Business Email Compromise (BEC) การก่ออาชญากรรมทางอีเมลที่พุ่งเป้าพนักงานในองค์กรเป็นหลัก

BUSINESS EMAIL cover 1-01

เนื้อหาในบทความ

อย่าเพิ่งด่วนสรุปว่า Phishing Email เป็นภัยทำให้พนักงานตกเป็นเหยื่อจนองค์กรเสียหายหนัก ถ้าคุณยังไม่รู้จัก หรือถูก Business Email Compromise (BEC) เพ่งเล็งโจมตี

บทความนี้จะพาคุณไปรู้จักกับ BEC กลวิธีหลอกหลวงทางอีเมลที่แยบยล ทำให้องค์กรคุณเสียหายหนัก กว่าการ Phishing ทั่วไป เพราะพนักงานในองค์กรของคุณอาจไม่รู้ว่าผู้ส่งอีเมลนั้นคือ ” ผู้บริหาร หรือลูกค้า รายใหญ่ขององค์กรตัวจริงหรือไม่ ” และตกเป็นเหยื่อในที่สุดได้

Business Email Compromise (BEC) คืออะไร

การหลอกลวงทางอีเมลที่ผสมผสานวิธีการแบบ Social Engineering และเทคนิคการ Phishing เข้าด้วยกัน โดยใช้วิธีการแฮก หรือปลอมแปลงที่อยู่อีเมลของตนเองเป็นผู้บริหารระดับสูง หัวหน้างาน บุคลากรในที่ทำงาน รวมไปถึงลูกค้าคู่สัญญาทางธุรกิจ ทำให้เหยื่อเป้าหมายตายใจ หลงเชื่อจนโอนเงิน เปิดเผยข้อมูลความลับทางธุรกิจออกมา

BEC หลอกทางอีเมลเหมือนกัน แล้วแตกต่างจาก Phishing Email อย่างไร

” Phishing Email เป็นการหลอกให้ผู้ใช้งานอีเมลคลิกลิงก์ ให้ข้อมูลสำคัญ หรือเปิดไฟล์แนบฝังมัลแวร์ “

 อาชญากรไซเบอร์จะแอบอ้างตนเป็นหน่วยงาน องค์กร หรือแบรนด์สินค้าที่มีชื่อเสียง ทำการส่งอีเมลที่มีหัวข้อแจ้งเรื่องราวดี ๆ เช่น คุณเป็นผู้โชคดีจากกิจกรรมพิเศษ รับเงินสด 1 ล้านบาท  หรือเป็นหัวข้อปัญหาการใช้งานต่าง ๆ  เช่น มีคนพยายามเข้าสู่ระบบของคุณ ควรเปลี่ยนรหัสผ่านใหม่ทันที สร้างความตื่นเต้น ตื่นกลัว กังวลใจ ทำให้ผู้ใช้งานรีบดำเนินการตามคำร้องขออีเมลโดยขาดสติพิจารณาชั่วขณะ ซึ่งกว่าจะรู้ตัวก็เผลอให้ข้อมูลสำคัญ หรือตกเป็นเหยื่อไปแล้ว


“BEC เป็นการหลอกลวงที่เจาะจงเป้าหมายชัดเจน และมีการศึกษาข้อมูลเชิงลึกก่อนลงมือโจมตี เพื่อให้เหยื่อเชื่อสนิทใจจนยอมโอนเงิน หรือเปิดเผยข้อมูลความลับ”

อาชญากรไซเบอร์ใช้เวลาค่อนข้างนานกว่าจะโจมตีแต่ละครั้ง พวกเขาจะศึกษาข้อมูลเชิงลึกให้มั่นใจก่อนว่า ข้อมูลที่มีอยู่ครบ และสามารถหลอกลวงได้อย่างแนบเนียนที่สุด โดยพวกเขาจะศึกษาข้อมูลเกี่ยวกับโครงสร้างภายในองค์กร ลักษณะกระบวนการการทำงานทางอีเมล รวมไปถึงภาษาการพูดคุย ระดับความสัมพันธ์ระหว่างเป้าหมายกับบุคคลอื่นภายในองค์กร แต่บางครั้งพวกเขาก็ใช้วิธีการโทรศัพท์เข้าไปเพื่อหลอกถามข้อมูลเพิ่มเติมที่ต้องการ

ยกตัวอย่างเช่น

เป้าหมายการโจมตีคือ คุณโรส เลขาผู้บริหารระดับสูง (นามสมมติ)

สิ่งที่อาชญากรไซเบอร์ศึกษามาได้คือ เขารู้ว่าผู้บริหารมักเรียกคุณโรสด้วยสรรพนามหยอกล้อว่า ‘สาวกุหลาบแดง’ เสมอ

เมื่ออาชญากรไซเบอร์สามารถแฮกอีเมลผู้บริหารระดับสูงได้สำเร็จ เขาจึงสวมรอบส่งอีเมลโดยเรียกคุณโรส ว่า สาวกุหลาบแดงและสั่งให้ทำการเปลี่ยนแปลงเลขบัญชีธนาคารของลูกค้าคนสำคัญ และให้ทำการโอนเงินจำนวนหนึ่งไปให้ แต่ทว่า เลขบัญชีนั้นกลับเป็นเลขบัญชีของอาชญากรซะเอ

คุณโรสเมื่อได้รับอีเมล และไม่พบเห็นความผิดปกติ จึงหลงเชื่อและดำเนินการโดยไม่รู้ตัวว่ากำลังตกเป็นเหยื่อ BEC อยู่

มุขเด็ด BEC ชอบใช้หลอกลวงให้เราตายใจ เป็นแบบไหนกัน

ใบแจ้งหนี้ แจ้งเปลี่ยนแปลงข้อมูลปลอม!

อาชญากรไซเบอร์จะปลอมแปลงอีเมลเป็นองค์กรคู่ค้าจากต่างประเทศ สร้างใบแจ้งหนี้ปลอมเพื่อบอกให้เหยื่อทราบว่าองค์กรคู่ค้ามีการเปลี่ยนแปลงที่อยู่ หรือเลขบัญชีในการซื้อขาย ซึ่งจริง ๆ แล้วเลขที่บัญชีนั้นเป็นบัญชีของอาชญากรเอง

สวมบทเป็น CEO หรือผู้บริหารระดับสูงขององค์กร

อาชญากรไซเบอร์อาจสามารถแฮกอีเมลของผู้บริหารมาได้ หรือใช้วิธีการปลอมแปลงอีเมลให้คล้ายอีเมลจริง แล้วส่งอีเมลในนามของผู้บริหารสั่งให้พนักงานดำเนินการโอนเงินเร่งด่วนกรณีฉุกเฉิน ซึ่งพนักงานเมื่อรับคำสั่งก็คงไม่มีใครกล้าขัดคำสั่ง หรือจับจุดผิดสังเกตให้ตัวเองโดนตำหนิใช่ไหมล่ะคะ

แฮกอีเมลพนักงานสักคนไปหลอกพาร์ทเนอร์ทั้งหมดขององค์กรแทน

การหลอกลวงของอาชญากรไซเบอร์บางครั้งก็เพื่อให้ได้มาซึ่งข้อมูลอีเมลและรหัสผ่านเข้าสู่ระบบเพื่อนำไปแฮกใช้งาน ส่งอีเมลแจ้ง Vendor หรือพาร์ทเนอร์ทางธุรกิจว่าองค์กรของเรามีการเปลี่ยนแปลงที่อยู่ หรือเลขที่บัญชีธนาคารในการโอนจ่ายเงินกัน ทำให้ Vendor หรือพาร์ทเนอร์เข้าใจผิดและโอนเงินไปยังบัญชีของอาชญากรจริง

ไม่อยากพลาดเป็นเหยื่อ BEC ทำอย่างไร

สาเหตุการตกเป็นเหยื่อของ BEC มีเหตุผลที่คล้ายคลึงกับการตกเป็นเหยื่อ Phishing ทั่ว ๆ ไป นั่นคือ ผู้ใช้งานอีเมล หรือพนักงานในองค์กรของคุณไม่รู้ว่าอีเมลนั้นมีความผิดปกติอย่างไร จึงหลงเชื่อ และปฏิบัติตามอย่างไม่มีข้อกังขาใด ๆ ดังนั้น วันนี้เรารวบรวมวิธีการสังเกต และป้องกันตนเอง เบื้องต้นมาแนะนำคุณ ดังนี้

อ่านพิจารณาข้อความในอีเมลอย่างละเอียด และมีสติทุกครั้ง

การอ่านรายละเอียดทุกอย่างแบบมีสติจะช่วยให้เราสามารถวิเคราะห์ได้ว่าอีเมลที่ได้รับอยู่นี้ มีความผิดปกติในส่วนไหนบ้าง หรือคำร้องขอที่เกิดขึ้นในอีเมลฉบับนี้มีความเป็นไปได้สูงแค่ไหน

เช่น หากได้รับอีเมลจากหัวหน้าแผนก แจ้งว่าพนักงานคนหนึ่งในองค์กรประสบอุบัติเหตุ ขอระดมทุนช่วยเหลือค่ารักษาพยาบาลโดยโอนเข้าบัญชีของหัวหน้าคนดังกล่าว สิ่งนี้ถือว่าผิดปกติ หากเป็นการแจ้งขอระดมทุนในนามองค์กร อีเมลก็ควรมาจากฝ่าย HR ที่ดูแลเกี่ยวกับสวัสดิการพนักงาน ไม่ใช่หัวหน้างานแผนกอื่นเช่นนี้

ตรวจสอบที่อยู่อีเมลผู้ส่งก่อนดำเนินการใดทุกครั้ง

ไม่ว่าจะเป็น Phishing Email หรือ BEC การสร้างที่อยู่อีเมลให้คล้ายจริงก็ยังคงเป็นวิธีการหลอกลวงที่ได้ผลอยู่เสมอ อาชญากรไซเบอร์มักสลับ หรือเปลี่ยนตัวสะกดที่ยากจะมองเห็น เพราะพวกเขาหวังว่าคุณจะมองข้ามมันไปได้ เช่น เครื่องหมาย อันเดอร์สกอร์ ( _ ) เป็นเครื่องหมายขีด (-), ตัวโอ (O) เป็นเลขศูนย์ (0), ตัวเอ็ม (M) เป็นตัวอาร์พิมพ์เล็ก (r) ผสมกับตัวเอ็นพิมพ์เล็ก (n) ก็จะเป็นแบบนี้ rn นั่นเอง

โทรสอบถามความถูกต้องอีกครั้ง เมื่อมีการแจ้งเปลี่ยนแปลงข้อมูลสำคัญ

เช่น แจ้งเปลี่ยนแปลงที่อยู่จัดส่งสินค้า เปลี่ยนแปลงเลขบัญชีการโอนเงิน – จ่ายเงินต่าง ๆ เพราะการเปลี่ยนแปลงข้อมูลสำคัญพวกนี้ หากมีการจัดส่งตามที่อยู่ใหม่ หรือโอนจ่ายเงินตามเลขบัญชีใหม่โดยไม่มีการตรวจสอบ ก็เท่ากับว่าองค์กรของคุณอาจเสียสินค้า หรือเงินฟรี ๆ โดยไม่ได้ถึงมือลูกค้าตามกำหนด ทำให้อาจมีปัญหาระหว่างธุรกิจอีกหนึ่งกระทงด้วย
ซึ่งจริง ๆ แล้วกระบวนการเปลี่ยนแปลงข้อมูลเหล่านี้ควรมีเอกสารยืนยันความถูกต้อง เช่น เอกสารรับรองที่ออกโดยองค์กรนั้น และมีตราประทับรับรองชัดเจนมาด้วยเสมอ

บทความที่เกี่ยวข้อง

Phishing attacks

2023 Phishing Attack : เปิดโปงกลยุทธ์ฟิชชิงปี 2023 รู้ทันภัยก่อนตกเป็นเหยื่อ

อีเมลหลอกลวง ลิงก์แปลกปลอม ไฟล์แนบที่น่าสงสัย หากคุณกำลังได้รับสิ่งเหล่านี้ พึ่งระวังไว้ได้ว่า คุณอาจจะกำลังตกเป็นเหยื่อของการโจมตีทางไซเบอร์แบบหนึ่งที่เรียกว่า “ฟิชชิง (Phishing Attack)” หนึ่งในภัยภัยคุกคามไซเบอร์ที่สร้างความเสียหายมหาศาลแก่องค์กรและธุรกิจ ตามรายงาน ปี 2022 ของศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (Internet Crime Complaint Centre : IC3) ของ FBI ได้รับเรื่องร้องเรียนจากบุคคลและธุรกิจต่าง ๆ  เกี่ยวกับการโจมตีทางไซเบอร์ในจำนวนที่มากเป็นประวัติการณ์ โดยมีจำนวนสูงถึง

อ่านต่อ »

10 สิ่งที่ทำให้ Cybersecurity Awareness ในองค์กรไม่มีประสิทธิภาพ​

ทำไม Cybersecurity Awareness จึงเป็นสิ่งสำคัญสำหรับองค์กร การตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ หรือ Cybersecurity Awareness ในองค์กรมีความสำคัญเนื่องจากช่วยปกป้องบุคคลและองค์กรจากภัยคุกคามทางไซเบอร์ เช่น มัลแวร์ การโจมตีแบบฟิชชิง และข้อมูลรั่วไหล ซึ่งภัยคุกคามเหล่านี้อาจส่งผลร้ายแรง รวมถึงการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง และการสูญเสียข้อมูลส่วนบุคคลหรือข้อมูลธุรกิจที่ละเอียดอ่อน องค์กรสามารถลดความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามเหล่านี้ได้ด้วยการตระหนักรู้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี ซึ่งหากองค์กรมีการวางแผนการตระหนักถึงความปลอดภัยในโลกไซเบอร์ที่มีประสิทธิภาพต้องระมัดระวังไม่ทำ 10 สิ่งดังต่อไปนี้ 10 สิ่งที่ทำให้ Cybersecurity Awareness

อ่านต่อ »

PDPA Awareness for employees Webinar

WEBINAR PDPA Awareness for employees สร้างความตระหนักรู้ด้านความปลอดภัยข้อมูล และ PDPA ให้กับพนักงานในองค์กรอย่างมีประสิทธิภาพ on demand WATCH NOW Brought to you by : รู้หรือไม่ครับว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 กำหนดให้องค์กรต้องมี การสร้างความตระหนักรู้ให้กำคนในองค์กรด้วย การปฏิบัติตาม

อ่านต่อ »

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ?

เมื่อคุณเกิดความเข้าใจเกี่ยวกับการทำ PDPA Awareness ในระดับหนึ่งแล้ว ตอนนี้คุณอาจกำลังวางแผน จัดทำ PDPA awareness training ให้กับพนักงานในองค์กรของคุณ แต่อย่างที่เราบอกไปในบทความ “สร้าง PDPA Awareness ในองค์กรอย่างไรให้ปัง” ว่าการทำ PDPA Awareness ให้ได้ผลและมีประสิทธิภาพสูงสุด ต้องใช้เวลาและการย้ำเตือนอย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึง ความเสี่ยงต่อข้อมูลส่วนบุคคล และเกิดการเปลี่ยนแปลงพฤติกรรมการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลให้

อ่านต่อ »

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้ อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓  

อ่านต่อ »

PDPA Awareness for employees คืออะไร?

แนวคิด PDPA  for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล การสร้าง Security Awareness และ PDPA Awareness

อ่านต่อ »