บล็อก Spaceship

Business email compromise (BEC) คืออะไร

ทุกปี อาชญากรได้เงินไปหลายพันล้าน ไม่ใช่ด้วยการบุกเข้าไปในหอศิลป์หรูหราหรือตู้นิรภัยของธนาคาร แต่ด้วยการส่งอีเมลที่ใช่ ไปยังคนที่ใช่ ในเวลาที่ใช่ นี่คือวิธีที่พวกเขาทำ

ในบทความนี้ คุณจะได้เรียนรู้:

  • business email compromise คืออะไรจริงๆ

  • การโจมตีเหล่านี้เกิดขึ้นได้อย่างไร ทีละขั้นตอน

  • ประเภทการโจมตี BEC ที่พบบ่อยที่สุด

  • ตัวอย่างจริงของการโจมตีมูลค่า $37 million

  • วิธีปกป้องธุรกิจของคุณก่อนที่จะกลายเป็นเป้าหมาย

business email compromise ในโลกไซเบอร์ซีเคียวริตี้คืออะไร?

Business email compromise คือการโจมตีทางไซเบอร์ที่อาชญากรปลอมตัวเป็นคนที่คุณไว้ใจ เพื่อหลอกให้คุณโอนเงินหรือส่งมอบข้อมูลที่ละเอียดอ่อน สิ่งที่ทำให้มันอันตรายคือความอดทนและการวางแผน ผู้โจมตีใช้เวลาหลายสัปดาห์เรียนรู้ว่าบริษัทสื่อสารกันอย่างไร ใครเป็นผู้มีอำนาจ และควรลงมือเมื่อใด เมื่ออีเมลมาถึง มันจะดูเหมือนอีเมลปกติจากคนที่คุณรู้จัก

การโจมตีแบบ business email compromise ทำงานอย่างไร?

การโจมตีเหล่านี้มีรูปแบบที่ใช้ได้ผลและเชื่อถือได้มานาน และมิจฉาชีพก็ทำตามแบบแผนนั้นทุกครั้ง

ขั้นตอนที่ 1 – หาเป้าหมาย

หัวใจสำคัญของการโจมตีแบบ business email compromise คือมันต้องดูน่าเชื่อถือ โชคดีสำหรับผู้โจมตี อินเทอร์เน็ตคือขุมทองของข้อมูลเกี่ยวกับเป้าหมายที่เป็นไปได้ แค่ดูโปรไฟล์โซเชียลมีเดียของคุณอย่างรวดเร็ว ก็อาจรู้ได้ว่าคุณทำงานอะไร มีเพื่อนสนิทเป็นใคร และแม้แต่น้ำเสียงการสื่อสารของคุณ เมื่อนำข้อมูลเหล่านี้มาปะติดปะต่อกับข่าวประชาสัมพันธ์เกี่ยวกับความเคลื่อนไหวในอนาคตของบริษัทและประวัติจากเว็บไซต์บริษัท มันก็เริ่มดูน่าเชื่อถือขึ้นมาทันที

ผู้โจมตีสามารถดึงข้อมูลทั้งหมดนั้นมาใช้ และภายในไม่กี่วินาที ก็สร้างอีเมลที่ดูและฟังเหมือนของจริงได้

ขั้นตอนที่ 2 – เข้าไปอยู่ในกล่องจดหมาย

เพื่อให้อีเมลดูสมจริง ผู้โจมตีต้องห่อหุ้มเนื้อหาด้วยภาพลักษณ์ที่ดูดีและน่าเชื่อถือ หากที่อยู่อีเมลไม่ได้ดูเหมือนมาจากแหล่งที่เชื่อถือได้ การหลอกลวงทั้งหมดก็จะไม่สำเร็จ

ผู้โจมตีอาจปลอมโดเมนด้วยการจดชื่ออย่าง acme-corp.com แทน acmecorp.com หรือถ้าพวกเขาเก่งพอ ก็อาจแฮ็กกล่องจดหมายจริง ทำให้แทบเป็นไปไม่ได้เลยที่จะแยกออกจากข้อความจริง

ท้ายที่สุดแล้ว ถ้ามันดูเหมือนเป็ดและร้องเหมือนเป็ด คนส่วนใหญ่ก็จะคิดว่ามันคือเป็ด

ขั้นตอนที่ 3 – สร้างความไว้วางใจ

การโจมตีแบบนี้ ความอดทนคือหัวใจสำคัญ ผู้โจมตีสามารถซ่อนตัวอยู่ในกล่องจดหมายที่ถูกแฮ็กได้นานหลายสัปดาห์ อ่านเธรดอีเมลและเรียนรู้รูปแบบการสื่อสาร เมื่ออีเมลมาถึงในที่สุด มันจะกลมกลืนไปกับอีเมลก่อนหน้า โดยเลียนแบบน้ำเสียงและลำดับการสนทนา

ขั้นตอนที่ 4 – ยื่นคำขอ

เมื่อผู้โจมตีรู้จักคุณอย่างทะลุปรุโปร่งแล้ว — ทั้งน้ำเสียงการสื่อสาร ชื่อและตำแหน่งของเพื่อนร่วมงาน และสิ่งที่กำลังเกิดขึ้นในบริษัทของคุณ — และพวกเขาแทรกซึมเข้าไปในอีเมลของคุณได้สำเร็จ คำขอก็จะถูกส่งออกไป

โดยปกติแล้วจะเป็นสิ่งที่ย้อนกลับได้ยาก อาจเป็นการโอนเงินไปยังบัญชีธนาคารหรือการแชร์ข้อมูลส่วนตัว สิ่งสำคัญคือมันต้องไม่สามารถแก้คืนได้ 

เมื่อเป้าหมายเริ่มรู้ตัวว่ามีบางอย่างผิดปกติ ผู้โจมตีก็ต้องการให้ความเสียหายเกิดขึ้นไปแล้ว หากพวกเขาเจ้าเล่ห์เป็นพิเศษ พวกเขาอาจส่งมันในช่วงเทศกาลที่ทุกคนระวังตัวน้อยลง และมีโอกาสสำเร็จมากขึ้น

ขั้นตอนที่ 5 – หายไปโดยไม่ทิ้งร่องรอย

หลังจากเงินถูกส่งไปแล้ว มันจะถูกย้ายอย่างรวดเร็วผ่านบัญชีตัวกลางหลายบัญชี ซึ่งมักอยู่ต่างประเทศ ทำให้เส้นทางการเงินติดตามได้ยากมาก แม้แต่สำหรับเจ้าหน้าที่บังคับใช้กฎหมาย

ตัวอย่าง business email compromise

Business email compromise คือบอสใหญ่ด่านสุดท้ายของการโจมตีทางดิจิทัล โดยปกติแล้วมักเกี่ยวข้องกับ บริษัทขนาดใหญ่และเม็ดเงินจำนวนมหาศาลจนน่าตกใจ 

ในปี 2019 ซัพพลายเออร์รายใหญ่รายหนึ่งของ Toyota สูญเงินไปหลายสิบล้านจากการโอนเพียงครั้งเดียว ผู้โจมตีเจาะเข้าสู่ระบบอีเมลของ Toyota Boshoku พวกเขาอ่านข้อความและเรียนรู้ว่าบริษัทสื่อสารกันอย่างไร เมื่อมีการพูดคุยเรื่องการโอนเงินก้อนใหญ่ พวกเขาก็ขอให้คนในบริษัทที่มีอำนาจโอนเงินอัปเดตรายละเอียดบัญชีธนาคารสำหรับการโอนนั้น มันดูถูกต้องน่าเชื่อถือ และเงินก็ถูกส่งไป

เพียงเท่านั้น เงิน $37 million ก็หายไป

ประเภทของการโจมตีแบบ business email compromise

ตัวอย่าง business email compromise ไม่ได้มีหน้าตาเหมือนกันทั้งหมด แน่นอนว่าเป้าหมายคือการหลอกให้คนยอมส่งเงินให้มากที่สุดเท่าที่จะทำได้เสมอ แต่แนวทางอาจแตกต่างกันมาก

CEO Fraud (การปลอมตัวเป็นผู้บริหาร)

นี่คือรูปแบบของ BEC ที่เป็นที่รู้จักมากที่สุด ผู้โจมตีปลอมตัวเป็นผู้บริหารระดับสูง โดยมากมักเป็น CEO หรือ CFO และกดดันคนในฝ่ายการเงินให้โอนเงิน มันได้ผลเพราะความสัมพันธ์เชิงอำนาจ เมื่อเจ้านายต้องการอะไร คนส่วนใหญ่มักไม่หยุดถามว่าทำไม และถ้าสิ่งนี้ถูกเสริมด้วยเรื่องราวเบื้องหลังที่น่าเชื่อถือ ก็เพียงพอที่จะทำให้ใครบางคนลงมือโดยไม่คิดซ้ำ

Vendor email compromise

ผู้โจมตีมุ่งเป้าไปที่ความสัมพันธ์นอกบริษัท แทนที่จะแกล้งเป็นคนใน พวกเขาเล็งไปที่ซัพพลายเออร์และผู้ขายที่เชื่อถือได้ แทรกตัวเข้าไปในบทสนทนาอีเมลที่มีอยู่แล้ว และสลับรายละเอียดการชำระเงินจริงเป็นของตนเอง จากมุมมองของเหยื่อ มันดูเหมือนการอัปเดตใบแจ้งหนี้ตามปกติจากซัพพลายเออร์ที่ทำงานร่วมกันมาหลายปี

Account takeover

นี่คือรูปแบบที่อันตรายที่สุด เพราะไม่มีการปลอมแปลงเข้ามาเกี่ยวข้อง ผู้โจมตีกำลังใช้บัญชีจริง อีเมลมาจากที่อยู่จริงและใช้น้ำเสียงที่ถูกต้อง ข้อความดูปกติทุกอย่าง เพราะในทางเทคนิคแล้วมันก็เป็นเช่นนั้นจริงๆ

Payroll Diversion

รูปแบบนี้ไม่ได้มุ่งเป้าไปที่เงินของบริษัท แต่มุ่งเป้าไปที่พนักงานแทน ผู้โจมตีแอบอ้างเป็น HR หรือพนักงาน และขออัปเดตข้อมูลเงินเดือน โดยเปลี่ยนเส้นทางเงินเดือนไปยังบัญชีที่พวกเขาควบคุมอย่างเงียบๆ 

เหยื่อจะไม่รู้ตัวจนกว่าจะถึงวันจ่ายเงินเดือน และเพราะจำนวนเงินน้อยกว่าและคำขอดูปกติ มันจึงแทบไม่กระตุ้นการแจ้งเตือนการทุจริตเลย นี่เป็น BEC เวอร์ชันที่ช้ากว่า แต่ถ้าเล่นงานพนักงานได้มากพอ ความเสียหายก็เพิ่มขึ้นอย่างรวดเร็ว

BEC กับ Phishing – ต่างกันอย่างไร?

อีเมลฟิชชิงมีมานานแล้ว และคนส่วนใหญ่ก็รู้ว่ามันหน้าตาเป็นอย่างไร มันคืออีเมลที่บอกว่าคุณถูกรางวัล หรือว่าเจ้าชายไนจีเรียต้องการความช่วยเหลือจากคุณ พวกมันถูกส่งเป็นจำนวนมากและอาศัยปริมาณมหาศาลเพื่อจับใครสักคนให้เผลอ

ถ้า phishing คือแห BEC ก็คือสไนเปอร์ ผู้โจมตีใช้เวลาหลายสัปดาห์ในการศึกษาบริษัทหนึ่ง บางครั้งก็เจาะจงไปที่คนเพียงคนเดียว เมื่ออีเมลมาถึง มันจะดูเหมือนข้อความเช้าวันอังคารจากคนที่คุณรู้จัก

โดยทั่วไป phishing มุ่งเอาข้อมูลเข้าสู่ระบบของคุณ แต่ BEC ข้ามขั้นตอนนั้นไปทั้งหมดและพุ่งตรงไปที่เงินหรือข้อมูล

วิธีสังเกตการโจมตีแบบ business email compromise

การโจมตีแบบ BEC ถูกออกแบบมาให้ดูปกติ แต่ถ้าคุณรู้ว่าต้องมองหาอะไร สัญญาณก็มีอยู่

  • ความเร่งรีบ— อีเมลที่กดดันให้คุณรีบโอนเงิน โดยไม่เปิดโอกาสให้หยุดตรวจสอบ

  • การเปลี่ยนแปลงกะทันหัน — ซัพพลายเออร์หรือเพื่อนร่วมงานอัปเดตข้อมูลการชำระเงินของตนอย่างกะทันหันโดยไม่มีปี่มีขลุ่ย

  • ที่อยู่ที่เกือบถูกต้อง — อีเมลของผู้ส่งต่างจากของจริงเพียงอักขระเดียว

  • น้ำเสียงที่ดูแปลกไปนิด— มีบางอย่างไม่ชอบมาพากล เป็นทางการเกินไป สบายเกินไป หรือดูลับๆ ล่อๆ อย่างผิดปกติ

  • คำขอที่โผล่มาจากไหนไม่รู้ — คุณถูกขอให้ทำบางอย่างที่ปกติแล้วควรผ่านอีกช่องทางหนึ่ง

วิธีป้องกันการโจมตีแบบ business email compromise

การรู้ว่าการโจมตีเหล่านี้ทำงานอย่างไรคือชัยชนะไปครึ่งหนึ่ง อีกครึ่งหนึ่งคือการทำให้แน่ใจว่าธุรกิจของคุณไม่ใช่เป้าหมายที่ง่าย

หยิบโทรศัพท์ขึ้นมาโทร

หากอีเมลขอให้คุณโอนเงินหรืออัปเดตรายละเอียดการชำระเงิน อย่าตอบกลับอีเมลนั้น โทรหาบุคคลนั้นโดยตรงโดยใช้หมายเลขที่คุณมีอยู่แล้ว ไม่ใช่หมายเลขจากอีเมล ใช้เวลาแค่สามสิบวินาที และเป็นสิ่งเดียวที่มีประสิทธิภาพที่สุดที่คุณทำได้

เปิดใช้การยืนยันตัวตนแบบสองปัจจัย

หากผู้โจมตีได้ข้อมูลเข้าสู่ระบบของใครบางคน 2FA สามารถป้องกันการยึดกล่องจดหมายทั้งกล่องได้ มันอาจไม่หยุดได้ทุกอย่าง แต่ทำให้การยึดบัญชียากขึ้นอย่างมาก

สอนทีมของคุณว่าอะไรคือสิ่งที่ถูกต้อง

การฝึกอบรมอย่างสม่ำเสมอเกี่ยวกับ BEC คืออะไร มันทำงานอย่างไร และสัญญาณเตือนมีหน้าตาอย่างไร สามารถเปลี่ยนพนักงานของคุณให้กลายเป็นแนวป้องกันได้

ให้เครื่องมือช่วยแบ่งเบางานหนักบางส่วน

ตัวกรองสแปมและเครื่องมือยืนยันตัวตนโดเมน เช่น SPF, DKIM, and DMARC สามารถกรองความพยายามแบบ BEC ออกได้ก่อนที่จะไปถึงทีมของคุณ การตรวจจับด้วย AI ก้าวไปอีกขั้น มันเรียนรู้ว่าพฤติกรรมอีเมลปกติภายในองค์กรของคุณเป็นอย่างไร และทำเครื่องหมายทุกอย่างที่น่าสงสัย

คำถามที่พบบ่อย

Business email compromise คือเมื่ออาชญากรแกล้งเป็นคนที่คุณไว้ใจผ่านอีเมล เพื่อหลอกให้คุณส่งเงินหรือแชร์ข้อมูลที่ละเอียดอ่อน ผู้โจมตีส่งอีเมลที่น่าเชื่อถือซึ่งเลียนแบบน้ำเสียงของอีเมลบริษัท และยังมาจากที่อยู่อีเมลของบริษัทอีกด้วย

ทั้งสองอย่างเกี่ยวข้องกัน แต่ไม่เหมือนกัน Phishing ใช้วิธีหว่านแหกว้าง ส่งอีเมลทั่วไปไปให้คนให้มากที่สุดเท่าที่จะทำได้ ส่วนการโจมตีแบบ BEC เป็นการโจมตีแบบเจาะจงเป้าหมาย ผู้โจมตีศึกษาบริษัทหนึ่ง คนหนึ่งคน และช่วงเวลาหนึ่งโดยเฉพาะ ผลลัพธ์คือมันน่าเชื่อถือกว่ามากและสร้างความเสียหายได้มากกว่ามาก

กลโกง business email compromise ส่วนใหญ่เริ่มต้นจากการหาข้อมูล ผู้โจมตีศึกษาทั้งโครงสร้างและการสื่อสารของบริษัท เมื่อพวกเขารู้มากพอแล้ว พวกเขาก็จะปลอมที่อยู่อีเมลที่เชื่อถือได้หรือยึดของจริงไปเลย

CEO fraud ผู้โจมตีปลอมตัวเป็นผู้บริหารระดับสูงและกดดันคนในฝ่ายการเงินให้โอนเงินอย่างรวดเร็ว มันได้ผลเพราะคนส่วนใหญ่มักไม่ตั้งคำถามกับคำขอเร่งด่วนจากเจ้านาย

ใช่ การป้องกัน business email compromise เริ่มต้นที่คน ฝึกทีมของคุณให้สังเกตสัญญาณเตือน ตรวจสอบคำขอชำระเงินทางโทรศัพท์ และใช้เครื่องมืออย่าง 2FA และ DMARC เพื่อทำให้อีเมลของคุณถูกยึดได้ยากขึ้น ไม่มีมาตรการใดป้องกันได้สมบูรณ์แบบ แต่การผสมผสานที่เหมาะสมจะทำให้คุณเป็นเป้าหมายที่โจมตียากขึ้นมาก


บทความที่แนะนำ

แบ่งปันความคิดของคุณ

ต้องการมากกว่า 10 ตัวอักษร
ตัวตนของคุณสำหรับการแสดงผลสาธารณะ
การให้ที่อยู่อีเมลของคุณเป็นทางเลือก มันจะไม่ถูกแชร์กับบุคคลที่สาม

ช่วยเราปรับปรุงบล็อกของเรา

แบ่งปันความคิดของคุณในแบบสำรวจสั้นๆ สองนาที

จำเป็นต้องใช้อีเมลที่ถูกต้อง