%
3. อาศัยจังหวะและความเร่งรีบ
มักเลือกส่งช่วงบ่ายวันศุกร์ ก่อนวันหยุดยาว หรือช่วงที่ผู้บริหารตัวจริงเดินทาง/ประชุม เพื่อให้พนักงานรีบตัดสินใจโดยไม่ทันยืนยัน
4. ศึกษาโครงสร้างองค์กรมาก่อน (Social Engineering)
มิจฉาชีพมักหาข้อมูลจาก LinkedIn, เว็บไซต์บริษัท หรือข่าวประชาสัมพันธ์ เพื่อรู้ว่าใครเป็นผู้บริหาร ใครดูแลการเงิน และเขียนอีเมลให้สมจริงที่สุด
8 สัญญาณเตือน BEC ที่ต้องสังเกตให้ออก
- ที่อยู่อีเมลผู้ส่งผิดเพี้ยนเล็กน้อย — ตรวจสอบ Domain ให้ละเอียด ไม่ใช่แค่ชื่อที่แสดง
- ขอให้ “เก็บเป็นความลับ” หรือ “อย่าคุยกับใคร” — ผู้บริหารจริงแทบไม่เคยขอให้ปกปิดธุรกรรมทางการเงิน
- เร่งด่วนผิดปกติและกดดันเรื่องเวลา
- ขอเปลี่ยนบัญชีปลายทางกะทันหัน
- โทนภาษาหรือลายเซ็นอีเมลผิดจากปกติ
- ไม่สามารถติดต่อกลับทางโทรศัพท์ได้
- คำขอไม่ตรงกับกระบวนการอนุมัติปกติของบริษัท
- Reply-To Address ไม่ตรงกับผู้ส่ง
Checklist: ก่อนโอนเงินตามคำขอทางอีเมลทุกครั้ง
- ยืนยันด้วยช่องทางที่สอง (Two-Channel Verification) — โทรกลับด้วยเบอร์ที่มีอยู่แล้วในระบบ ไม่ใช่เบอร์ที่แนบมาในอีเมล
- ตรวจสอบ Domain ผู้ส่งอย่างละเอียดทุกตัวอักษร
- เช็คกับกระบวนการอนุมัติปกติของบริษัทว่าครบขั้นตอนหรือไม่
- สงสัยไว้ก่อนหากมีการขอเปลี่ยนบัญชีธนาคารกะทันหัน
- ปรึกษาเพื่อนร่วมงานอีกคนก่อนตัดสินใจ โดยเฉพาะยอดเงินก้อนใหญ่
วิธีป้องกันธุรกิจจาก BEC
สำหรับองค์กร SME
1. ตั้ง Policy “ยืนยัน 2 ช่องทางเสมอ” สำหรับการโอนเงินหรือเปลี่ยนบัญชี — ไม่ว่าจะเร่งด่วนแค่ไหน คำขอโอนเงินหรือเปลี่ยนบัญชีปลายทางต้องยืนยันด้วยโทรศัพท์หรือพบหน้าเสมอ
2. เปิดใช้ MFA บนอีเมลผู้บริหารและฝ่ายการเงินทุกคน — ป้องกัน Account Takeover ซึ่งเป็นกรณี BEC ที่อันตรายที่สุด (ดูบทความ MFA ประกอบ)
3. ใช้ Email Security Gateway ที่ตรวจจับ Domain Spoofing — ตั้งค่า DMARC/SPF/DKIM เพื่อบล็อกอีเมลปลอมจาก Look-alike Domain
4. อบรมพนักงานฝ่ายบัญชีและจัดซื้อโดยเฉพาะ — ฝ่ายที่มีอำนาจอนุมัติการเงินคือเป้าหมายหลักของ BEC
5. จำกัดข้อมูลที่เปิดเผยต่อสาธารณะ — ระวังการโพสต์ตารางเดินทางผู้บริหารหรือโครงสร้างองค์กรบน Social Media
6. ใช้ Password Manager คู่กับ MFA — ลดความเสี่ยง Account Takeover จากรหัสผ่านที่ใช้ซ้ำ
สำหรับพนักงานทุกคน
- อย่ารีบโอนเงินเพียงเพราะอีเมลดูเร่งด่วนหรือมาจาก “เจ้านาย”
- ยืนยันเสมอผ่านช่องทางที่สองก่อนทำธุรกรรมการเงินทุกครั้ง
- หากไม่แน่ใจ ปรึกษาหัวหน้าหรือเพื่อนร่วมงานก่อนตัดสินใจ ดีกว่าเสียใจภายหลัง
ถ้าตกเป็นเหยื่อ BEC แล้ว ต้องทำอะไรทันที?
ภายใน 1 ชั่วโมงแรก
- ติดต่อธนาคารทันทีเพื่อขออายัดเงิน (Recall/Freeze) — ยิ่งเร็วยิ่งมีโอกาสกู้เงินคืนได้
- แจ้งความที่สถานีตำรวจหรือผ่านสายด่วนตำรวจไซเบอร์ 1441
- แจ้งทีม IT/ผู้ดูแลระบบ ตรวจสอบว่าอีเมลถูกแฮกจริงหรือเป็นแค่ Domain Spoofing
- เก็บหลักฐานอีเมลต้นฉบับทั้งหมด (Header, ไฟล์แนบ) ไว้ประกอบการแจ้งความ
ภายใน 24 ชั่วโมง
- เปลี่ยนรหัสผ่านอีเมลที่เกี่ยวข้องทั้งหมดและเปิด MFA
- ตรวจสอบ Log การเข้าสู่ระบบอีเมลว่ามีการเข้าจากที่ไม่ปกติหรือไม่
- แจ้งคู่ค้า/Supplier ที่เกี่ยวข้องว่าอาจมีการปลอมแปลงอีเมลบริษัท
- ทบทวนกระบวนการอนุมัติจ่ายเงินภายในทันทีเพื่อป้องกันไม่ให้เกิดซ้ำ
FAQ: คำถามที่ SME ถามบ่อย
Q: BEC ต่างจาก Phishing ทั่วไปอย่างไร? A: Phishing มักมีลิงก์ปลอมหรือไฟล์แนบอันตรายให้สังเกต ส่วน BEC เป็นข้อความล้วนๆ ที่อาศัยการปลอมตัวเป็นบุคคลที่น่าเชื่อถือ ไม่มีอะไรให้ระบบ Filter ตรวจจับได้ง่าย
Q: มี MFA แล้วยังเสี่ยง BEC ไหม? A: ลดความเสี่ยงได้มาก โดยเฉพาะกรณี Account Takeover แต่ยังต้องมี Policy “ยืนยัน 2 ช่องทาง” สำหรับการโอนเงินคู่ไปด้วย
Q: เงินที่โอนไปแล้วเรียกคืนได้ไหม? A: มีโอกาสถ้าแจ้งธนาคารเร็วมากภายในไม่กี่ชั่วโมง แต่ยิ่งช้าโอกาสยิ่งลดลงมาก
Q: ธุรกิจเล็กๆ จะโดน BEC ไหม? A: เจอได้เสมอ เพราะมิจฉาชีพเลือกเป้าหมายจากกระบวนการอนุมัติที่หละหลวม ไม่ใช่แค่ขนาดของธุรกิจ
Q: ควรเชื่ออีเมลจาก Supplier ที่ขอเปลี่ยนบัญชีธนาคารไหม? A: ไม่ควรเชื่อทันที ต้องโทรยืนยันกับ Supplier โดยตรงผ่านเบอร์ที่มีอยู่แล้วก่อนโอนเงินทุกครั้ง
ติดต่อ Skysoft ได้เลย — ทีมงานพร้อมตอบทุกคำถามโดยไม่มีค่าใช้จ่าย
พร้อมประเมินความเสี่ยงด้านความปลอดภัยขององค์กรของคุณหรือยัง?
ติดต่อทีมผู้เชี่ยวชาญ WatchGuard เพื่อรับคำแนะนำเฉพาะสำหรับธุรกิจของคุณได้วันนี้
หากท่านสนใจทดลองใช้สามารถ ลงทะเบียนเพื่อขอทดลองได้ฟรี 30 วัน
Credit https://www.watchguard.com

