FBI ประกาศเตือนนักธุรกิจ “Man-in-the-Email” กำลังระบาด

เมื่อสัปดาห์ที่ผ่านมา FBI และ IC3 (Internet Crime Complaint) ได้ประกาศเตือนนักธุรกิจทุกคนให้ระวังกลโกง การต้มตุ๋นที่เริ่มระบาดในปัจจุบัน โดยคนร้ายจะทำการส่ง Invoice ปลอมที่หน้าตาเหมือนกับเจ้าของบริษัทจริง ไปยังลูกค้าหรือพันธมิตรทางธุรกิจ ผ่านทางอีเมลล์ปลอมที่จะเพิ่ม, ลด หรือปรับแต่งตัวอักษรเล็กน้อยให้คล้ายกับอีเมลล์จริงของบริษัทนั้นๆ เพื่อให้ผู้รับอีเมลล์ไม่ทันสังเกตและนึกว่าเป็น Invoice ที่มาจากคู่ค้าจริงๆ ส่งผลให้เหยื่อทำการชำระเงินไปให้คนร้ายฟรีๆโดยไม่รู้ตัว ซึ่งวิธีนี้จะไม่ถูกตรวจจับหรือสังเกตจนกว่าเจ้าของบริษัทที่แท้จริงจะทำการแจ้งเตือนเหยื่อ (ลูกค้า หรือคู่ค้า) หรือมีการพูดคุยสอบถามข้อมูลระหว่าง 2 บริษัท

เร็วๆนี้ IC3 ระบุว่า เริ่มได้รับการร้องเรียนจากหลายบริษัทที่ได้รับเตือนจากซัพพลายเออร์ว่า มีอีเมลล์ปลอมที่ใช้ชื่อของบริษัทในการขอใบเสนอราคา หรือสั่งสินค้า ซึ่งอีเมลล์ดังกล่าวได้ถูกส่งไปหาซัพพลายเออร์หลายเจ้าพร้อมๆกัน ซึ่งจากการตรวจสอบเชิงลึกพบว่า ชื่อ เบอร์โทรติดต่อ อีเมลล์ และบัญชีธนาคาร เป็นของนักต้มตุ๋มชาวไนจีเรีย (อีกแล้ว)

นอกจากนี้ ในปี 2013 FBI ระบุว่า มีอย่างน้อย 3 บริษัทใหญ่เมือง Bellevue, Tukwila และ Seattle ที่ถูกหลอกให้เชื่อว่า ส่งเงินไปยังบริษัทคู่ค้าของตนในประเทศจีน แต่ที่จริงแล้วคนร้ายแอบดักจับอีเมลล์ที่ใช้ติดต่อซื้อขายระหว่าง 2 บริษัท แล้วปลอมอีเมลล์และข้อมูลของตนให้คล้ายคลึงกับบริษัทเหล่านั้นเพื่อหลอกให้บริษัทผู้ซื้อชำระเงินมาที่บัญชีของคนร้ายแทน ซึ่งรวมแล้วเป็นเงินสูงกว่า $1.65 ล้านเหรียญสหรัฐฯ

จากข้อมูลที่ได้รับแจ้งของ IC3 พบว่า

• เหยื่อส่วนใหญ่มาจากประเทศอเมริกา, อังกฤษ และแคนาดา
• ธุรกิจของเหยื่อมักจะเป็นธุรกิจการค้าระหว่างประเทศ โดยเฉพาะกับประเทศจีน
• เกือบทั้งหมดของเหยื่อได้รับเมลล์ต้มตุ๋นจาก AOL, Gmail หรือ Hotmail และมีบางบริษัทระบุว่าคนร้ายสามารถเข้าถึงเซิฟเวอร์ภายในองค์กรของตนได้

FBI ให้คำแนะนำเพื่อหลีกเลี่ยงการถูกหลอกโดย Man-in-the-Email ดังนี้

• ตรวจสอบชื่ออีเมลล์ว่าถูกต้อง 100%
• เพิ่มช่องทางติดต่อทางอื่น เช่น การคุยโทรศัพท์ เพื่อยืนยันการทำธุรกรรมนอกเหนือจากการรับส่งอีเมลล์อย่างเดียว
• ใช้ Digital Signature บนอีเมลล์ที่รับส่ง
• หลีกเลี่ยงอีเมลล์ที่เป็น Web-based หรืออีเมลล์ฟรีในการสื่อสารหรือทำธุรกรรม ควรจดโดเมนของบริษัท และใช้อีเมลล์บริษัทแทน
• เลี่ยงการ “Reply” ในการตอบกลับ แต่ให้ใช้ “Forward” แล้วพิมพ์อีเมลล์ที่ถูกต้องจากรายชื่อผู้ติดต่อหรือพิมพ์ใหม่ด้วยตนเองแทน
• ไม่เปิดอีเมลล์ Spam, กดลิงค์บนเนื้อหาอีเมลล์ หรือเปิดไฟล์แนบใดๆที่มากับ Spam ให้ลบทิ้งไปทั้งหมด

ที่มา: http://www.networkworld.com/article/2393048/malware-cybercrime/fbi-warns-businesses-man-in-the-e-mail-scam-escalating.html