Booking.com Phishing Scams and How to Protect Yourself
April 10, 2025
ลองนึกภาพตามนะครับ… เช้าวันจันทร์ คุณเปิดอีเมลแล้วเจอข้อความจาก “ผู้บริหาร” ของบริษัท ถามสั้นๆ ว่า “ตอนนี้อยู่ที่ออฟฟิศไหม?” ดูเป็นเรื่องปกติใช่ไหมครับ? แต่ถ้าคุณตอบกลับไปโดยไม่ทันสังเกต คุณอาจกำลังก้าวเข้าสู่กับดักของมิจฉาชีพที่วางแผนมาอย่างแยบยล
นี่คือรูปแบบการโจมตีที่เรียกว่า Social Engineering หรือ “วิศวกรรมสังคม” ซึ่งไม่ได้ใช้มัลแวร์หรือโค้ดอันตรายใดๆ แต่ใช้ “จิตวิทยา” ในการหลอกล่อเหยื่อ และในช่วงนี้มันกำลังระบาดหนักในองค์กรไทย!
เกิดอะไรขึ้น?
ตรวจพบอีเมลหลอกลวงรูปแบบใหม่ที่มีความแนบเนียนสูงมาก โดยมีลักษณะเด่นที่น่าสนใจดังนี้:
ชื่อผู้ส่ง (Display Name): แสดงเป็นชื่อของผู้บริหารหรือหัวหน้างานของคุณโดยตรง
ที่อยู่อีเมลจริง: เป็นบัญชี @gmail.com หรืออีเมลแปลกปลอมที่ไม่ใช่เมลบริษัท
หัวข้ออีเมล: ระบุชื่อบริษัทของเราเอง เพื่อสร้างความไว้วางใจ
เนื้อหา: ข้อความสั้น ภาษาไทย ดูเร่งด่วน เช่น “ให้ช่วยสร้างกลุ่ม LINE แล้วส่ง QR Code มาให้หน่อย”
จุดสำคัญ: ไม่มีไฟล์แนบ ไม่มีลิงก์ ทำให้ระบบกรองอีเมลตรวจจับได้ยากมาก!
ทำไมมิจฉาชีพถึงเลือกวิธีนี้?
คำตอบง่ายมากครับ: เพราะมันได้ผล! การโจมตีแบบ Social Engineering ไม่ต้องเจาะระบบซับซ้อน แค่อาศัยจุดอ่อนที่ทุกคนมี นั่นคือ “ความเกรงใจ” และ “ความเร่งรีบ”
เมื่อพนักงานหลงเชื่อและตอบกลับ ผู้โจมตีจะเริ่มทำการหลอกล่อในขั้นต่อไป ซึ่งมักจะเป็น:
- หลอกให้โอนเงิน (Business Email Compromise) ส่งคำสั่งปลอมให้โอนเงินไปยังบัญชีของมิจฉาชีพ โดยอ้างว่าเป็นการจ่ายเงินเร่งด่วน
- หลอกถามข้อมูลความลับ ขอข้อมูลสำคัญ เช่น รหัสผ่าน ข้อมูลลูกค้า หรือข้อมูลทางการเงินของบริษัท
- ส่งลิงก์ปลอมในภายหลัง เมื่อสร้างความไว้วางใจได้แล้ว จะส่งลิงก์หลอกให้กรอกรหัสผ่านหรือติดตั้งมัลแวร์
How to Protect Yourself
- ตรวจสอบที่อยู่อีเมลจริงทุกครั้ง
อย่าดูแค่ชื่อผู้ส่ง (Display Name) ให้คลิกดูที่อยู่อีเมลจริงว่ามาจากโดเมนบริษัท เช่น @yourcompany.com หรือไม่ ถ้าเป็น @gmail.com หรือโดเมนแปลกๆ ให้สงสัยทันที
- ตั้งสติ ถามตัวเองก่อนตอบ
หากผู้บริหารสั่งงานเรื่องผิดปกติ หรือสั่งงานผ่านอีเมลส่วนตัว ให้หยุดคิดสักครู่ คำถามง่ายๆ คือ “ปกติเขาสั่งงานแบบนี้ไหม?” ถ้าคำตอบคือไม่ ให้สงสัยไว้ก่อน
- ยืนยันผ่านช่องทางอื่นเสมอ (Double Check)
โทรศัพท์สอบถาม หรือทักแชทส่วนตัวที่เคยติดต่อกันอยู่แล้ว อย่ายืนยันตัวตนผ่านช่องทางที่ผู้ส่งแนะนำมา
- ไม่ให้ข้อมูลสำคัญผ่านอีเมลที่ไม่สามารถยืนยันได้
ไม่ว่าจะเป็น QR Code กลุ่ม, รหัสผ่าน หรือข้อมูลทางการเงิน อย่าส่งผ่านอีเมลที่คุณไม่แน่ใจว่าเป็นตัวจริง
