เช้าวันศุกร์ปลายเดือนมีนาคม 2567 ผู้จัดการฝ่ายการเงินของบริษัทนำเข้าเครื่องจักรในสมุทรปราการได้รับอีเมลจาก "CEO" (ซึ่งกำลังเดินทางไปดูงานที่เยอรมนี) สั่งให้โอนเงินมัดจำ 3.5 ล้านบาทด่วนไปยังซัพพลายเออร์รายใหม่ในฮ่องกงเพื่อล็อกคิวการผลิต ผู้จัดการตรวจสอบโดเมนอีเมลดูเหมือนจะถูกต้อง จึงอนุมัติการโอนเงินทันที
วันจันทร์ถัดมา CEO ตัวจริงกลับเข้าออฟฟิศและยืนยันว่าไม่เคยส่งอีเมลดังกล่าว บริษัทสูญเงิน 3.5 ล้านบาทในพริบตาจากการฉ้อโกงแบบ BEC (Business Email Compromise)
ตามรายงานของ FBI (IC3 Report) ภัยคุกคามประเภท BEC ก่อให้เกิดความเสียหายทางเศรษฐกิจทั่วโลกกว่า 2.9 พันล้านดอลลาร์ในปีที่ผ่านมา ซึ่งสูงกว่าความเสียหายจาก Ransomware หลายเท่าตัว
BEC Fraud คืออะไร และทำไมถึงหลุดรอด Cybersecurity?
วิศวกรรมสังคม (Social Engineering) นำหน้าเทคโนโลยี
BEC Fraud คือการที่แฮ็กเกอร์พยายามปลอมตัวเป็นผู้บริหาร ซัพพลายเออร์ หรือทนายความ เพื่อหลอกลวงให้พนักงานที่ถืออำนาจทางการเงินโอนเงินไปยังบัญชีของคนร้าย
การโจมตีนี้มักไม่ใช้มัลแวร์ ไม่มีการเจาะระบบเซิร์ฟเวอร์ที่ซับซ้อน แต่ใช้กลวิธีทางจิตวิทยาและ Social Engineering ร่วมกับการปลอมแปลงที่อยู่อีเมล (Email Spoofing) หรือแม้กระทั่งการแฮ็กเข้าบัญชีอีเมลจริงของผู้บริหารเพื่อเฝ้าดูจังหวะที่เหมาะสม
ระบบ Firewall หรือ Antivirus รุ่นล่าสุดมักตรวจจับอีเมลเหล่านี้ไม่ได้ เพราะมันดูเหมือนการสื่อสารของมนุษย์ปกติ
ประกัน Cyber คุ้มครองเคสหลอกให้โอนเงินหรือไม่?
ความเข้าใจผิดเกี่ยวกับ Cyber Policy มาตรฐาน
กรมธรรม์ Cyber Insurance พื้นฐานมักคุ้มครองแค่:
- การถูกขโมยข้อมูล (Data Breach)
- ค่าใช้จ่ายในการกู้คืนระบบ
- ความรับผิดต่อบุคคลภายนอกกรณีข้อมูลส่วนบุคคลรั่วไหล (PDPA)
แต่ความสูญเสียจาก "เงินที่ถูกโอนออกไปโดยความสมัครใจ (แม้จะถูกหลอก)" มักถูกจัดเป็นข้อยกเว้นในกรมธรรม์ไซเบอร์แบบสแตนดาร์ด! บริษัทประกันจะอ้างว่าระบบไม่ได้ถูกแฮ็ก แต่เป็น "ความล้มเหลวของกระบวนการเบิกจ่ายภายใน (Human Error)"
ส่วนขยายที่คุณ "ต้อง" มี: Social Engineering Extension
หากบริษัทของคุณมีกระบวนการโอนเงินจำนวนมากเป็นประจำ คุณต้องซื้อส่วนขยาย (Extension) ที่เรียกว่า Social Engineering Fraud (SEF) หรือ Cyber Crime Coverage เพิ่มเติมเข้าไปในกรมธรรม์ Cyber หรือกรมธรรม์ ประกันทุจริตพนักงาน (Fidelity Guarantee)
เงื่อนไขสำคัญที่บริษัทประกันมักเรียกร้องก่อนการรับประกัน SEF ได้แก่:
- การตรวจสอบยืนยัน 2 ขั้นตอน (Dual Authentication / Call-back Procedure): เมื่อมีการเปลี่ยนเลขที่บัญชีของคู่ค้า หรือการสั่งโอนเงินเร่งด่วน พนักงานบัญชี ต้อง โทรศัพท์ไปยืนยันกับบุคคลนั้นตามเบอร์โทรศัพท์เดิมที่มีอยู่ในฐานข้อมูล (ไม่อนุญาตให้ใช้เบอร์จากในอีเมลใหม่)
- การแยกอำนาจหน้าที่ (Segregation of Duties): คนสร้างคำสั่งโอนต้องไม่ใช่คนเดียวกับผู้อนุมัติขั้นสุดท้าย (Maker-Checker Rule)
หากบริษัทละเลย Warranty เหล่านี้ขณะเกิดเหตุ บริษัทประกันมีสิทธิ์ปฏิเสธการจ่ายค่าสินไหมทดแทนอย่างสิ้นเชิง
ต้องการคำปรึกษาเพิ่มเติม?
ปรึกษาฟรีChecklist: ป้องกัน BEC Fraud สำหรับแผนกบัญชี
- ตั้งกฎ Call-Back 100%: ทุกการแจ้งเปลี่ยนบัญชีธนาคาร ต้องโทรยืนยันเท่านั้น
- ซื้อ Social Engineering Extension: ตรวจสอบโครงสร้างกรมธรรม์ Cyber ของคุณเดี๋ยวนี้ว่าระบุความคุ้มครองส่วนนี้หรือไม่
- จัดอบรม Phishing Awareness: ให้แผนกการเงินและบัญชีเห็นตัวอย่างจริงของอีเมลหลอกลวง
- จำกัดสิทธิ์ในระบบ ERP: จำกัดยอดอนุมัติโอนเงินสูงสุดต่อขีดจำกัดของผู้บริหารแต่ละระดับ
- สร้างระบบ Flagging สำหรับอีเมลภายนอก: ให้อีเมลที่ส่งจากนอกองค์กรมีแถบป้ายเตือน [EXTERNAL] โดดเด่นเสมอ
การบริหารความเสี่ยงไม่ใช่แค่การซื้อประกัน แต่คือการวางรากฐานความมั่นคงให้ธุรกิจของคุณ — Siam Advice Firm พร้อมเป็นที่ปรึกษาเคียงข้างคุณ ด้วยประสบการณ์ในการบริหารความเสี่ยงภาคอุตสาหกรรมและ B2B อย่างครบวงจร
หากต้องการปรึกษาเพิ่มเติม สามารถติดต่อเราได้ที่ LINE: @siamadvicefirm ครับ
บทความที่เกี่ยวข้อง
ทำไม SME ต้องเริ่มซื้อ D&O Insurance เมื่อดึงผู้บริหารมืออาชีพเข้าร่วม
การจ้างผู้บริหารมืออาชีพ (Professional C-level) ถือเป็นก้าวสำคัญของ SME แต่รู้หรือไม่ว่าผู้บริหารเหล่านี้มักปฏิเสธงานหากบริษัทไม่มี D&O Insurance?
D&O Insurance คืออะไร: กรรมการและผู้บริหารไทยต้องรู้อะไรบ้าง
กรรมการและผู้บริหารบริษัทในไทยมีความรับผิดส่วนตัวที่ผู้ถือหุ้นหรือหน่วยงานกำกับดูแลสามารถฟ้องได้ — D&O Insurance คุ้มครองอะไรและใครควรซื้อ
กรณีศึกษา: พนักงานทุจริต 4.5 ปี กับบทเรียน Fidelity Guarantee ที่โรงงานไทยต้องเรียนรู้
พนักงานบัญชีอาวุโสทุจริตสะสม 6.8 ล้านบาทใน 4.5 ปีโดยไม่ถูกตรวจพบ — ช่องโหว่ Internal Control และวิธีที่ Fidelity Guarantee Insurance ช่วยกอบกู้สถานการณ์