เมื่ออีเมลจาก CEO กลายเป็นกับดักไซเบอร์ วันที่ “BEC Scam” สร้างภัยเงียบให้องค์กรขนาดใหญ่
ในยุคที่องค์กรขับเคลื่อนด้วยอีเมล การสื่อสารออนไลน์ และการอนุมัติทางการเงินผ่านระบบดิจิทัล มิจฉาชีพเองก็พัฒนาเทคนิคการโจมตีให้ซับซ้อนขึ้นเช่นกัน หนึ่งในรูปแบบที่สร้างความเสียหายมูลค่าสูงทั่วโลก คือกลโกงที่เรียกว่า CEO Fraud หรือ Business Email Compromise (BEC)
กลโกงรูปแบบนี้ไม่ใช่การส่งลิงก์ปลอมแบบทั่วไป ไม่ใช่การหลอกให้กดรับรางวัล และหลายครั้งไม่ต้องใช้มัลแวร์หรือไวรัสเลยด้วยซ้ำ แต่ใช้สิ่งที่อันตรายไม่แพ้กัน คือ “ความน่าเชื่อถือ” และ “แรงกดดัน”
CEO Fraud / BEC Scam คืออะไร
CEO Fraud หรือ BEC Scam คือการที่มิจฉาชีพปลอมตัวเป็นผู้บริหารระดับสูง เจ้าของบริษัท หรือแม้แต่บริษัทคู่ค้า เพื่อส่งคำสั่งมายังพนักงาน โดยเฉพาะฝ่ายบัญชีและการเงิน ให้ดำเนินธุรกรรมทางการเงิน เช่น
โดยพนักงานจำนวนมากเชื่อว่าเป็นคำสั่งจริงจากผู้มีอำนาจ จึงรีบดำเนินการทันทีโดยไม่ได้ตรวจสอบเพิ่มเติม
จุดน่ากลัวคือ มิจฉาชีพไม่ได้สุ่มโจมตี แต่ผ่านการวิเคราะห์และเก็บข้อมูลมาอย่างดีแล้ว
ก่อนลงมือ มิจฉาชีพมักใช้เวลาศึกษาข้อมูลขององค์กรอย่างละเอียด พวกเขาอาจค้นหาข้อมูลจากเว็บไซต์บริษัท โซเชียลมีเดีย ข่าวประชาสัมพันธ์ หรือแพลตฟอร์มสำหรับการทำงานต่าง ๆ เพื่อจะวางแผนการหลอกลวงอย่างแยบยล ไร้ช่องโหว่ ไม่ให้ตั้งตัวได้ทัน ข้อมูลที่มักถูกนำไปใช้ อาทิ ชื่อผู้บริหาร, ตำแหน่งพนักงาน, โครงสร้างองค์กร, รายชื่อฝ่ายการเงิน, บริษัทคู่ค้า, รูปแบบการสื่อสาร เป็นต้น นั่นทำให้เมื่อองค์กรยิ่งเปิดเผยข้อมูลมากเท่าไร มิจฉาชีพก็ยิ่งสามารถสร้างสถานการณ์ให้ดูสมจริงมากขึ้น
หนึ่งในเทคนิคที่ถูกใช้มากที่สุด คือการปลอมอีเมลให้คล้ายของจริง ตัวอย่างเช่น
อีเมลจริง : company.co.th
อีเมลปลอม : cornpany.co.th
ซึ่งนั่นทำให้แม้จะมองเผิน ๆ อาจแทบไม่ต่างกัน แต่ตัวอักษรบางตัวถูกเปลี่ยนเพื่อให้คนสังเกตได้ยาก
ในบางกรณี มิจฉาชีพไม่ได้แค่ปลอมอีเมล แต่สามารถเข้าถึงอีเมลจริงขององค์กร แล้วแอบติดตามบทสนทนาเป็นเวลาหลายสัปดาห์ เพื่อเรียนรู้รูปแบบการพูด วิธีการสั่งงาน และช่วงเวลาที่มีการโอนเงิน
จากนั้นจึงส่งข้อความในจังหวะที่เหมาะสม เช่น
“ด่วนมาก ช่วยโอนเงินรายการนี้ก่อนเที่ยงด้วย”
“ผมกำลังประชุมอยู่ โทรไม่ได้”
“เรื่องนี้เป็นความลับ ยังไม่ต้องแจ้งใคร”
“CEO อนุมัติแล้ว ดำเนินการได้ทันที”
เพียงไม่กี่ประโยค ก็สามารถสร้างแรงกดดันจนหลายคนตัดสินใจโดยไม่ทันตรวจสอบ
ทำไมคนจึงตกเป็นเหยื่อได้ง่าย
กลโกงนี้อาศัยจิตวิทยาหลายด้านพร้อมกัน อย่างแรกคือ อำนาจ เมื่อคำสั่งมาจากผู้บริหารระดับสูง หลายคนไม่กล้าตั้งคำถาม อย่างที่สองคือ ความเร่งด่วน เมื่อมีคำว่า “ด่วน” หรือ “ต้องทำทันที” คนมักโฟกัสกับเวลา มากกว่าความถูกต้อง และสุดท้ายคือ ความลับ เพราะเมื่อถูกกำชับว่า “อย่าบอกใคร” กระบวนการตรวจสอบภายในองค์กรก็จะหายไปทันที
วิธีป้องกันที่คนในองค์กรควรมีติดตัว
แม้กลโกงนี้จะดูซับซ้อน แต่สามารถลดความเสี่ยงได้หากมีขั้นตอนที่ชัดเจน
• อย่ายืนยันคำสั่งโอนเงินผ่านอีเมลเพียงช่องทางเดียว
• หากมีการเปลี่ยนบัญชีรับเงิน ต้องโทรตรวจสอบกับคู่ค้าโดยตรง
• กำหนดการอนุมัติหลายชั้น
• ใช้ระบบยืนยันตัวตนหลายขั้นตอน (MFA)
• อบรมพนักงานให้รู้เท่าทันภัยไซเบอร์อย่างสม่ำเสมอ
สิ่งสำคัญที่สุดคือ ยิ่งข้อความเร่งด่วนมากเท่าไร ยิ่งควรตรวจสอบมากขึ้นเท่านั้น เพราะในหลายครั้ง ความเสียหายไม่ได้เกิดจากการเจาะระบบที่ซับซ้อน แต่เกิดจากการเจาะ “ความไว้วางใจ” ของคนในองค์กร และเมื่อเงินถูกโอนออกไปแล้ว การตามกลับคืนอาจเป็นเรื่องยากมากกว่าที่หลายคนคิด
ฉะนั้นแล้ว ไม่ว่าจะเป็นองค์กรใหญ่หรือเล็กขนาดไหน การฝึกบุคลากรให้มีความรู้เท่าทัน และการตั้งคำถามกับสิ่งที่เกิดขึ้น อาจเป็นเกราะป้องกันภัยที่ช่วยยับยั้งไม่ให้ปัญหาใหญ่ตามมา เพราะ “คำสั่งจากเจ้านาย” อาจไม่ใช่ของจริงเสมอไป ด้วยความปรารถนาดีจาก ศูนย์ปฏิบัติการแก้ไขปัญหาอาชญากรรมออนไลน์ AOC 1441 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
#กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม #ดิจิทัลเพื่อเศรษฐกิจและสังคม #DE #AOC1441
064-2086657 (ในวันและเวลาราชการ)/ สอบถามข้อมูลภาครัฐ โครงการต่างๆ, แจ้งเบาะแสข่าวปลอม ภัยออนไลน์ สายด่วน 1111 (โทรฟรี 24ชม.)
ช่องทางสำหรับงานสารบรรณอิเล็กทรอนิกส์ ประชาชนยื่นคำขอ หรือติอต่อสำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (saraban@mdes.go.th)
