BEC Attack: เมื่อ CEO ปลอมขอให้โอนเงิน — รับมือยังไง

ในปี 2568 FBI รายงานว่า Business Email Compromise (BEC) สร้างความเสียหายรวมกว่า 2.9 พันล้านดอลลาร์ ทั่วโลก ในไทยเองมีเคสที่ทีมของเราเจอโดยตรงหลายสิบเคส ตั้งแต่ SME ที่โอนเงินไป 3 แสนบาท ไปจนถึงบริษัทขนาดกลางที่เสียหายกว่า 12 ล้านบาทในครั้งเดียว

สิ่งที่น่ากลัวที่สุดเกี่ยวกับ BEC คือ ไม่มี malware — ไม่มีไฟล์แนบอันตราย ไม่มี link ที่น่าสงสัย มีแค่อีเมลที่อ่านดูเหมือนมาจากผู้บริหารจริงๆ

⚠️ เคสจริงในไทย

บริษัท logistics แห่งหนึ่งในกรุงเทพฯ ได้รับอีเมลจาก "CFO" ขอให้ฝ่ายบัญชีโอนเงินค่า vendor ฉุกเฉิน 4.5 ล้านบาท เนื่องจากระบบปกติ "ขัดข้อง" — พนักงานโอนไปก่อนโทรยืนยัน เงินถูกส่งผ่าน 3 บัญชีภายใน 20 นาที และยึดคืนได้เพียง 8%

BEC ทำงานยังไง?

BEC ไม่ใช่การ hack ระบบ — มันคือ การหลอกคน attacker ใช้เทคนิคหลัก 3 แบบ:

1. Email Spoofing — ปลอม From Address

ส่งอีเมลที่ดูว่ามาจาก ceo@yourcompany.com ทั้งที่จริงมาจาก server อื่น ถ้าองค์กรไม่ได้ตั้งค่า SPF, DKIM, DMARC อีเมลปลอมเหล่านี้จะผ่านเข้า inbox ได้ตามปกติ

2. Domain Lookalike — ใช้โดเมนคล้ายๆ

แทน yourcompany.com attacker จะจดโดเมน yourcompany-th.com หรือ yourcornpany.com (สังเกตว่า rn แทน m) แล้วส่งอีเมลจากโดเมนนั้น

3. Account Takeover — เข้าถึง account จริง

วิธีนี้อันตรายที่สุด — attacker ขโมย credential ของผู้บริหารจริง แล้วส่งอีเมลจาก account จริง ระบบใดๆ ที่ไม่มี MFA จะป้องกันสิ่งนี้ไม่ได้เลย

ตัวอย่างอีเมล BEC จริงๆ หน้าตาเป็นยังไง?

From: Somchai Rujipat <ceo@yourcompany-th.com> ← โดเมนปลอม!

To: Nipa Thongchai <accounting@yourcompany.com>

Subject: ด่วนมาก - โอนเงิน vendor

Date: วันจันทร์ 08:47 น.

คุณนิภา

ขอให้โอนเงินค่า vendor ให้ด่วนนะครับ ติดประชุมกับ BOD อยู่ ไม่สะดวกโทร

ธนาคาร: กสิกรไทย
เลขบัญชี: 123-4-56789-0
ชื่อบัญชี: บจก. ซัพพลายเออร์ใหม่
จำนวน: 2,850,000 บาท

ต้องโอนให้เสร็จก่อน 10 โมงนะครับ มีสัญญาถ้าไม่ทันจะโดนปรับ

ขอบคุณครับ
สมชาย

สังเกต pattern ของ BEC ที่พบบ่อย: ความเร่งด่วน ("ก่อน 10 โมง"), ข้ออ้างที่โทรยืนยันไม่ได้ ("ติดประชุม"), และ บัญชีปลายทางที่ไม่คุ้นเคย

ป้องกันด้านเทคนิค

ตั้งค่า Email Authentication ให้ครบ 3 อย่าง

SPF (Sender Policy Framework) — ระบุว่า server ไหนมีสิทธิ์ส่งอีเมลในนามโดเมนคุณ
DKIM (DomainKeys Identified Mail) — เซ็นต์ดิจิทัลบนทุกอีเมลที่ส่งออก
DMARC (Domain-based Message Authentication) — กำหนด policy ว่าถ้าอีเมลไม่ผ่าน SPF/DKIM ให้ทำอะไร (reject, quarantine, none)

⚠️ ข้อมูลสำคัญ

จากการ audit องค์กรไทยกว่า 200 แห่งในปี 2568 พบว่า 71% มี SPF แต่มีเพียง 34% ที่ตั้งค่า DMARC ถูกต้อง และน้อยกว่า 15% ที่ตั้ง DMARC เป็น policy "reject"

ใช้ Advanced Email Security Gateway

Email security solution เช่น Barracuda Email Protection สามารถตรวจจับสิ่งที่ anti-spam ธรรมดาจับไม่ได้ เช่น domain lookalike detection, display name spoofing, และ AI-powered BEC detection ที่วิเคราะห์ writing pattern

ป้องกันด้านกระบวนการ

เทคโนโลยีอย่างเดียวไม่พอ — กระบวนการองค์กรสำคัญพอๆ กัน

ทุกการโอนเงินเกิน X บาท ต้องมีการยืนยันทางโทรศัพท์ผ่านเบอร์ที่ลงทะเบียนไว้ (ไม่ใช่เบอร์ในอีเมล)
ห้ามเปลี่ยนบัญชีปลายทาง vendor โดยไม่มีเอกสารและการ verify อิสระ
อีเมลที่มาจากโดเมนภายนอกที่แสดงชื่อ executive ให้ระบบ flag ให้เห็นชัด
พนักงานการเงินต้องผ่าน security awareness training เรื่อง BEC อย่างน้อยปีละ 2 ครั้ง
กำหนด "cooling period" สำหรับ vendor ใหม่ก่อนอนุมัติโอนเงิน

ถ้าโดน BEC แล้ว ยังทำอะไรได้บ้าง?

เวลาคือสิ่งสำคัญที่สุด — ยิ่งรู้เร็ว โอกาสอายัดเงินยิ่งสูง:

โทรธนาคารทันที — แจ้งขอ freeze บัญชีปลายทาง ธนาคารไทยมีกระบวนการ emergency สำหรับเรื่องนี้
แจ้งตำรวจ — แจ้งความที่ กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (บก.ปอท.) พร้อมหลักฐาน
ติดต่อ DSI — กรณีมูลค่าสูงสามารถแจ้ง DSI เพื่อขอความร่วมมือระหว่างประเทศได้
Preserve evidence — อย่าลบอีเมล เก็บ header ทุกอย่างไว้สำหรับการสืบสวน

ตรวจสอบ Email Security ขององค์กรคุณ

ทีมเราสามารถ audit การตั้งค่า SPF/DKIM/DMARC และทดสอบ BEC simulation ให้กับองค์กรคุณ พร้อมรายงานและคำแนะนำที่ปฏิบัติได้จริง

ขอรับการ Audit ฟรี → ดู Email Security Solution