Business Email Compromise (BEC) การก่ออาชญากรรมทางอีเมลที่พุ่งเป้าพนักงานในองค์กรเป็นหลัก

BUSINESS EMAIL cover 1-01

เนื้อหาในบทความ

อย่าเพิ่งด่วนสรุปว่า Phishing Email เป็นภัยทำให้พนักงานตกเป็นเหยื่อจนองค์กรเสียหายหนัก ถ้าคุณยังไม่รู้จัก หรือถูก Business Email Compromise (BEC) เพ่งเล็งโจมตี

บทความนี้จะพาคุณไปรู้จักกับ BEC กลวิธีหลอกหลวงทางอีเมลที่แยบยล ทำให้องค์กรคุณเสียหายหนัก กว่าการ Phishing ทั่วไป เพราะพนักงานในองค์กรของคุณอาจไม่รู้ว่าผู้ส่งอีเมลนั้นคือ ” ผู้บริหาร หรือลูกค้า รายใหญ่ขององค์กรตัวจริงหรือไม่ ” และตกเป็นเหยื่อในที่สุดได้

Business Email Compromise (BEC) คืออะไร

การหลอกลวงทางอีเมลที่ผสมผสานวิธีการแบบ Social Engineering และเทคนิคการ Phishing เข้าด้วยกัน โดยใช้วิธีการแฮก หรือปลอมแปลงที่อยู่อีเมลของตนเองเป็นผู้บริหารระดับสูง หัวหน้างาน บุคลากรในที่ทำงาน รวมไปถึงลูกค้าคู่สัญญาทางธุรกิจ ทำให้เหยื่อเป้าหมายตายใจ หลงเชื่อจนโอนเงิน เปิดเผยข้อมูลความลับทางธุรกิจออกมา

BEC หลอกทางอีเมลเหมือนกัน แล้วแตกต่างจาก Phishing Email อย่างไร

” Phishing Email เป็นการหลอกให้ผู้ใช้งานอีเมลคลิกลิงก์ ให้ข้อมูลสำคัญ หรือเปิดไฟล์แนบฝังมัลแวร์ “

 อาชญากรไซเบอร์จะแอบอ้างตนเป็นหน่วยงาน องค์กร หรือแบรนด์สินค้าที่มีชื่อเสียง ทำการส่งอีเมลที่มีหัวข้อแจ้งเรื่องราวดี ๆ เช่น คุณเป็นผู้โชคดีจากกิจกรรมพิเศษ รับเงินสด 1 ล้านบาท  หรือเป็นหัวข้อปัญหาการใช้งานต่าง ๆ  เช่น มีคนพยายามเข้าสู่ระบบของคุณ ควรเปลี่ยนรหัสผ่านใหม่ทันที สร้างความตื่นเต้น ตื่นกลัว กังวลใจ ทำให้ผู้ใช้งานรีบดำเนินการตามคำร้องขออีเมลโดยขาดสติพิจารณาชั่วขณะ ซึ่งกว่าจะรู้ตัวก็เผลอให้ข้อมูลสำคัญ หรือตกเป็นเหยื่อไปแล้ว


“BEC เป็นการหลอกลวงที่เจาะจงเป้าหมายชัดเจน และมีการศึกษาข้อมูลเชิงลึกก่อนลงมือโจมตี เพื่อให้เหยื่อเชื่อสนิทใจจนยอมโอนเงิน หรือเปิดเผยข้อมูลความลับ”

อาชญากรไซเบอร์ใช้เวลาค่อนข้างนานกว่าจะโจมตีแต่ละครั้ง พวกเขาจะศึกษาข้อมูลเชิงลึกให้มั่นใจก่อนว่า ข้อมูลที่มีอยู่ครบ และสามารถหลอกลวงได้อย่างแนบเนียนที่สุด โดยพวกเขาจะศึกษาข้อมูลเกี่ยวกับโครงสร้างภายในองค์กร ลักษณะกระบวนการการทำงานทางอีเมล รวมไปถึงภาษาการพูดคุย ระดับความสัมพันธ์ระหว่างเป้าหมายกับบุคคลอื่นภายในองค์กร แต่บางครั้งพวกเขาก็ใช้วิธีการโทรศัพท์เข้าไปเพื่อหลอกถามข้อมูลเพิ่มเติมที่ต้องการ

ยกตัวอย่างเช่น

เป้าหมายการโจมตีคือ คุณโรส เลขาผู้บริหารระดับสูง (นามสมมติ)

สิ่งที่อาชญากรไซเบอร์ศึกษามาได้คือ เขารู้ว่าผู้บริหารมักเรียกคุณโรสด้วยสรรพนามหยอกล้อว่า ‘สาวกุหลาบแดง’ เสมอ

เมื่ออาชญากรไซเบอร์สามารถแฮกอีเมลผู้บริหารระดับสูงได้สำเร็จ เขาจึงสวมรอบส่งอีเมลโดยเรียกคุณโรส ว่า สาวกุหลาบแดงและสั่งให้ทำการเปลี่ยนแปลงเลขบัญชีธนาคารของลูกค้าคนสำคัญ และให้ทำการโอนเงินจำนวนหนึ่งไปให้ แต่ทว่า เลขบัญชีนั้นกลับเป็นเลขบัญชีของอาชญากรซะเอ

คุณโรสเมื่อได้รับอีเมล และไม่พบเห็นความผิดปกติ จึงหลงเชื่อและดำเนินการโดยไม่รู้ตัวว่ากำลังตกเป็นเหยื่อ BEC อยู่

มุขเด็ด BEC ชอบใช้หลอกลวงให้เราตายใจ เป็นแบบไหนกัน

ใบแจ้งหนี้ แจ้งเปลี่ยนแปลงข้อมูลปลอม!

อาชญากรไซเบอร์จะปลอมแปลงอีเมลเป็นองค์กรคู่ค้าจากต่างประเทศ สร้างใบแจ้งหนี้ปลอมเพื่อบอกให้เหยื่อทราบว่าองค์กรคู่ค้ามีการเปลี่ยนแปลงที่อยู่ หรือเลขบัญชีในการซื้อขาย ซึ่งจริง ๆ แล้วเลขที่บัญชีนั้นเป็นบัญชีของอาชญากรเอง

สวมบทเป็น CEO หรือผู้บริหารระดับสูงขององค์กร

อาชญากรไซเบอร์อาจสามารถแฮกอีเมลของผู้บริหารมาได้ หรือใช้วิธีการปลอมแปลงอีเมลให้คล้ายอีเมลจริง แล้วส่งอีเมลในนามของผู้บริหารสั่งให้พนักงานดำเนินการโอนเงินเร่งด่วนกรณีฉุกเฉิน ซึ่งพนักงานเมื่อรับคำสั่งก็คงไม่มีใครกล้าขัดคำสั่ง หรือจับจุดผิดสังเกตให้ตัวเองโดนตำหนิใช่ไหมล่ะคะ

แฮกอีเมลพนักงานสักคนไปหลอกพาร์ทเนอร์ทั้งหมดขององค์กรแทน

การหลอกลวงของอาชญากรไซเบอร์บางครั้งก็เพื่อให้ได้มาซึ่งข้อมูลอีเมลและรหัสผ่านเข้าสู่ระบบเพื่อนำไปแฮกใช้งาน ส่งอีเมลแจ้ง Vendor หรือพาร์ทเนอร์ทางธุรกิจว่าองค์กรของเรามีการเปลี่ยนแปลงที่อยู่ หรือเลขที่บัญชีธนาคารในการโอนจ่ายเงินกัน ทำให้ Vendor หรือพาร์ทเนอร์เข้าใจผิดและโอนเงินไปยังบัญชีของอาชญากรจริง

ไม่อยากพลาดเป็นเหยื่อ BEC ทำอย่างไร

สาเหตุการตกเป็นเหยื่อของ BEC มีเหตุผลที่คล้ายคลึงกับการตกเป็นเหยื่อ Phishing ทั่ว ๆ ไป นั่นคือ ผู้ใช้งานอีเมล หรือพนักงานในองค์กรของคุณไม่รู้ว่าอีเมลนั้นมีความผิดปกติอย่างไร จึงหลงเชื่อ และปฏิบัติตามอย่างไม่มีข้อกังขาใด ๆ ดังนั้น วันนี้เรารวบรวมวิธีการสังเกต และป้องกันตนเอง เบื้องต้นมาแนะนำคุณ ดังนี้

อ่านพิจารณาข้อความในอีเมลอย่างละเอียด และมีสติทุกครั้ง

การอ่านรายละเอียดทุกอย่างแบบมีสติจะช่วยให้เราสามารถวิเคราะห์ได้ว่าอีเมลที่ได้รับอยู่นี้ มีความผิดปกติในส่วนไหนบ้าง หรือคำร้องขอที่เกิดขึ้นในอีเมลฉบับนี้มีความเป็นไปได้สูงแค่ไหน

เช่น หากได้รับอีเมลจากหัวหน้าแผนก แจ้งว่าพนักงานคนหนึ่งในองค์กรประสบอุบัติเหตุ ขอระดมทุนช่วยเหลือค่ารักษาพยาบาลโดยโอนเข้าบัญชีของหัวหน้าคนดังกล่าว สิ่งนี้ถือว่าผิดปกติ หากเป็นการแจ้งขอระดมทุนในนามองค์กร อีเมลก็ควรมาจากฝ่าย HR ที่ดูแลเกี่ยวกับสวัสดิการพนักงาน ไม่ใช่หัวหน้างานแผนกอื่นเช่นนี้

ตรวจสอบที่อยู่อีเมลผู้ส่งก่อนดำเนินการใดทุกครั้ง

ไม่ว่าจะเป็น Phishing Email หรือ BEC การสร้างที่อยู่อีเมลให้คล้ายจริงก็ยังคงเป็นวิธีการหลอกลวงที่ได้ผลอยู่เสมอ อาชญากรไซเบอร์มักสลับ หรือเปลี่ยนตัวสะกดที่ยากจะมองเห็น เพราะพวกเขาหวังว่าคุณจะมองข้ามมันไปได้ เช่น เครื่องหมาย อันเดอร์สกอร์ ( _ ) เป็นเครื่องหมายขีด (-), ตัวโอ (O) เป็นเลขศูนย์ (0), ตัวเอ็ม (M) เป็นตัวอาร์พิมพ์เล็ก (r) ผสมกับตัวเอ็นพิมพ์เล็ก (n) ก็จะเป็นแบบนี้ rn นั่นเอง

โทรสอบถามความถูกต้องอีกครั้ง เมื่อมีการแจ้งเปลี่ยนแปลงข้อมูลสำคัญ

เช่น แจ้งเปลี่ยนแปลงที่อยู่จัดส่งสินค้า เปลี่ยนแปลงเลขบัญชีการโอนเงิน – จ่ายเงินต่าง ๆ เพราะการเปลี่ยนแปลงข้อมูลสำคัญพวกนี้ หากมีการจัดส่งตามที่อยู่ใหม่ หรือโอนจ่ายเงินตามเลขบัญชีใหม่โดยไม่มีการตรวจสอบ ก็เท่ากับว่าองค์กรของคุณอาจเสียสินค้า หรือเงินฟรี ๆ โดยไม่ได้ถึงมือลูกค้าตามกำหนด ทำให้อาจมีปัญหาระหว่างธุรกิจอีกหนึ่งกระทงด้วย
ซึ่งจริง ๆ แล้วกระบวนการเปลี่ยนแปลงข้อมูลเหล่านี้ควรมีเอกสารยืนยันความถูกต้อง เช่น เอกสารรับรองที่ออกโดยองค์กรนั้น และมีตราประทับรับรองชัดเจนมาด้วยเสมอ

บทความที่เกี่ยวข้อง

10 สิ่งที่ทำให้ Cybersecurity Awareness ในองค์กรไม่มีประสิทธิภาพ​

January 5, 2023 No Comments

ทำไม Cybersecurity Awareness จึงเป็นสิ่งสำคัญสำหรับองค์กร การตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ หรือ Cybersecurity Awareness ในองค์กรมีความสำคัญเนื่องจากช่วยปกป้องบุคคลและองค์กรจากภัยคุกคามทางไซเบอร์ เช่น มัลแวร์ การโจมตีแบบฟิชชิง และข้อมูลรั่วไหล ซึ่งภัยคุกคามเหล่านี้อาจส่งผลร้ายแรง รวมถึงการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง และการสูญเสียข้อมูลส่วนบุคคลหรือข้อมูลธุรกิจที่ละเอียดอ่อน องค์กรสามารถลดความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามเหล่านี้ได้ด้วยการตระหนักรู้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี ซึ่งหากองค์กรมีการวางแผนการตระหนักถึงความปลอดภัยในโลกไซเบอร์ที่มีประสิทธิภาพต้องระมัดระวังไม่ทำ 10 สิ่งดังต่อไปนี้ 10 สิ่งที่ทำให้ Cybersecurity Awareness

อ่านต่อ »

PDPA Awareness for employees Webinar

April 19, 2022 No Comments

WEBINAR PDPA Awareness for employees สร้างความตระหนักรู้ด้านความปลอดภัยข้อมูล และ PDPA ให้กับพนักงานในองค์กรอย่างมีประสิทธิภาพ on demand WATCH NOW Brought to you by : รู้หรือไม่ครับว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 กำหนดให้องค์กรต้องมี การสร้างความตระหนักรู้ให้กำคนในองค์กรด้วย การปฏิบัติตาม

อ่านต่อ »

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ?

March 26, 2022 No Comments

เมื่อคุณเกิดความเข้าใจเกี่ยวกับการทำ PDPA Awareness ในระดับหนึ่งแล้ว ตอนนี้คุณอาจกำลังวางแผน จัดทำ PDPA awareness training ให้กับพนักงานในองค์กรของคุณ แต่อย่างที่เราบอกไปในบทความ “สร้าง PDPA Awareness ในองค์กรอย่างไรให้ปัง” ว่าการทำ PDPA Awareness ให้ได้ผลและมีประสิทธิภาพสูงสุด ต้องใช้เวลาและการย้ำเตือนอย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึง ความเสี่ยงต่อข้อมูลส่วนบุคคล และเกิดการเปลี่ยนแปลงพฤติกรรมการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลให้

อ่านต่อ »

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง

March 25, 2022 No Comments

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้ อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓  

อ่านต่อ »

PDPA Awareness for employees คืออะไร?

March 24, 2022 No Comments

แนวคิด PDPA  for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล การสร้าง Security Awareness และ PDPA Awareness

อ่านต่อ »

ทำ PDPA Security Awareness มีข้อดี ข้อเสียอะไรบ้าง ?!

March 23, 2022 No Comments

หลายท่านคงเห็นความสำคัญของการทำ PDPA Security Awareness กันไปบ้างแล้วในรูปแบบของ 3 สิ่งแห่งการป้องกันภัยจากไซเบอร์อย่าง Technology ระบบที่ช่วยดูแลรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคลที่ทางองค์กรเก็บไว้, Process กระบวนการรวมตั้งแต่ แบบแผน นโยบาย วิธีป้องกันภัยอันตรายจากไซเบอร์ และการรับมือกับความเสี่ยงเมื่อมีผู้บุกรุกทางไซเบอร์ รวมถึง People พนักงานในองค์กรต้องเข้าใจในเรื่องภัยของไซเบอร์ และเห็นความสำคัญของข้อมูลส่วนบุคคลเพื่อรักษาทรัพยากรอันล้ำค่าของบริษัทที่สั่งสมน้ำพักน้ำแรงของทุกฝ่ายในบริษัทอย่างข้อมูลส่วนบุคคล ซึ่งทั้ง 3 สิ่งที่กล่าวมานี้ หากทางองค์กรปฏิบัติได้รัดกุมในทุกด้าน ก็จะเป็นการสร้างภูมิคุ้มกันให้แก่องค์กร นำไปสู่การเพิ่มความน่าเชื่อถือ

อ่านต่อ »