การละเมิดอีเมลระดับธุรกิจ (BEC) คืออะไร

การละเมิดอีเมลระดับธุรกิจ (BEC) คือการโจมตีฟิชชิ่งชนิดหนึ่งที่พุ่งเป้าไปที่องค์กร โดยมีเป้าหมายเพื่อขโมยเงินหรือข้อมูลสำคัญ

คำจำกัดความของการละเมิดอีเมลระดับธุรกิจ (BEC)

การละเมิดอีเมลระดับธุรกิจ (BEC) คืออาชญากรรมไซเบอร์ชนิดหนึ่งที่สแกมเมอร์ใช้อีเมลเพื่อหลอกให้ผู้อื่นส่งเงินหรือเปิดเผยข้อมูลที่เป็นความลับของบริษัท คนร้ายจะปลอมเป็นบุคคลที่น่าเชื่อถือ จากนั้นขอใบเรียกเก็บเงินปลอมหรือขอข้อมูลสำคัญที่พวกเขาสามารถใช้ในการหลอกลวงครั้งอื่นได้ การหลอกลวง BEC กำลังเพิ่มจำนวนมากขึ้นเนื่องจากการทำงานจากระยะไกลที่เพิ่มมากขึ้น มีการร้องเรียนเรื่อง BEC ถึง FBI เกือบ 20,000 ครั้งในปีที่แล้ว¹

ชนิดของการหลอกลวงการละเมิดอีเมลระดับธุรกิจ

อีเมลคือจุดเริ่มต้นของการโจมตีทางไซเบอร์ถึง 91 เปอร์เซ็นต์² เรียนรู้เกี่ยวกับชนิดของอีเมลที่ถูกละเมิดที่พบบ่อยที่สุด

การโจรกรรมข้อมูล

ในบางครั้ง สแกมเมอร์จะเริ่มต้นโดยพุ่งเป้าไปที่แผนก HR และขโมยข้อมูลของบริษัท เช่น กำหนดการหรือหมายเลขโทรศัพท์ส่วนบุคคลของใครสักคน จากนั้น การดำเนินการหลอกลวง BEC จะง่ายดายขึ้นและทำให้ดูน่าเชื่อถือมากยิ่งขึ้น

รูปแบบใบแจ้งหนี้ปลอม

สแกมเมอร์ที่แสร้งทำตัวเป็นผู้ขายที่ถูกต้องตามกฎหมายที่บริษัทของคุณทำงานด้วยจะส่งอีเมลใบเรียกเก็บเงินปลอม ซึ่งมักจะคล้ายกับของจริงมาก หมายเลขบัญชีอาจจะขาดหายไปหนึ่งหลัก หรือพวกเขาอาจขอให้ชำระเงินผ่านธนาคารอื่น โดยอ้างว่ากำลังดำเนินการตรวจสอบธนาคารของคุณ

การฉ้อโกง CEO

สแกมเมอร์อาจปลอมแปลงหรือแฮกบัญชีอีเมลของ CEO แล้วส่งอีเมลคำสั่งให้พนักงานทำการซื้อหรือส่งเงินด้วยการโอนเงินเข้าบัญชีธนาคาร สแกมเมอร์อาจขอให้พนักงานซื้อบัตรกำนัล แล้วขอรูปถ่ายหมายเลขลำดับประจำสินค้า

การเลียนแบบเป็นนักกฎหมาย

ในการหลอกลวงนี้ ผู้โจมตีสามารถเข้าถึงบัญชีอีเมลของบริษัทกฎหมายโดยไม่ได้รับอนุญาต จากนั้น พวกเขาจะส่งอีเมลใบแจ้งหนี้หรือลิงก์ให้ชำระเงินออนไลน์แก่ลูกค้า ถึงแม้ที่อยู่อีเมลจะถูกต้อง แต่บัญชีธนาคารไม่ถูกต้อง

การละเมิดบัญชี

สแกมเมอร์ใช้ฟิชชิ่งหรือมัลแวร์เพื่อเข้าถึงบัญชีอีเมลของพนักงานฝ่ายการเงิน เช่น ผู้จัดการฝ่ายบัญชีลูกหนี้ จากนั้น สแกมเมอร์จะส่งอีเมลใบแจ้งหนี้ปลอมของซัพพลายเออร์บริษัท ซึ่งขอให้ชำระเงินให้บัญชีธนาคารหลอก

การหลอกลวง BED ทำงานอย่างไร

ต่อไปนี้คือสิ่งที่เกิดขึ้นในการหลอกลวง BEC:

1. สแกมเมอร์ค้นคว้าเป้าหมายและหาวิธีปลอมแปลงข้อมูลประจำตัวของตน ในบางครั้ง พวกเขาอาจสร้างเว็บไซต์ปลอม หรือแม้แต่จดทะเบียนบริษัทที่มีชื่อเดียวกับบริษัทของคุณในประเทศอื่น

2. เมื่อเข้าถึงได้แล้ว สแกมเมอร์จะตรวจสอบอีเมลเพื่อดูว่าใครเป็นผู้ส่งหรือรับเงิน นอกจากนี้ พวกเขายังดูรูปแบบการสนทนาและใบแจ้งหนี้ด้วย

3. ระหว่างการสนทนาทางอีเมล สแกมเมอร์จะเลียนแบบเป็นฝ่ายใดฝ่ายหนึ่งโดยการปลอมแปลงโดเมนอีเมล (ที่อยู่อีเมลอาจมีตัวอักษรขาดหายไปหนึ่งหรือสองตัว หรืออาจเป็นที่อยู่อีเมลที่ถูกต้อง “บน” โดเมนอื่น ตัวอย่างเช่น chris@contoso.com บน fabrikam.com)

4. สแกมเมอร์จะพยายามทำให้เป้าหมายไว้ใจ แล้วขอเงิน บัตรกำนัล หรือข้อมูล

เป้าหมายของการละเมิดอีเมลระดับธุรกิจ

ทุกคนสามารถตกเป็นเป้าหมายของการหลอกลวง BEC ได้ ธุรกิจ ภาครัฐ องค์กรไม่แสวงผลกำไร และโรงเรียนล้วนตกเป็นเป้าหมายได้ โดยเฉพาะบทบาทเหล่านี้:

1. ผู้บริหารและผู้นำ เนื่องจากรายละเอียดเกี่ยวกับพวกเขามักจะเผยแพร่ต่อสาธารณะบนเว็บไซต์ของบริษัท ดังนั้นผู้โจมตีจึงสามารถแกล้งทำเป็นรู้จักพวกเขาได้

2. พนักงานฝ่ายการเงิน เช่น ผู้ควบคุมหรือพนักงานบัญชีเจ้าหนี้ที่มีรายละเอียดธนาคาร วิธีการชำระเงิน และหมายเลขบัญชี

3. ผู้จัดการ HRที่มีบันทึกของพนักงาน เช่น หมายเลขประกันสังคม ใบแจ้งยอดภาษี ข้อมูลที่ติดต่อ และกำหนดการ

4. พนักงานใหม่หรือระดับเริ่มต้นที่ไม่สามารถยืนยันความถูกต้องของอีเมลกับผู้ส่งได้

อันตรายของ BEC

หากการโจมตีการละเมิดอีเมลระดับธุรกิจประสบความสำเร็จ องค์กรของคุณอาจ:

1. เสียเงินหลายแสนถึงหลายล้านดอลลาร์

2. เผชิญกับการโจรกรรมข้อมูลประจำตัวในวงกว้างหากข้อมูลที่ระบุตัวบุคคลถูกขโมย

3. เผลอทำข้อมูลที่เป็นความลับรั่วไหล เช่น ทรัพย์สินทางปัญญา

เมื่อรูปแบบ BEC พัฒนาขึ้น กลยุทธ์การป้องกันภัยคุกคามก็เช่นกัน อันที่จริง Microsoft ได้บล็อกภัยคุกคามทางอีเมล 32 พันล้านรายการในปีที่แล้ว³ เรียนรู้เพิ่มเติมเกี่ยวกับโซลูชันการป้องกันภัยคุกคามทางอีเมลของ Microsoft

ตัวอย่างการละเมิดอีเมลระดับธุรกิจ

ตัวอย่างที่ 1: ชำระใบเรียกเก็บเงินนี้โดยด่วน

สมมติว่าคุณทำงานในแผนกการเงินของบริษัทของคุณ คุณได้รับอีเมลจาก CFO ที่มีคำขอเร่งด่วนเกี่ยวกับการเรียกเก็บเงินที่ค้างชำระ แต่จริงๆ แล้วไม่ได้มาจาก CFO หรือสแกมเมอร์จะแสร้งทำเป็นบริษัทซ่อมแซมหรือผู้ให้บริการอินเทอร์เน็ตของคุณและส่งอีเมลใบแจ้งหนี้ที่ดูน่าเชื่อ

ตัวอย่างที่ 2: หมายเลขโทรศัพท์ของคุณคือหมายเลขใด

ผู้บริหารของบริษัทส่งอีเมลถึงคุณว่า “ฉันต้องการความช่วยเหลือเกี่ยวกับงานด่วน โปรดส่งหมายเลขโทรศัพท์ของคุณให้ฉันและฉันจะส่งข้อความถึงคุณ” การส่งข้อความให้ความรู้สึกปลอดภัยและเป็นส่วนตัวมากกว่าอีเมล ดังนั้น สแกมเมอร์งหวังว่าคุณจะส่งข้อมูลการชำระเงินหรือข้อมูลที่ละเอียดอ่อนอื่นๆ ให้กับพวกเขา วิธีนี้เรียกว่า “สมิชชิ่ง” หรือฟิชชิ่งทางข้อความ SMS (ข้อความ)

ตัวอย่างที่ 3: สัญญาเช่าของคุณกำลังจะหมดอายุ

สแกมเมอร์จะเข้าถึงอีเมลของบริษัทอสังหาริมทรัพย์ จากนั้นจะค้นหาธุรกรรมที่อยู่ระหว่างดำเนินการ พวกเขาส่งอีเมลมถึงลูกค้าว่า “นี่คือใบเรียกเก็บเงินในการต่ออายุสัญญาเช่าสำนักงานของคุณอีกหนึ่งปี” หรือ “นี่คือลิงก์ในการชำระค่าเช่าของคุณ” เมื่อเร็วๆ นี้ สแกมเมอร์หลอกลวงผู้คนแล้วได้เงินมากกว่า 500,000 ดอลลาร์ด้วยวิธีนี้⁴

ตัวอย่างที่ 4: การจัดซื้อลับสุดยอด

เจ้านายของคุณขอเงินมัดจำเพื่อซื้อกิจการของหนึ่งในคู่แข่งของคุณ อีเมลระบุว่า “โปรดอย่าบอกเรื่องนี้กับใคร” เพื่อขัดขวางไม่ให้คุณยืนยันคำขอนี้ เนื่องจากรายละเอียด M&A มักถูกเก็บเป็นความลับจนกว่าทุกอย่างจะสิ้นสุดลง การหลอกลวงนี้จึงอาจดูไม่น่าสงสัยในตอนแรก

เคล็ดลับในการป้องกัน BEC

ทำตามแนวทางปฏิบัติทั้งห้าข้อต่อไปนี้เพื่อยับยั้งการละเมิดอีเมลระดับธุรกิจ:

ใช้โซลูชันอีเมลที่ปลอดภัย

แอปอีเมล เช่น Office 365 จะตั้งค่าสถานะและลบอีเมลที่น่าสงสัยโดยอัตโนมัติ หรือแจ้งให้คุณทราบว่าผู้ส่งไม่ได้รับการยืนยัน จากนั้น คุณสามารถบล็อกผู้ส่งบางรายและรายงานอีเมลเป็นสแปมได้ Defender for Office 365 เพิ่มฟีเจอร์การป้องกัน BEC มากขึ้น เช่น การป้องกันฟิชชิ่งขั้นสูงและการตรวจหาการส่งต่อที่น่าสงสัย

ตั้งค่าการรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA)

ทำให้อีเมลของคุณถูกละเมิดได้ยากขึ้นโดยการเปิดการรับรองความถูกต้องโดยใช้หลายปัจจัย ซึ่งบังคับให้ใช้รหัส PIN หรือลายนิ้วมือในการเข้าสู่ระบบ รวมถึงรหัสผ่านของคุณ

สอนให้พนักงานสังเกตสัญญาณเตือน

ตรวจสอบให้แน่ใจว่าทุกคนรู้วิธีสังเกตลิงก์ฟิชชิ่ง โดเมนและที่อยู่อีเมลที่ไม่ตรงกัน และค่าสถานะสีแดงอื่นๆ จำลองการหลอกลวง BEC เพื่อให้บุคลากรสังเกตได้เมื่อเกิดเหตุการณ์จริง

กำหนดค่าเริ่มต้นการรักษาความปลอดภัย

ผู้ดูแลระบบสามารถทำให้ข้อกำหนดด้านความปลอดภัยรัดกุมทั่วทั้งองค์กรโดยกำหนดให้ทุกคนใช้ MFA ซึ่งตรวจสอบการเข้าถึงใหม่หรือการเข้าถึงที่มีความเสี่ยงด้วยการรับรองความถูกต้อง และบังคับให้รีเซ็ตรหัสผ่านหากข้อมูลรั่วไหล

ใช้เครื่องมือการรับรองความถูกต้องของอีเมล

ทำให้อีเมลของคุณถูกปลอมแปลงได้ยากขึ้นโดยการรับรองความถูกต้องของผู้ส่งโดยใช้เฟรมเวิร์กนโยบายตรวจสอบผู้ส่ง (SPF), DomainKeys Identified Mail (DKIM) และการรับรองความถูกต้อง การรายงาน และความสอดคล้องกันของข้อความตามโดเมน (DMARC)

ใช้แพลตฟอร์มการชำระเงินที่ปลอดภัย

พิจารณาเปลี่ยนจากใบแจ้งหนี้ทางอีเมลไปใช้ระบบที่ออกแบบมาเพื่อรับรองความถูกต้องของการชำระเงินโดยเฉพาะ

การป้องกันการละเมิดอีเมลระดับธุรกิจ

ช่วยปกป้ององค์กรของคุณด้วยโซลูชันในการตรวจหาอีเมลที่น่าสงสัย เช่น Microsoft Defender for Office 365 ซึ่งสามารถ:

1. ตรวจสอบมาตรฐานการรับรองความถูกต้องของอีเมล ตรวจหาการปลอมแปลง และส่งอีเมลเพื่อไปยังโฟลเดอร์กักกันหรืออีเมลขยะโดยอัตโนมัติ

2. ใช้ AI เพื่อจำลองรูปแบบอีเมลปกติของแต่ละบุคคลและตั้งค่าสถานะกิจกรรมที่ผิดปกติ

3. กำหนดค่าการป้องกันอีเมลตามผู้ใช้ โดเมน และกล่องจดหมาย

4. ตรวจสอบภัยคุกคาม ค้นหาว่าใครกำลังตกเป็นเป้าหมาย ตรวจหาผลลัพธ์ที่ผิด และระบุสแกมเมอร์ในตัวสำรวจภัยคุกคาม

5. ตรวจสอบรูปแบบอีเมลทั่วทั้งโดเมนและไฮไลต์กิจกรรมที่ผิดปกติด้วยอัลกอริทึมขั้นสูงในระบบอัจฉริยะป้องกันการหลอกลวง

เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Security

หกเคล็ดลับในการทำให้อีเมลปลอดภัยยิ่งขึ้น

ทำตามแนวทางปฏิบัติการรักษาความปลอดภัยอีเมลเหล่านี้เพื่อช่วยป้องกัน BEC

อ่านเคล็ดลับ

เข้าใจการหลอกลวงด้วยบัตรกำนัล

อ่านอีเมลจริงจากสแกมเมอร์ที่พยายามทำการหลอกลวง BEC เพื่อให้คุณพร้อมรับมือ

ค้นหากลยุทธ์

เจาะลึกการโจมตี BEC

เรียนรู้ว่าสแกมเมอร์ทำการหลอกลวงการละเมิดอีเมลระดับธุรกิจในชีวิตจริงอย่างไร

ดูรายละเอียด

ป้องกันการโจมตีแบบ Password Spray

เรียนรู้วิธีการยับยั้งการโจมตีทางอีเมลนี้และค้นหาว่าใครในองค์กรของคุณที่มีช่องโหว่

อ่านโพสต์

สิ่งที่ CISO ควรทราบ

เรียนรู้เกี่ยวกับสถานะของการฝึกอบรมความตระหนักด้านความปลอดภัยและวิธีการให้ความรู้เกี่ยวกับฟิชชิ่งกับทีมของคุณ

อ่านเพิ่มเติม

MFA ป้องกันฟิชชิ่งได้อย่างไร

ทำหนึ่งในขั้นตอนป้องกันการหลอกลวง BEC ที่รวดเร็วและเรียบง่ายที่สุด: เปิดการรับรองความถูกต้องโดยใช้หลายปัจจัย

เรียนรู้เพิ่มเติม

พบกับหน่วยอาชญากรรมดิจิทัล

เรียนรู้ว่าทีมอาชญากรรมไซเบอร์ของ Microsoft ตอบโต้ BEC ด้วยนวัตกรรมผลิตภัณฑ์ การค้นคว้า และ AI ได้อย่างไร

ค้นพบ DCU

คำถามที่ถามบ่อย

จัดทำข้อร้องเรียนถึง Internet Crime Complaint Center (IC3) ของ FBI รายงานอีเมลผ่านผู้ให้บริการอีเมลของคุณโดยการทำเครื่องหมายเป็นขยะหรือสแปม หากอีเมลของคุณไม่มีตัวเลือกดังกล่าว ให้แจ้งให้หัวหน้างานของคุณทราบ
ฟิชชิ่งเป็นเพียงส่วนหนึ่งของการละเมิดอีเมลระดับธุรกิจ BEC เป็นคำที่ให้ความหมายครอบคุมในวงกว้างของการโจมตีชนิดหนึ่ง ซึ่งมักจะรวมถึงฟิชชิ่ง การปลอมแปลง การเลียนแบบ และใบแจ้งหนี้ปลอม
ปกป้องอีเมลธุรกิจโดยการทำตามแนวทางปฏิบัติการรักษาความปลอดภัยอีเมล เช่น การใช้ผู้ให้บริการอีเมลที่ปลอดภัย การเปิดการรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) การเลือกรหัสผ่านอีเมลที่คาดเดาได้ยากและเปลี่ยนเป็นประจำ และไม่แชร์รายละเอียดส่วนบุคคลทางออนไลน์ หากคุณเป็นผู้ดูแลระบบ ให้พิจารณาใช้โซลูชันการรักษาความปลอดภัยอีเมล เช่น Defender for Office 365 กำหนดการตั้งค่าการรักษาความปลอดภัย และตรวจสอบกิจกรรมเพื่อค้นหาสิ่งผิดปกติ
ตรวจสอบการหลอกลวงและการฉ้อโกง BEC โดยการสังเกตสิ่งที่ผิดปกติ เช่น อีเมลที่ส่งนอกเวลาทำการ ชื่อที่สะกดผิด ที่อยู่อีเมลของผู้และที่อยู่ที่ตอบกลับไม่ตรงกัน ความรู้สึกเร่งด่วน ลิงก์และสิ่งที่แนบมาที่น่าสงสัย หรือการเปลี่ยนแปลงข้อมูลการชำระเงินหรือการเรียกเก็บเงิน นอกจากนี้ คุณยังสามารถตรวจหาการหลอกลวง BEC โดยการตรวจสอบอีเมลที่ถูกลบและกฎหมายส่งต่อของบัญชีอีเมลของคุณเพื่อดูว่าบัญชีของคุณถูกละเมิดหรือไม่ หากแอปอีเมลตั้งค่าสถานะอีเมลบางฉบับเป็นน่าสงสัยหรือไม่ได้ตรวจสอบ นั่นเป็นอีกวิธีหนึ่งในการตรวจหาการหลอกลวง BEC
การปลอมแปลงอีเมลคือการสร้างที่อยู่อีเมลให้ดูเหมือนกับอีเมลที่มาจากบุคคลอื่น อีเมลที่ปลอมแปลงอาจดูเหมือนกับของจริง แต่มาจากโดเมนอื่นที่ดูเหมือนปกติจนกว่าคุณจะตรวจสอบ (chris@contoso.com บน fabrikam.com) หรือมีคำที่สะกดผิด (chris@cont0so.com) หรือมาจากโดเมนอื่น (chris@fabrikam.com).

1. FBI “รายงานอาชญากรรมบนอินเทอร์เน็ตปี 2021”. Internet Crime Complaint Center. 2021.

2. Tanmay Ganacharya “ป้องกันการโจมตีฟิชชิ่งในธีมไวรัสโคโรน่า” บล็อก Microsoft Security 20 มีนาคม 2020.

3. Microsoft. “รายงานการป้องกันดิจิทัล”. ตุลาคม 2021

4. กระทรวงยุติธรรมสหรัฐ. “ชายจากโรดไอแลนด์สารภาพผิดว่าสมรู้ร่วมคิดในคดีฟอกเงิน ซึ่งหลอกลวงด้วยการละเมิดอีเมลที่พุ่งเป้าไปที่นักกฎหมายจากแมสซาชูเซตส์”. 15 กรกฎาคม 2020.