ศูนย์ปฏิบัติการแก้ไขปัญหาอาชญากรรมออนไลน์ (AOC 1441) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ออกโรงเตือนภัยไซเบอร์รูปแบบพิเศษอย่าง “CEO Fraud” หรือ “Business Email Compromise (BEC)” ซึ่งเป็นกลโกงที่มิจฉาชีพพุ่งเป้าปลอมตัวเป็นผู้บริหารระดับสูงหรือคู่ค้าเพื่อส่งอีเมลลวงให้พนักงานบัญชีโอนเงินด่วน เผยจุดอันตรายไม่ใช่การใช้มัลแวร์ แต่เน้นเจาะจิตวิทยา “ความน่าเชื่อถือและแรงกดดัน” ย้ำทุกองค์กรต้องปรับกระบวนการตรวจสอบภายในอย่างเข้มงวดก่อนที่ความเสียหายทางการเงินจะยากเกินเยียวยา
เจาะลึกภัยเงียบ BEC Scam เมื่อคำสั่งเจ้านายกลายเป็นกับดัก
ยุคปัจจุบันที่การขับเคลื่อนองค์กรพึ่งพาการสื่อสารออนไลน์และการอนุมัติทางการเงินผ่านระบบดิจิทัลเป็นหลัก ได้กลายเป็นช่องโหว่สำคัญให้มิจฉาชีพพัฒนาเทคนิคการโจมตีที่มีความซับซ้อนและสร้างความเสียหายมูลค่าสูงอย่างต่อเนื่อง เป้าหมายการโจมตีที่น่ากลัวที่สุดในเวลานี้คือ ” อีเมลผู้บริหาร” ภัยเงียบที่เรียกว่า CEO Fraud หรือ Business Email Compromise (BEC) ซึ่งเป็นการผสมผสานระหว่างเทคโนโลยีเชิงจิตวิทยาที่สร้างความสูญเสียให้แก่บรรดาองค์กรขนาดใหญ่ทั่วโลกมาแล้วนับไม่ถ้วน
ความน่ากลัวของกลโกงรูปแบบนี้อยู่ตรงที่มันไม่ใช่การส่งลิงก์ปลอมทั่วไปเพื่อหลอกให้กดรับรางวัลเหมือนในอดีต และในหลาย ๆ ครั้ง มิจฉาชีพก็ไม่จำเป็นต้องพึ่งพาการเขียนโค้ดเพื่อส่งมัลแวร์หรือไวรัสเข้าไปเจาะระบบคอมพิวเตอร์เลยด้วยซ้ำ แต่พวกเขากลับเลือกใช้เครื่องมือที่อันตรายและทรงพลังยิ่งกว่า นั่นคือการอาศัย “ความน่าเชื่อถือ” ของตำแหน่งหน้าที่การงาน และการสร้าง “แรงกดดัน” ในเรื่องของเวลามาเป็นเครื่องมือหลักในการเจาะระบบความคิดของมนุษย์
ลักษณะการทำงานของสแกมเมอร์จะทำการปลอมตัวเป็นผู้บริหารระดับสูง เจ้าของบริษัท หรือแม้กระทั่งสวมรอยเป็นบริษัทคู่ค้าที่มีการทำธุรกิจร่วมกันอยู่ จากนั้นจะส่งคำสั่งตรงไปยังพนักงานเป้าหมาย โดยเฉพาะกลุ่มพนักงานในฝ่ายบัญชีและการเงินที่ถือสิทธิ์การทำธุรกรรม คำสั่งส่วนใหญ่มักจะเกี่ยวข้องกับการสั่งให้โอนเงินด่วน การชำระค่าสินค้า หรือการแจ้งเปลี่ยนบัญชีธนาคารในการรับเงิน ซึ่งพนักงานจำนวนมากมักหลงเชื่อว่าเป็นคำสั่งจริงจากผู้มีอำนาจและรีบดำเนินการทันทีโดยไม่ได้ตรวจสอบ
เปิดพฤติกรรมสวมรอยแยบยล วิเคราะห์ข้อมูลลึกก่อนลงมือ
กระบวนการทำงานของกลุ่มมิจฉาชีพไม่ได้เกิดขึ้นจากการสุ่มเลือกเหยื่ออย่างไร้ทิศทาง แต่ผ่านการวางแผน วิเคราะห์ และสืบค้นเก็บข้อมูลขององค์กรเป้าหมายมาเป็นอย่างดีล่วงหน้า มิจฉาชีพมักจะใช้เวลาค่อนข้างนานในการศึกษาโครงสร้างองค์กรอย่างละเอียด ผ่านช่องทางต่าง ๆ ที่องค์กรเปิดเผยต่อสาธารณะ เช่น หน้าเว็บไซต์ของบริษัท แพลตฟอร์มโซเชียลมีเดีย ข่าวประชาสัมพันธ์ หรือแม้แต่แพลตฟอร์มสำหรับการทำงานร่วมกันภายใน
ข้อมูลเชิงลึกที่ถูกนำไปใช้ประโยชน์ในกลโกงนี้มีตั้งแต่รายชื่อและตำแหน่งของผู้บริหาร โครงสร้างการบังคับบัญชา รายชื่อพนักงานในฝ่ายการเงิน รายชื่อบริษัทคู่ค้า ตลอดจนรูปแบบการสื่อสารและภาษาที่ใช้ภายในองค์กร ปัจจัยเหล่านี้ชี้ให้เห็นว่า ยิ่งองค์กรมีการเปิดเผยข้อมูลภายในสู่สาธารณะมากเท่าใด มิจฉาชีพก็ยิ่งมีวัตถุดิบในการนำมาสร้างสถานการณ์จำลองให้ดูสมจริงและแนบเนียนมากขึ้นเท่านั้น จนทำให้พนักงานยากที่จะเกิดความสงสัยหรือตั้งข้อสังเกตได้ทัน
เทคนิคที่พบได้บ่อยที่สุดคือการใช้วิธีปลอมแปลงชื่อที่อยู่ อีเมลผู้บริหาร ให้มีความคล้ายคลึงกับอีเมลจริงขององค์กรจนแทบแยกไม่ได้ด้วยตาเปล่า ตัวอย่างเช่น การเปลี่ยนจากโดเมนเนมของจริงที่เป็น company.co.th ไปเป็น cornpany.co.th โดยเปลี่ยนตัวอักษร “m” เป็น “r” และ “n” ติดกัน นอกจากนี้ในบางกรณีที่ร้ายแรง มิจฉาชีพสามารถแฮกเข้าสู่ระบบอีเมลจริงได้สำเร็จ และแอบฝังตัวติดตามอ่านบทสนทนานานหลายสัปดาห์เพื่อเรียนรู้วิธีการสั่งงาน และจังหวะเวลาในการโอนเงินขององค์กรนั้น ๆ อย่างแม่นยำ
กลยุทธ์จิตวิทยาทำลายระบบ สั่งการด่วน-ลับ-ห้ามบอกใคร
เมื่อถึงจังหวะเวลาที่เหมาะสม มิจฉาชีพจะส่งข้อความสั้น ๆ ที่ทรงพลังและสร้างความกดดันอย่างสูงเพื่อปิดโอกาสในการไตร่ตรอง ประโยคยอดฮิตที่มักถูกนำมาใช้ เช่น การเร่งรัดให้โอนเงินด่วนที่สุดก่อนเวลาที่กำหนด การอ้างว่ากำลังติดประชุมสำคัญไม่สามารถรับสายโทรศัพท์เพื่อยืนยันตัวตนได้ หรือการกำชับว่าเป็นธุรกรรมลับสุดยอดที่ยังไม่สามารถเปิดเผยให้คนอื่นในทีมรับรู้ได้ คำพูดเหล่านี้สามารถสร้างแรงกดดันจนทำให้พนักงานตัดสินใจทำธุรกรรมไปโดยไม่ได้ตรวจสอบความถูกต้องตามขั้นตอน
เบื้องหลังความสำเร็จของกลโกงนี้คือการเลือกใช้หลักจิตวิทยาพร้อมกันถึงสามด้าน ด้านแรกคือเรื่องของ “อำนาจ” (Authority) เนื่องจากคำสั่งถูกส่งมาจากบุคคลระดับบนสุด ทำให้พนักงานชั้นผู้น้อยไม่กล้าที่จะตั้งคำถามหรือปฏิเสธ ด้านที่สองคือ “ความเร่งด่วน” (Urgency) ที่บีบบังคับให้คนโฟกัสไปที่เงื่อนไขของเวลาที่จำกัดมากกว่าการตรวจสอบความถูกต้อง และด้านสุดท้ายคือ “ความลับ” (Secrecy) ที่ตัดกระบวนการตรวจสอบภายในองค์กรออกไปโดยสิ้นเชิงจากการสั่งห้ามบอกใคร
สถิติและลักษณะของคดีสะท้อนให้เห็นว่า ความเสียหายร้ายแรงส่วนใหญ่ภายในองค์กรไม่ได้เกิดจากการที่ระบบรักษาความปลอดภัยทางไซเบอร์ถูกเจาะด้วยเทคโนโลยีขั้นสูง แต่เกิดจากการที่มิจฉาชีพสามารถเจาะผ่าน “ความไว้วางใจ” ของบุคลากรภายในองค์กรได้สำเร็จ และเมื่อใดก็ตามที่กระบวนการโอนเงินเสร็จสิ้นและเงินถูกย้ายออกจากบัญชีธนาคารไปแล้ว การติดตามเงินจำนวนดังกล่าวกลับคืนมาสู่องค์กรมักจะเป็นเรื่องที่ทำได้ยากลำบากและมีความซับซ้อนมากกว่าที่หลายคนคาดคิด
สร้างเกราะป้องกันไซเบอร์ วางมาตรการสกัดก่อนสูญเสีย
แม้ว่ากลวิธีในการหลอกลวงของกลุ่ม CEO Fraud จะมีความแนบเนียนและซับซ้อนเพียงใด แต่ผู้เชี่ยวชาญระบุว่าองค์กรธุรกิจสามารถลดความเสี่ยงและป้องกันภัยเงียบนี้ได้ หากมีการจัดวางแนวทางปฏิบัติและขั้นตอนการทำงานที่ชัดเจน มาตรการขั้นต้นที่สำคัญที่สุดคือการยกเลิกกระบวนการยืนยันคำสั่งโอนเงินผ่านทางช่องทางอีเมลเพียงช่องทางเดียวอย่างเด็ดขาด โดยจะต้องกำหนดให้มีช่องทางการสื่อสารอื่นในการทวนสอบคำสั่งเสมอ
ในกรณีที่มีการแจ้งขอเปลี่ยนหมายเลขบัญชีธนาคารในการรับชำระเงินจากคู่ค้า พนักงานฝ่ายบัญชีต้องใช้วิธีการโทรศัพท์ติดต่อกลับไปตรวจสอบกับทางบริษัทคู่ค้าโดยตรงผ่านเบอร์โทรศัพท์ที่บันทึกไว้เดิม ยิ่งไปกว่านั้น องค์กรควรปรับปรุงระบบภายในด้วยการกำหนดนโยบายการอนุมัติธุรกรรมทางการเงินแบบหลายชั้น รวมถึงการนำระบบยืนยันตัวตนหลายขั้นตอน หรือ Multi-Factor Authentication (MFA) มาใช้ในระบบอีเมลเพื่อป้องกันการถูกแฮกสวมรอย
สิ่งสำคัญที่เป็นรากฐานของการป้องกันในระยะยาวคือการจัดให้มีการฝึกอบรมพนักงานภายในองค์กรอย่างสม่ำเสมอ เพื่อให้บุคลากรทุกระดับรู้เท่าทันความเปลี่ยนแปลงของภัยไซเบอร์ในรูปแบบใหม่ ๆ กฎเหล็กที่พนักงานทุกคนต้องระลึกไว้คือ ยิ่งข้อความหรือคำสั่งนั้นมีความเร่งด่วนและสร้างแรงกดดันมากเท่าใด ยิ่งต้องเพิ่มความระมัดระวังและดำเนินการตรวจสอบให้เข้มงวดมากขึ้นเท่านั้น เพราะการสร้างความตระหนักรู้และการตั้งคำถามคือเกราะป้องกันภัยที่ดีที่สุด
บทสรุปและแนวทางรับมืออย่างยั่งยืนขององค์กรยุคใหม่
การเผชิญหน้ากับภัยคุกคามทางไซเบอร์ในปัจจุบัน ไม่ว่าจะเป็นองค์กรธุรกิจขนาดใหญ่ที่มีระบบซับซ้อน หรือธุรกิจขนาดกลางและขนาดย่อม (SMEs) ต่างก็ตกเป็นเป้าหมายได้ทั้งสิ้น การฝึกฝนบุคลากรให้มีความพร้อมและการสร้างวัฒนธรรมองค์กรที่เปิดโอกาสให้มีการทวนสอบคำสั่ง จะเป็นกุญแจสำคัญที่ช่วยยับยั้งความสูญเสียครั้งใหญ่ เพราะในโลกการทำงานยุคดิจิทัล สิ่งที่ส่งต่อกันมาภายใต้ชื่อ “คำสั่งจากเจ้านาย” อาจไม่ใช่เรื่องจริงเสมอไป
ทางศูนย์ปฏิบัติการแก้ไขปัญหาอาชญากรรมออนไลน์ AOC 1441 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้แสดงความห่วงใยต่อสถานการณ์ดังกล่าว พร้อมเน้นย้ำให้ทุกภาคส่วนตื่นตัวในการตรวจสอบและปรับปรุงมาตรการความปลอดภัยทางเทคโนโลยีควบคู่ไปกับการพัฒนาศักยภาพของคน สำหรับองค์กรหรือหน่วยงานใดที่ต้องการข้อมูลคำแนะนำเพิ่มเติม หรือต้องการแจ้งเหตุเบาะแสเกี่ยวกับอาชญากรรมทางไซเบอร์ สามารถติดต่อสอบถามโดยตรงได้ที่กลุ่มงานประชาสัมพันธ์ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
นอกจากนี้ ทางกระทรวงฯ ได้มอบหมายให้เจ้าหน้าที่ประชาสัมพันธ์คอยประสานงานและให้ข้อมูลแก่ประชาชนและสื่อมวลชนอย่างใกล้ชิด โดยสามารถติดต่อผู้ประสานงานหลัก ได้แก่ คุณกัญญาภัค ขุนทอง โทรศัพท์ 083-098-1034 หรือ คุณคเชนทร์ พลประดิษฐ์ โทรศัพท์ 094-625-3944 เพื่อร่วมกันสร้างความตระหนักรู้และกระจายข้อมูลข่าวสารที่เป็นประโยชน์ในการป้องกันภัยร้ายจากแก๊งคอลเซ็นเตอร์และมิจฉาชีพออนไลน์ในทุกรูปแบบ
#AOC1441, #CEOFraud, #BECScam, #ภัยไซเบอร์, #เตือนภัยออนไลน์, #หลอกโอนเงิน, #กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม, #ความปลอดภัยทางไซเบอร์, #กลโกงอีเมลผู้บริหาร, #ข่าวเศรษฐกิจ
