ในปัจจุบัน หนึ่งในการโจมตีที่ได้ผลที่สุดของอาชญากรทางไซเบอร์ (cybercriminal) คือ การลักลอบเข้าถึงอีเมลธุรกิจเพื่อหาประโยชน์ทางการเงิน หรือ Business Email Compromise (BEC) การโจมตีรูปแบบนี้ ผู้โจมตีจะใช้กลวิธีต่าง ๆ ในการปลอมแปลงตัว ลักลอบเข้าถึงระบบอีเมล และหลอกลวงให้เหยื่อหลงเชื่อจนทำให้เกิดความเสียหายทางการเงิน จากประสบการณ์ของ บลูบิค ไททันส์ พบว่าบริษัทที่ตกเป็นเป้าหมายหรือเหยื่อของการหลอกลวงลักษณะนี้ในประเทศไทยส่วนมาก คือ บริษัทเอกชนที่ทำธุรกิจการค้ากับคู่ค้าต่างประเทศ ทั้งในฐานะที่เป็นผู้ขายและผู้ซื้อ

รายงานจากสำนักงานสอบสวนกลางของสหรัฐอเมริกา (Federal Bureau of Investigation) เปิดเผยว่ามูลค่าความเสียหายจากการโจมตีด้วย BEC ในปี 2564 นั้นสูงถึง 40 ล้านเหรียญสหรัฐฯ ซึ่งเป็นการเพิ่มจากปี 2563 ถึง 400% สำหรับสถานการณ์ในประเทศไทยจากการรวบรวมข้อมูลโดยสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) พบว่าในปี 2564 มีรายงานที่เกี่ยวข้องกับการฉ้อโกง (fraud) จำนวน 212 เหตุการณ์ และในปี 2565 มีรายงานถึงเดือนกันยายน จำนวน 44 เหตุการณ์ โดยไม่ได้มีรายงานมูลค่าความเสียหายเอาไว้ 

ในความเป็นจริงยังมีเหตุการณ์อีกจำนวนมากที่สร้างความเสียหายทางการเงินให้กับองค์กรแต่ไม่มีการรายงานสู่สาธารณะ เช่น เหตุการณ์ที่ทีมงานเราได้มีโอกาสเข้าไปช่วยรับมือและตรวจสอบเชิงลึก รวมถึงสนับสนุนการประสานงานเพื่อดำเนินคดีทางกฎหมาย

การแก้ไขปัญหาการโจมตีประเภทนี้ สิ่งที่องค์กรควรปฏิบัติ คือ การให้ความรู้แก่พนักงานเพื่อเพิ่มความตระหนักในภัยคุกคามทางไซเบอร์ลักษณะนี้ และไม่ให้ตกเป็นเหยื่อ ในบทความนี้ บลูบิค ไททันส์ จะมาแชร์แนวทางการเฝ้าระวังความผิดปกติที่อาจจะเป็นสัญญาณบ่งชี้ว่าองค์กรของท่านอาจตกเป็นเป็นเป้าหมายหรือกำลังถูกโจมตีด้วย BEC ความผิดปกติที่ควรได้รับเฝ้าระวัง แบ่งตามพฤติกรรมที่ผู้โจมตีมักจะนำมาใช้ มี 4 รูปแบบดังนี้

• การขโมยรหัสผ่านของผู้ใช้งาน (credential theft)
• การใช้โดเมนปลอมที่มีความใกล้เคียง (domain-squatting)
• การยึดครองหรือเข้าใช้งานบัญชีผู้ใช้หรืออีเมลโดยมิได้รับอนุญาต (account/mailbox compromise)
• การยึดครองหรือเข้าใช้งานอุปกรณ์โดยมิได้รับอนุญาต (device compromise)

การขโมยรหัสผ่านผู้ใช้งาน (credential theft)

อาชญากรทางไซเบอร์ที่ต้องการขโมยชื่อผู้ใช้งานและรหัสผ่านในการเข้าใช้งานอีเมลขององค์กร มักใช้วิธีส่งอีเมลหลอกลวง (phishing email) ไปยังพนักงานของบริษัทเป้าหมาย ซึ่งการอีเมลหลอกลวงนั้นมีได้หลายรูปแบบ เช่น 

• อีเมลหลอกลวงที่มีการแนบไฟล์เอกสารหรือภาพที่ซ่อนมัลแวร์อยู่ หากเหยื่อมีการบันทึกหรือเปิดมัลแวร์ขึ้นมา มัลแวร์จะถูกติดตั้งลงบนเครื่องของเหยื่อ และทำหน้าที่ดักจับรหัสผ่านที่ผู้ใช้งานกรอก หรือขโมยรหัสผ่านที่บันทึกไว้ในอุปกรณ์ผู้ใช้งาน (บลูบิค ไททันส์มีข้อสังเกตว่า ผู้โจมตีมีการใช้งานวิธีนี้น้อยลง เนื่องจากอีเมลและไฟล์แนบที่อันตรายมีแนวโน้มว่าจะถูกตรวจพบและป้องกันได้จากอุปกรณ์ email security ขององค์กร ก่อนที่อีเมลนั้นจะส่งไปถึงผู้รับ)

• อีเมลหลอกลวงที่แนบลิ้งค์ไปยังเว็บไซต์รับฝากไฟล์ โดยเนื้อหาในอีเมลจะล่อลวงให้ผู้รับอีเมลทำการ log in เพื่อเปิดอ่านเนื้อหาและไฟล์บนเว็บไซต์ดังกล่าว ซึ่งโดยมากจะเป็นเว็บไซต์ถูกปลอมแปลงหน้าตาให้เหมือนกับระบบทั่วไป แต่หากเหยื่อหลงเชื่อและมีการกรอกชื่อบัญชีผู้ใช้และรหัสผ่านขององค์กรเข้าไป เว็บไซต์ปลอมนั้นจะดักจับข้อมูลของเหยื่อ เพื่อนำไปใช้ลักลอบเข้าถึงระบบขององค์กรของเหยื่อต่อไป (บลูบิค ไททันส์มีข้อสังเกตสำหรับวิธีนี้ว่าระบบการป้องกัน email security ขององค์กรต่าง ๆ มักจะไม่สามารถตรวจพบความผิดปกติได้ เนื่องจากในอีเมลหลอกลวงไม่ได้มีการแนบไฟล์อันตรายมาด้วย แต่ในบางกรณีทีมงานก็พบว่าผู้โจมตีนำมัลแวร์ไปฝากไว้ที่เว็บไซต์รับฝากไฟล์ที่น่าเชื่อถือ และแนบเฉพาะลิงค์มาในอีเมลเพื่อหลอกล่อให้เหยื่อไปดาวน์โหลดไฟล์เหล่านั้นมาเปิดบนเครื่องด้วยตนเอง)

นอกจากนี้ ผู้โจมตีจะค้นหาบัญชีผู้ใช้และรหัสผ่านของระบบสารสนเทศองค์กรที่ถูกขโมย และนำมาแผยแพร่ตามเว็บไซต์สาธารณะต่าง ๆ หรือซื้อข้อมูลต่อจากกลุ่มอาชญากรทางไซเบอร์อื่น ๆ (initial access broker) ในตลาดมืดไซเบอร์ (dark web)

องค์กรควรมีมาตรการและกระบวนการในการค้นหาบัญชีผู้ใช้และรหัสผ่านของระบบเทคโนโลยีสารสนเทศองค์กรที่ถูกขโมยหรือรั่วไหลไปในแหล่งข้อมูลสาธารณะและตลาดมืดไซเบอร์ เป็นการเฝ้าระวังและป้องกันเชิงรุกต่อเหตุละเมิดความมั่นคงปลอดภัยที่อาจเกิดขึ้นจากการรั่วไหลของรหัสผ่านโดยที่เจ้าของบัญชีผู้ใช้ไม่รู้ตัว โดยองค์กรอาจเลือกใช้บริการเฝ้าระวังการเปิดเผยข้อมูลในตลาดมืดไซเบอร์ เพื่อเฝ้าระวังและแจ้งเตือนมาที่องค์กรโดยอัตโนมัติ เช่น การลงทะเบียนเพื่อขอใช้บริการฟรีที่ https://haveibeenpwned.com/DomainSearch หรือการใช้บริการ cyber threat intelligence service เป็นต้น

การใช้โดเมนปลอมที่มีอักษรใกล้เคียง (domain-squatting)

อาชญากรทางไซเบอร์จะจดทะเบียนโดเมนปลอมขึ้นมาให้มีอักษรใกล้เคียงกับโดเมนเป้าหมาย เช่น โดเมนเป้าหมายคือ domain.com ผู้โจมตีอาจจะจดทะเบียนเป็น domaiin.com หรือ d0main.com ก็ได้ หลังจากนั้นโดเมนปลอมจะถูกใช้ในการกระทำความผิด ตัวอย่างเช่นกรณีต่อไปนี้

1. สร้างเว็บไซต์ปลอมเพื่อดักจับบัญชีผู้ใช้และรหัสผ่านของเหยื่อ เพื่อนำไปลักลอบเข้าถึงอีเมลของเหยื่อและระบบสารสนเทศขององค์กร
   
2. สร้างอีเมลเพื่อปลอมตัวเป็นคู่ค้าที่มีการสนทนาทางการค้ากันทางอีเมลกับเหยื่อ และหลอกลวงเหยื่อให้หลงเชื่อและโอนเงินไปยังบัญชีธนาคารที่อาชญากรเตรียมไว้  

นอกจากนั้นในปัจจุบันยังมี top-level domain ของประเทศหมู่เกาะเล็ก ๆ ที่เปิดให้จดทะเบียนได้จำนวนมาก ชื่อโดเมนปลอมก็จะยิ่งดูเหมือนว่าเป็นของจริงและทำให้ผู้ใช้งานสังเกตได้ยากขึ้น เช่น domain.co หรือ domain.tk

การใช้โดเมนปลอมลักษณะนี้เกิดขึ้นเป็นกับองค์กรจำนวนมากและสร้างความเสียหายทางการเงินเป็นอย่างมาก ดังนั้นองค์กรควรยกระดับขีดความสามารถในการเฝ้าระวังและค้นหาโดเมนปลอมในลักษณะนี้ ด้วยแนวทางต่อไปนี้ 

1. การค้นหาโดเมนที่มีการจดทะเบียนขึ้นใหม่ที่ชื่อโดเมนมีอักษรใกล้เคียงกับชื่อโดเมนขององค์กรตนเอง รวมถึงการตรวจสอบข้อมูลอื่น ๆ ที่เกี่ยวข้องกับโดเมนปลอมนั้น เช่น ข้อมูลการเปลี่ยนแปลงการจดทะเบียน หรือการแก้ไข DNS record เช่น การตั้งค่ารายการสำหรับการรับ-ส่งอีเมล (mail exchanger record) ซึ่งการตรวจสอบโดเมนปลอมที่มีอักษรใกล้เคียงเหล่านี้ ควรมีการดำเนินการเฝ้าระวังอย่างสม่ำเสมอ หรือใช้บริการจากผู้ให้บริการด้าน threat intelligence เพราะไม่มีใครสามารถระบุได้ว่าองค์กรตนเองจะตกเป็นเป้าหมายเมื่อใด
   
2. การวิเคราะห์พฤติกรรมจากข้อมูลบันทึก (activity log) จากระบบสารสนเทศต่าง ๆ เช่น email message trace, SMTP header, web proxy log, EDR agent, DNS server เป็นต้น โดยมีการตรวจสอบและป้องกันการแลกเปลี่ยนข้อมูลและการสื่อสารระหว่างองค์กรกับบุคคลภายนอกที่ใช้งานโดเมนปลอมลักษณะนี้ นอกจากนั้นองค์กรอาจนำเอาข้อมูล threat intelligence จากภายนอกเข้ามาสนับสนุนการวิเคราะห์เพื่อเพิ่มความถูกต้องแม่นยำในการค้นหาความผิดปกติที่อาจเกี่ยวข้องกับการโจมตีทางไซเบอร์

สำหรับผู้ใช้งานอีเมล อาจจะสังเกตได้ถึงความผิดพลาดทางด้านการใช้ภาษาของผู้โจมตี รวมถึงตรวจสอบ email address ที่ใช้ในการส่ง หรือการตอบกลับ (reply-to) ที่อาจคล้ายคลึงกับอีเมลของบริษัทคู่ค้าตัวจริงได้

การเข้าถึงบัญชีผู้ใช้หรืออีเมลโดยมิได้รับอนุญาต
(account/mailbox compromise)

หลังจากที่อาชญากรทางไซเบอร์ขโมยบัญชีผู้ใช้รวมถึงรหัสผ่านมาได้แล้ว ผู้โจมตีจะลักลอบเข้าถึงระบบงานต่าง ๆ ขององค์กร เพื่อสืบค้นข้อมูลสำคัญที่อยู่ตามระบบเทคโนโลยีสารสนเทศ และลักลอบเข้าถึง mailbox ของผู้บริหารหรือบุคคลากรที่สำคัญในองค์กร เพื่อหาช่องทางในการแสวงหาประโยชน์โดยมิชอบต่อไป โดยสรุปผู้โจมตีมักจะทำสิ่งต่อไปนี้

• เข้าใช้งานระบบอีเมล และระบบจัดเก็บไฟล์
• เข้าถึงอีเมลที่เหยื่อพูดคุยการซื้อ-ขายกับคู่ค้า และนำข้อมูลต่าง ๆ ในการสนทนา รวมถึงข้อมูลอื่นที่จัดเก็บในระบบ ไปใช้ในการหลอกลวงเหยื่อและหาประโยชน์ทางการเงิน เช่น โลโก้และแบบฟอร์มเอกสารของบริษัท เพื่อปลอมแปลงใบเสนอราคา, คำสั่งซื้อ, ใบแจ้งหนี้และหลักฐานการชำระเงิน เป็นต้น
• สร้างอีเมลโดยการใช้โดเมนปลอมซึ่งมีอักษรใกล้เคียงกับโดเมนของคู่ค้า และนำอีเมลนั้นมาใช้ในการปลอมตัวตนเป็นคู่ค้า
• ติดตั้งคำสั่งอัตโนมัติที่ mailbox ของเหยื่อ เพื่อทำสำเนาอีเมลในเรื่องที่ผู้โจมตีต้องการออกไปอีเมลภายนอก และลบหรือซ่อนอีเมลที่ส่งมาจากคู่ค้าตัวจริงไว้ที่โฟลเดอร์อื่น ๆ เพื่อทำให้เหยื่อได้เห็นเฉพาะอีเมลของผู้โจมตีที่ส่งมาจากโดเมนปลอมเท่านั้น
• หลีกเลี่ยงการตรวจจับ โดยการตั้งค่าและเข้าใช้งาน mailbox ที่ของบุคลากรที่สำคัญผ่านบัญชีผู้ใช้งานอื่น
• เปิดอ่านและดาวน์โหลดข้อมูลจาก cloud storage
• ตั้งค่าหรือเข้าถึงข้อมูลผ่านช่องทางพิเศษของระบบ ที่ไม่ใช้ช่องทางปกติของผู้ใช้งาน เช่น การใช้งานผ่าน API หรือ automation เช่น Microsoft Graph API หรือ Microsoft Power Automate
• สร้างแอปพลิเคชัน  ปลอมเพื่อหลอกลวงให้เหยื่อมอบสิทธิ์ในการเข้าถึงระบบเทคโนโลยีสารสนเทศอื่น ๆ
• ดึงข้อมูลเกี่ยวกับผู้ใช้ทั้งหมดในองค์กร (user enumeration/information gathering)
• ส่งอีเมลหลอกลวงด้วยอีเมลภายใน เพื่อขโมยรหัสผ่านผู้ใช้งานรายอื่น ๆ ในองค์กร

องค์กรควรมีการเฝ้าระวังและตรวจจับพฤติกรรมและความผิดปกติต่าง ๆ ที่อาจเป็นสัญญาณของการถูกลักลอบเข้าถึงบัญชีผู้ใช้หรืออีเมล ดังตัวอย่างต่อไปนี้

• ตรวจสอบการเข้าถึงระบบ (authentication events) โดยการวิเคราะห์การเข้าใช้งานที่ผิดปกติ เช่น ไอพี แอดเดรสที่มาจากประเทศอื่น ๆ ซึ่งบริษัทไม่ได้มีการดำเนินธุรกิจ การเข้าถึงระบบด้วยอุปกรณ์ที่ไม่ได้ลงทะเบียน และเวลาการเข้าใช้งานที่ผิดจากพฤติกรรมปกติของผู้ใช้
• ตรวจสอบการตั้งค่าการส่งอีเมลอัตโนมัติ (auto-forwarding/email rule) ที่ mail transport rule ของระบบ email หรือการตั้งค่า auto forwarding หรือ inbox rule ที่ mailbox ของผู้ใช้
• ตรวจสอบการกำหนดสิทธิ์เข้าถึง mailbox และ mailbox folder (mailbox delegation และ mailbox folder permission) รวมถึงตรวจสอบการเปลี่ยนแปลงการตั้งค่าเหล่านี้
• ตรวจสอบการเข้าใช้งาน cloud storage และวิเคราะห์การเข้าถึงหรือดาวน์โหลดไฟล์เป็นจำนวนมาก
• ตรวจสอบการตั้งค่า file share permission ของ cloud storage เช่น การแชร์ไฟล์กับบุคคลภายในองค์กรที่ไม่เหมาะสม หรือการแชร์ไฟล์กับบุคคลภายนอกแบบสาธารณะ (anonymous share)
• ตรวจสอบการใช้งานระบบสารสนเทศที่ผิดวิสัยของการใช้งานทั่วไป เช่น Microsoft/Office 365 มีช่องทางสำหรับการตั้งค่า และเรียกข้อมูลผ่าน Microsoft Power Automate หรือ Microsoft Graph API
• ตรวจสอบการให้สิทธิ์ OAuth application และการใช้งานที่ผิดปกติหรือไม่ได้รับอนุญาต
• ตรวจสอบการดึงข้อมูลบัญชีผู้ใช้งานเป็นปริมาณมากและมาจากเครื่องต้นทางที่ผิดปกติ เช่น การดึงข้อมูลบัญชีผู้ใช้งานและสิทธิ์ที่ไม่ได้มาจาก scheduled batch job ที่ทำขึ้นโดยผู้ดูแลระบบ

การยึดครองหรือเข้าใช้งานอุปกรณ์โดยมิได้รับอนุญาต (device compromise)

อีกหนึ่งช่องทางที่ผู้โจมตีอาจใช้ในการเข้าถึงข้อมูล คือ การที่ผู้โจมตีลักลอบเข้าถึงอุปกรณ์ (รวมถึงเครื่องคอมพิวเตอร์) ของเหยื่อ และสร้างช่องทางลับในการควบคุมอุปกรณ์เหยื่อจากระยะไกล ซึ่งอาจเกิดจากการตั้งค่าที่ผิดพลาดหรือมีช่องโหว่ หรือมีการติดตั้ง remote access tool ที่ไม่ได้รับอนุญาต

เราสามารถตรวจสอบกิจกรรมที่เกิดขึ้นบนอุปกรณ์ (endpoint telemetry) เช่น การติดตั้งซอฟท์แวร์ การใช้งาน remote desktop โปรเซสที่กำลังทำงานอยู่ (in-memory process) และข้อบ่งชี้ถึงความพยายามหลบเลี่ยงการป้องกันต่างๆ (security circumvention/evasion)

หากตรวจพบข้อบ่งชี้ถึงความผิดปกติหรือพบการโจมตี องค์กรควรดำเนินการวิเคราะห์เชิงลึกด้วยเทคนิค digital forensics เพื่อตรวจสอบความผิดปกติทั้งหมดและประเมินความเสียหายที่เกิดขึ้นอย่างละเอียด รวมถึงการหาสาเหตุและกำหนดมาตรการในการป้องกันต่อไป

การป้องกันการถูกโจมตีด้วย BEC

นอกเหนือจากการตรวจจับการโจมตีแบบ BEC แล้ว องค์กรควรทบทวนและพัฒนาการป้องกัน เพื่อลดความเสี่ยงที่จะเกิดการโจมตีได้ โดยมีส่วนที่เกี่ยวข้องทั้งบุคคลากร กระบวนการและเทคโนโลยี ดังนี้

• ตรวจสอบการจัดเก็บ log ให้มีทั้งความกว้างและความลึก (breadth and depth) โดยครอบคลุมตั้งแต่ cloud platform ไปจนถึง user endpoint และมีการส่งข้อมูล log ประเภทที่สำคัญนอกเหนือจากค่าตั้งต้น กำหนดระยะเวลาการเก็บที่เพียงพอ และสามารถเรียกดูเพื่อทำการวิเคราะห์ได้ตลอดเวลา
• เปิดใช้งานและตรวจสอบการตั้งค่าของการยืนยันตัวตนของอีเมล (email authentication) ในฐานะผู้รับและผู้ส่ง ด้วย SPF, DKIM, และ DMARC ที่ระบบอีเมลขององค์กร
• เปิดการใช้งาน multi-factor authentication ระบบสารสนเทศที่สามารถเข้าถึงได้โดยตรงจากภายนอก ระบบที่สำคัญและช่องทางการเข้าสู่เครือข่ายขององค์กร โดยหลีกเลี่ยงการอนุมัติการเข้าใช้งานระบบด้วยการกด approve จากอุปกรณ์ MFA  เพื่อลดความเสี่ยงจากกลยุทธ์ MFA fatigue ที่ผู้โจมตีมักนำมาใช้ในการลักลอบเข้าถึงระบบได้สำเร็จอยู่บ่อยครั้ง
• เปิดใช้งานการตรวจสอบพิสูจน์ตัวตนแบบมีเงื่อนไข (conditional access) รวมถึงวิเคราะห์การใช้งานด้วย user and entity behavioral analytics (UEBA)
• เพิ่มการป้องกันและการควบคุมอุปกรณ์ของผู้ใช้งานในองค์กร รวมถึงอุปกรณ์ส่วนตัวที่ใช้ในการเข้าถึงข้อมูลขององค์กร โดยสามารถใช้เครื่องมือ endpoint detection and response และ device management เพื่อเพิ่มประสิทธิภาพการป้องกันและควบคุมได้
• ใช้ช่องทางการส่งข้อมูลที่ปลอดภัยและได้รับอนุญาตโดยองค์กร (secure and approved communication channels) และป้องกันข้อมูลจากการถูกปลอมแปลง เช่น การทำ document signing และ document encryption
• ให้ความรู้และทดสอบผู้ใช้งานในองค์กร เรื่องภัยคุกคามออนไลน์ (online safety) โดยจัดเนื้อหาและความครอบคลุมรวมไปถึงคู่ค้าและบุคคลภายนอกที่เกี่ยวข้องด้วย
• ตรวจสอบและส่งเสริมการใช้ user credential ที่รัดกุม (credential hygiene) และไม่นำ username หรือ email address ขององค์กร ไปใช้ในเรื่องส่วนตัว
• ปรับปรุงการควบคุมในกระบวนการทำงานที่เกี่ยวกับการเงิน เช่น จัดซื้อ ชำระหนี้ เป็นต้น ทั้งนี้เพื่อสร้างข้อกำหนดในการตรวจสอบและยืนยันความถูกต้องในกรณีที่คู่ค้าร้องขอเปลี่ยนแปลงวิธีการชำระเงิน หมายเลขบัญชี หรือที่อยู่จัดส่งสินค้า (change of contact point หรือ payment method หรือ delivery address) ที่มีความเร่งด่วน
• ประเมินและตรวจสอบความปลอดภัยของระบบสารสนเทศของคู่ค้า ตั้งแต่การเข้าเป็นคู่ค้า และประเมินรายปี เพื่อจัดระดับความเสี่ยงทางไซเบอร์ของคู่ค้าที่อาจส่งผลกระทบมายังองค์กร (supply chain/3^rd party compromise)
• จัดเตรียมแผนการรับมือในกรณีที่เกิดเหตุการณ์ และคู่มือในการรับมือเบื้องต้น (incident response plan และ BEC playbook) และทำการซักซ้อมแผนเป็นประจำเพื่อทำให้ผู้เกี่ยวข้องทุกฝ่ายเข้าใจในบทบาทหน้าที่และความรับผิดชอบ

สรุป

เนื่องจากการโจมตีด้วย Business Email Compromise (BEC) เป็นการโจมตีที่เกี่ยวข้องโดยตรงกับธุรกรรมการเงิน ซึ่งส่งผลกระทบอย่างชัดเจนกับองค์กรทั้งด้านการเงิน ชื่อเสียงความน่าเชื่อถือ ความสัมพันธ์กับคู่ค้า และการแข่งขันทางธุรกิจ ดังนั้นผู้บริหารควรให้ความสำคัญในการป้องกันและรับมือการโจมตีประเภทนี้ ทั้งนี้ บลูบิค ไททันส์พบว่าการโจมตีรูปแบบนี้สามารถนำไปสู่การรั่วไหลของข้อมูลความลับ ข้อมูลส่วนบุคคล รวมถึงเป็นอีกจุดเริ่มในการเข้าโจมตีองค์กรด้วย ransomware อีกด้วย

บทความนี้ได้เสนอวิธีในการตรวจจับ BEC และการป้องกันขั้นพื้นฐานที่องค์กรควรพิจารณาปฏิบัติ โดยอ้างอิงจากการรับมือและแก้ปัญหาเหตุการณ์ที่เกิดขึ้นจริงขององค์กรต่าง ๆ โดยทีมงาน บลูบิค ไททันส์ หากต้องการสอบถามเกี่ยวกับประเด็นต่าง ๆ ที่เกี่ยวข้องกับการตรวจจับและรับมือกับเหตุการณ์โจมตีทางไซเบอร์ หรือประสบกับเหตุการณ์โจมตีอยู่ สามารถปรึกษาทีมงาน บลูบิค ไททันส์ ได้ที่ [email protected]

ข้อมูลอ้างอิง

https://www.etda.or.th/th/Our-Service/thaicert/stat.aspx

https://www.ic3.gov/Media/Y2022/PSA220504