1. Generic Phishing — หว่านแห#

Generic Phishing (ฟิชชิ่งทั่วไป) = หว่านอีเมลเดียวกันออกไป เป็นล้านฉบับ — ไม่ระบุชื่อ ไม่ระบุบริษัท. หวัง conversion rate 0.01-0.1% — ส่ง 1 ล้านฉบับ ได้ปลา 100-1,000 ตัว

ลองนึกฉาก — คุณได้อีเมลแบบนี้:

From: support@arnaz0n.com (สังเกตคำว่า arnaz0n — ไม่ใช่ amazon) Subject: “บัญชี Amazon ของคุณถูกระงับ — กรุณายืนยันใน 24 ชั่วโมง” “เรียนลูกค้า เราตรวจพบกิจกรรมผิดปกติในบัญชีของคุณ. กรุณา click ที่นี่เพื่อยืนยันตัวตน ไม่งั้นบัญชีจะถูกลบถาวร”

อีเมลแบบนี้ — โจรไม่รู้จักคุณ ไม่รู้ว่าคุณใช้ Amazon จริงหรือเปล่า — แค่หวังว่าใน 1 ล้านคนที่ได้รับ จะมีกี่คนที่ บังเอิญใช้ Amazon + บังเอิญกลัว + บังเอิญรีบ. แล้วกดเข้าหน้า login ปลอมที่หน้าตาเหมือนของจริง — กรอก username/password — โจรได้ credential ไปใช้กับ Amazon จริง

Red flags คลาสสิคของ generic phishing:

• Domain เพี้ยน — arnaz0n.com / amaz0n.com / amazon-support.xyz
• ภาษากำกวม / แปลผิด (โจรหลายกลุ่มทำงานจากนอกประเทศ ใช้ Google Translate)
• เร่ง — “24 ชั่วโมง”, “ทันที”, “ภายในวันนี้” — ลดเวลาคิด
• ขู่ — “บัญชีจะถูกลบ”, “ค่าปรับ”, “ดำเนินคดี” — กระตุ้น fear
• คำขึ้นต้นทั่วไป — “เรียนลูกค้า” / “Dear Customer” — ไม่มีชื่อจริง

2. Spear-Phishing — ยิงตัวเลือก#

Spear-Phishing (ฟิชชิ่งแบบเล็ง) = ตรงข้ามกับหว่านแห — โจร research target ก่อน แล้วส่งอีเมลที่ “ตรง” กับคนนั้น. คำว่า spear = หอกแหลม — เล็งทีละคน

ลองนึกฉาก — คุณเป็นพนักงานบัญชีของบริษัท ABC. โจร research ใน LinkedIn พบว่า:

• คุณชื่อ “คุณนิด” — รายงานตรง CFO ชื่อ “คุณสมชาย”
• บริษัทใช้ Microsoft 365
• คุณ post ใน LinkedIn เมื่อ 2 อาทิตย์ก่อนว่ากำลังปิดงบ Q1
• คุณเพิ่งไปงาน conference ของ ISACA Thailand

วันหนึ่งคุณได้รับอีเมล:

From: somchai.cfo@abc-corp.co.th (ดูเหมือนจริงมาก แต่ domain จริงคือ abc.co.th) Subject: “คุณนิด — เอกสารปิดงบ Q1 ที่คุยกันสัปดาห์ก่อน” “คุณนิดครับ ส่งไฟล์ที่เราคุยกันสัปดาห์ก่อนตอน ISACA conference. password เปิดไฟล์อยู่ใน 365 SharePoint — login ที่ link นี้ครับ”

ลองดู — อีเมลนี้ ตรงคุณคนเดียว. ใช้ชื่อจริง / รู้เรื่องงบ Q1 / รู้ว่าไปงาน ISACA / รู้ว่าใช้ M365. ความน่าเชื่อ ≠ generic phishing เลย — conversion rate ของ spear-phishing โดยทั่วไปสูงกว่า generic หลายเท่า

ในเคสจริง — APT29 (Cozy Bear — Russian state-sponsored) ใช้ spear-phishing อย่างเป็นระบบ — โจรอ่าน LinkedIn / Twitter / public talk ของ target นาน 2-4 สัปดาห์ก่อนยิงอีเมลฉบับเดียว

มุมผู้บริหาร: ถ้าบริษัทคุณมี VIP / executive / finance team ที่ public footprint สูง (LinkedIn / Twitter / interview) — คนพวกนี้คือ prime target ของ spear-phishing. ไม่ใช่ว่าให้ลบ LinkedIn — แต่ต้องมี training เฉพาะกลุ่ม + email filtering ที่ aggressive กว่าปกติ + out-of-band verification สำหรับธุรกรรมจาก email ของ VIP

3. Whaling — ล่าวาฬ#

Whaling (ล่าวาฬ) = spear-phishing ที่ target เป็น C-level (CEO / CFO / CTO / CISO) เท่านั้น. คำว่า whale = ปลาวาฬ — ปลาตัวใหญ่ที่สุดในทะเล. ความหวังของโจรคือ — ถ้าหลอก CEO ได้ — สิ่งที่ตามมาคือ อำนาจสั่งโอนเงิน + access ระบบสูงสุด + signature ของบริษัท

ลองนึกฉาก — CEO ได้อีเมลจาก “กรรมการบริษัทคู่ค้า” ขอ schedule meeting ฉุกเฉิน เรื่อง partnership ใหม่. attachment เป็น PDF “draft MOU”. CEO กด — backdoor ติดตั้ง — โจรเข้า device ของ CEO ได้ทั้งหมด

ในเคสจริงของวงการ — โจรพยายาม whaling CEO บริษัท Snapchat ปี 2016 — ปลอมเป็น CEO Evan Spiegel — ส่งอีเมลถึงพนักงาน HR ขอข้อมูล W-2 (tax form) ของพนักงานทั้งบริษัท. HR ส่งไป — data ของพนักงานหลายร้อยคน leak. นี่เป็น whaling + BEC ผสมกัน

ความน่ากลัวของ whaling — CEO ถูกหลอกได้ง่ายกว่าที่คิด. เหตุผล:

1. busy — เปิดอีเมลร้อยฉบับต่อวัน — กดเร็ว ไม่ verify
2. ทุกคนยอมตามคำสั่ง CEO — พนักงานข้างล่างไม่กล้า challenge
3. C-level มักข้าม security control — exception ที่ขอจาก IT
4. public footprint สูง — interview / podcast / public talk — โจร research ง่ายมาก

4. Clone Phishing — copy ตัวจริง#

Clone Phishing (โคลนอีเมลจริง) = โจรเอาอีเมล จริง ที่เคยส่งระหว่าง 2 คน (เช่น invoice จาก supplier / receipt จาก travel agency / contract draft) — copy ทุกอย่าง — แล้วเปลี่ยนเฉพาะ attachment หรือ link เป็นเวอร์ชันโจร — ส่งซ้ำให้ target จาก domain คล้ายจริง

ฉาก: คุณเป็นพนักงานจัดซื้อ. supplier ABC เคยส่ง invoice มาเมื่อเดือนก่อน — คุณจ่ายไปแล้ว. วันนี้คุณได้รับอีเมล:

From: finance@abc-supplier.co (จริงคือ abc-supplier.com) Subject: “Updated Invoice — INV-2025-0341 (revised)” “เรียน — ขอแก้ไข invoice ฉบับเก่า — มี typo ตัวเลขในใบเดิม ตามไฟล์แนบครับ”

ในอีเมล — template เหมือนเป๊ะ เพราะโจร เคย hack mailbox ของ supplier หรือ เคยเห็นอีเมลตัวจริง (จาก breach อื่น). ทุกอย่างเหมือน — ยกเว้น เลขบัญชี ในไฟล์ invoice ที่เปลี่ยนเป็นบัญชีของโจร

นี่เป็น variant ของสิ่งที่วงการเรียก “invoice fraud” หรือ “vendor impersonation” — และเป็นรูปแบบที่ทำเงินให้โจรเยอะที่สุดในกลุ่ม BEC

มุมผู้บริหาร: ทุกครั้งที่ supplier “เปลี่ยนเลขบัญชี” — ต้องมี callback verification — โทรกลับเบอร์ที่อยู่ในสัญญาเดิม ไม่ใช่เบอร์ในอีเมล. ถ้าระบบจัดซื้อของบริษัทคุณไม่มี control นี้ — บริษัทคุณกำลังเสี่ยงโดน clone phishing แบบเสียเงินจริง

Display Name Spoofing — แค่ปลอมชื่อแสดง#

วิธีที่ง่ายที่สุด — โจรสมัครอีเมลจาก Gmail / Outlook / Yahoo ฟรี — แต่ ตั้งชื่อ display เป็นชื่อ CEO ของบริษัท

ลองนึก — บนหน้า inbox มือถือของคุณ — แสดงแค่ชื่อ “สมชาย กรรมการผู้จัดการ” — คุณไม่เห็น email address เต็ม. ตามสถิติของวงการ — ผู้รับเฉลี่ยใช้เวลา < 3 วินาที ตัดสินใจ trust อีเมลจาก display name. ถ้า device แสดงแค่ชื่อ — pharmacy fraud ก็ใช้กลโกงนี้ตลอด

Defense: email client ที่บังคับแสดง full email address (Outlook / Gmail enterprise มี option) + warning banner “External sender — verify before responding” ที่บริษัทใหญ่หลายแห่งใช้

Lookalike Domain — domain ที่ดูเหมือน#

โจรซื้อ domain ที่ ดูเหมือน domain จริงของบริษัทหรือ partner — แล้วใช้ส่งอีเมล

ตัวอย่าง:

• rnicrosoft.com (r+n อ่านคล้าย m) — ไม่ใช่ microsoft.com
• google-support.co — ไม่ใช่ google.com
• paypaI.com (ตัว I ใหญ่แทน l เล็ก)
• อักษร Cyrillic ที่หน้าตาเหมือน Latin — pаypal.com (a เป็น Cyrillic а) — นี่เรียก IDN homograph attack

Defense: ที่ฝั่ง user — เปิด link preview + hover ดู domain ก่อนกด. ที่ฝั่งบริษัท — ลงทุน defensive domain registration — ซื้อ variant ของ domain บริษัทตัวเองไว้ก่อน (microsoft.com ถือ rnicrosoft.com / microsoftt.com / micr0soft.com etc.) + monitor domain ใกล้เคียง ผ่านบริการเช่น DomainTools / RiskIQ

Account Takeover — ยึด mailbox จริง#

อันนี้น่ากลัวที่สุด — โจร ยึด mailbox จริง ของ CEO หรือพนักงาน — ผ่าน password phishing + ไม่มี MFA. หลังจากนั้น โจรอ่านอีเมลในกล่อง เป็นเดือน — เรียนรู้สไตล์การเขียน / pattern การโอนเงิน / รายชื่อ supplier — แล้วค่อยส่งอีเมลฉ้อโกง จาก mailbox จริง

ที่ตามไม่ได้คือ — domain ถูก / DMARC pass / DKIM pass / SPF pass — เพราะอีเมลถูก ส่งจากเครื่องจริง. defense ปกติของ email security จับไม่ได้

ในเคสจริง — Toyota Boshoku (บริษัทผลิตชิ้นส่วนรถยนต์ของ Toyota Group) ปี 2019 โดน BEC แบบ account takeover — โจรหลอกพนักงานการเงินโอนเงินไปบัญชีโจร — เสียหาย $37 ล้าน USD. Toyota ออกข่าวยอมรับ + ฟ้อง bank ที่รับเงินด้วย

เคสที่ใหญ่กว่า — Ubiquiti Networks ปี 2015 — ผู้ผลิต networking gear ระดับโลก. พนักงานการเงินใน subsidiary ที่ฮ่องกง โดนอีเมลปลอมเป็น CEO + ทนายความ — สั่งโอนเงินไปบัญชีที่จีน / รัสเซีย / โปแลนด์ / ฮังการี รวม **$46.7 ล้าน USD**. Ubiquiti ได้คืนบางส่วนแต่ขาดทุน$39.1M สุดท้าย

มุมผู้บริหาร: ถ้าคุณยังคิดว่า BEC เป็น “เรื่องของ IT” — คิดผิดครับ. BEC ทำลายงบประมาณบริษัทระดับ ten-million-dollar — เป็น เรื่อง CFO ทั้งตัว. control ที่ CFO ต้องมีคือ — multi-person approval สำหรับการโอนเงิน > X บาท + callback verification + change request control สำหรับ supplier bank account + vendor due diligence + cyber insurance ที่ครอบคลุม social engineering loss (policy ปกติไม่ครอบ — ต้องซื้อ rider แยก)

Vishing — Voice Phishing#

Vishing (Voice Phishing — ฟิชชิ่งทางเสียง) = หลอกทางโทรศัพท์. คำว่า vishing = voice + phishing

ลองนึกฉากคลาสสิคของวงการ:

โทรเข้ามา (อ้างว่าจาก IT helpdesk): “สวัสดีครับคุณนิด ผมจาก IT — เรากำลัง troubleshoot ปัญหา VPN ของบริษัท คุณช่วยให้ password ใน 365 หน่อยได้มั้ย เรา reset ให้ตอน 5 นาที”

หรือ:

โทรเข้ามา (อ้างว่าจาก SCB / กรุงเทพ / กสิกร): “สวัสดีค่ะ จากธนาคาร — เราตรวจพบรายการน่าสงสัยในบัญชี ขอ OTP เพื่อยืนยันว่าเป็นคุณ”

ทุกครั้งที่มีคน โทรขอ credential / OTP / รหัสผ่าน — ของจริงไม่ทำ. ธนาคาร / IT / Microsoft / Apple — ไม่มีบริษัทใดในโลกที่โทรหาคุณแล้วขอข้อมูลพวกนี้. แต่คนยังตอบ — เพราะ เสียงคนจริง trust ง่ายกว่าอีเมล

เคสคลาสสิค — Twitter 2020 hack. กรกฎาคม 2020 — โจรอายุ 17 ปี + พรรคพวก โทรเข้า Twitter ปลอมเป็นพนักงาน IT internal — หลอก customer support ของ Twitter ให้ส่ง credential เพื่อ “ช่วย troubleshoot” ตอน work-from-home ช่วง COVID. โจรได้ access เครื่องมือ admin — เข้าควบคุม account ของ Barack Obama / Elon Musk / Bill Gates / Joe Biden / Apple / Uber — โพสต์ Bitcoin scam — ดูดเงินไปประมาณ $120,000 ใน 3 ชั่วโมงก่อน Twitter ตัด API ทั้งระบบ. รายงานหลังเหตุการณ์ — Twitter ยอมรับว่า internal tool ไม่ได้มี MFA + vishing ใส่พนักงาน work-from-home แทบหาทางจับไม่ทัน

Smishing — SMS Phishing#

Smishing (SMS Phishing) = หลอกผ่าน SMS / Line / WhatsApp / Messenger

ลองนึกที่คุณเจอบ่อยในไทย:

“ไปรษณีย์ไทย: พัสดุของคุณมีปัญหา ไม่สามารถจัดส่งได้ กรุณายืนยันที่อยู่ — [link]”

“SCB EASY: คะแนน reward ของคุณ 50,000 คะแนนจะหมดอายุพรุ่งนี้ แลกเลย — [link]”

“กรมสรรพากร: คุณมีเงินคืนภาษี THB 5,420.50 — กรอกข้อมูลที่นี่”

มี data ที่วงการเก็บได้ — conversion rate ของ smishing สูงกว่า email phishing ประมาณ 5-10 เท่า เพราะ:

1. มือถือหน้าจอเล็ก — ดู URL เต็มยาก
2. คนกดเร็ว — ไม่คิด
3. trust ของ SMS สูงกว่า email (คนคุ้นกับ spam ในอีเมลแต่ยังไม่คุ้นใน SMS)
4. อาวุธของโจร — SMS spoofing ที่ตั้งค่า sender ID เป็นชื่อแบงก์จริงได้ (ในไทยทำได้เพราะระบบ SMS sender ID ไม่มี authentication เท่า email)

AI Voice Cloning — ของใหม่ที่เปลี่ยนเกม#

ในปี 2023-2025 — เกิดเทคโนโลยี AI voice cloning ที่ใช้เสียง sample แค่ 30 วินาที — clone ได้เกือบเหมือนต้นฉบับ. tools เช่น ElevenLabs / Microsoft VALL-E / Resemble AI — บางตัว open source

ลองนึกฉาก — โจร download podcast ที่ CEO ของบริษัทคุณ interview กับสื่อ — 30 วินาทีเสียง CEO. clone เสียง. โทรเข้าเลขาของ CFO ตอน 6 โมงเย็นวันศุกร์ (ก่อน weekend — pressure สูง):

(เสียง CEO): “นี่สมชายนะ — ผมอยู่สนามบินกำลังจะบินไปสิงคโปร์ — มีดีล urgent ที่ต้องโอนเงินวันนี้ — ส่งเลขบัญชีกับยอดมาให้ทันที — ห้ามคุยกับใคร”

เคสจริง — ฮ่องกง กุมภาพันธ์ 2024. พนักงานการเงินของบริษัท multinational ใหญ่ — ได้ Zoom call จาก “CFO” + เพื่อนร่วมงานอีกหลายคน. ทั้ง call เป็น deepfake video + voice clone ของทุกคน. CFO สั่งโอน — พนักงานโอนไป $25.6 ล้าน USD ใน 15 transfer ก่อนจะรู้ตัวเมื่อเช็คกับสำนักงานใหญ่. นี่เป็น vishing + video deepfake combo — และวงการคาดว่าเป็นแค่ เคสแรก ที่ public รู้ — เคสที่ไม่ public มีอีกเยอะ

มุมผู้บริหาร: ถ้าวันนี้พนักงานยังเชื่อว่า “เสียงผมคือผม / video ผมคือผม” — บริษัทคุณ exposure สูงกว่าที่คิดในยุค deepfake. control เดียวที่ทำได้สัปดาห์นี้ + ราคา 0 บาท — ตกลง safe word ระหว่างผู้บริหารกับเลขา/CFO + กฎ out-of-band verification สำหรับธุรกรรม > X บาท (โทรกลับเบอร์ที่อยู่ใน HR record ไม่ใช่เบอร์ใน call เดิม)

Pretexting — สร้างเรื่องราว#

Pretexting (พรีเทกซ์ติ้ง — สร้างเรื่องราวปลอม) = ปลอมตัวเป็นคนที่ target trust — เพื่อให้ target ทำสิ่งที่โจรต้องการ. ไม่ใช่แค่ “ปลอมตัว” — เป็นการ build story ที่สมจริงรอบตัว

ตัวอย่าง classic — โจรปลอมเป็น auditor จาก headquarters โทรเข้า branch:

“ผมจาก internal audit ตึก HQ — กำลังตรวจ control IAM ของ branch — ขอ list ของ user account กับ permission ทั้งหมดที่ใช้ใน 24 ชั่วโมงล่าสุด — ส่งมาที่อีเมล audit-temp@… ครับ ภายในวันนี้”

พนักงาน branch ไม่กล้า challenge — เพราะ “audit จาก HQ”. ส่งไปจริงๆ — โจรได้ inventory ของ access ทั้ง branch ฟรี

อีกตัวอย่าง — Kevin Mitnick (hacker ดังของวงการ ก่อนเสียชีวิตปี 2023) — เขียนหนังสือ “The Art of Deception” ที่อธิบาย pretexting ในระดับ master. หลายเคสที่เขาเล่า — ไม่มี hack ทาง technical เลย — แค่โทรเข้าบริษัท ปลอมเป็นพนักงานที่ลืม password — customer service reset ให้ — เข้าระบบได้

Baiting — ทิ้งเหยื่อให้คนเก็บ#

Baiting (เหยื่อล่อ) = ทิ้ง USB / CD / external drive ที่ติด malware ไว้ในที่ที่ target จะเก็บ — parking lot / lobby / ตามทางเดิน. ฉลากเขียนน่าสนใจ — “Salary 2025 — Confidential” / “Q4 Financial Results” / “Employee photos — Christmas party”

คนเก็บได้ — เสียบเข้าคอม — malware รัน. ในการทดลองของ University of Illinois ปี 2016 — ทิ้ง USB 297 ตัวในมหาวิทยาลัย — 45-98% ถูกเสียบเข้าคอม (ขึ้นกับ location). คนรู้ว่าน่าสงสัย — แต่ความอยากรู้ชนะ

Quid Pro Quo — แลกเปลี่ยน#

Quid Pro Quo (แลกของกับของ) = โจรเสนอ “ช่วยเหลือ” แลกกับ info / access. ตัวอย่าง classic:

โจรสุ่มโทรเข้าบริษัท: “สวัสดีครับ — ผมจาก IT — มี ticket ใครแจ้งปัญหาคอม?”

พนักงาน A: “ไม่”

พนักงาน B: “ไม่”

พนักงาน C: “ใช่ครับ คอมผมช้าเมื่อเช้านี้”

โจร: “ครับ ผมช่วย remote เข้าไปแก้ให้ — กรุณา install software นี้”

C ติดตั้ง — backdoor ฝัง. โจรไม่ต้อง phish ใคร — เดินไปหา target ที่ ขอให้ช่วย เอง

Tailgating — เดินตามคนเข้าตึก#

Tailgating (เดินตามท้าย) = social engineering ทาง physical — โจรเดินตามพนักงานที่ scan card เข้าตึก / ห้อง server / data center โดยพนักงาน “ถือประตูให้”

ในไทย — มารยาทคือ ถือประตูให้คนข้างหลัง. โจรใช้กฎมารยาทนี้เป็นช่อง. ตัวอย่าง — แต่งตัวเป็นพนักงาน delivery / ช่างซ่อม — เดินเข้าตึก — ขอใช้ห้องน้ำ / refill น้ำ — แล้ว plug Raspberry Pi เข้า network port ในห้องประชุมที่ไม่มีคน

เคสคลาสสิค — Stuxnet 2010 — มัลแวร์ที่ทำลายโรงงานนิวเคลียร์อิหร่าน — entry point ที่หลายคนเชื่อว่าใช้คือ USB ที่พนักงาน contractor เสียบ (baiting + insider unwitting)

มุมผู้บริหาร: physical social engineering — บริษัทไทยป้องกันต่ำที่สุดในวงการ. ส่วนใหญ่มี access card แต่ไม่บังคับ tailgating prevention. ลงทุน:

• mantrap / anti-tailgating turnstile ที่ทางเข้าหลัก
• policy challenge stranger — พนักงานทุกคน “ถามสวัสดี” คนที่ไม่รู้จักในออฟฟิศ
• visitor escort — แขกต้องมีพนักงานพาเดินตลอดเวลา
• USB port disable ใน production endpoint + group policy block autorun
• camera + DVR retention ขั้นต่ำ 30 วัน

Layer 1 — Security Awareness Training#

Security Awareness Training = training พนักงานทุกคน ทุกปี — phishing คืออะไร / red flags / report ยังไง

ลักษณะ training ที่ ใช้ได้จริง:

• ไม่ใช่ slide PowerPoint ที่ดูชั่วโมงเดียวต่อปี — ทำซ้ำ + ปรับเนื้อหา + เน้นเคสที่เกิดในวงการล่าสุด
• micro-learning — 3-5 นาทีต่อ session เดือนละครั้ง — จดจำได้มากกว่าสะสมเดือน 12 ครั้งเดียว
• เคสจริงจากบริษัทตัวเอง — ถ้ามีพนักงานที่กดอีเมลปลอม (จาก simulation) — เอามาเป็น case study (ไม่ระบุชื่อ)

Layer 2 — Phishing Simulation#

Phishing Simulation = ส่ง อีเมล phishing ปลอม จาก security team เองให้พนักงาน — ดูว่าใครกด. คนที่กด → ส่งเข้า remedial training. tools ที่ใช้: KnowBe4 / Proofpoint Security Awareness / Microsoft Attack Simulator

KPI ของวงการ — click rate เริ่มต้นปกติของบริษัทที่ไม่เคย simulate = 15-30%. หลัง simulation 12 เดือน เป็นประจำ — ลดเป็น 3-5% ได้

Pitfall ที่ต้องระวัง:

• ห้ามลงโทษพนักงานที่กด — ทำให้คนกลัว report ของจริง = แย่ลง
• simulate ทั่วถึง — ไม่ใช่แค่ entry level — รวม executive
• rotate template — อย่าใช้ template เดิม 6 เดือนซ้อน

Layer 3 — Email Filtering (Proofpoint / Microsoft Defender for Office 365 / Mimecast)#

Email Security Gateway — กรองอีเมลที่ดูเป็น phishing ก่อนถึง inbox. tool ระดับ enterprise ใช้:

• Proofpoint — ผู้นำตลาด — ใช้ ML + reputation scoring
• Microsoft Defender for Office 365 — built-in กับ M365 — ราคาต่ำกว่า
• Mimecast / Barracuda / Cisco IronPort — alternative

functionality หลัก: anti-spam / anti-malware (attachment sandboxing) / URL rewriting (click time inspection) / impersonation detection (display name vs domain) / DLP outbound

ในเคสที่บริษัทไทยขนาดกลางลงทุน email filtering ระดับ enterprise — ทั่วไปลด phishing click rate ลงได้ 60-80% ก่อนพนักงานเห็นอีเมลด้วยซ้ำ

Layer 4 — DMARC + BIMI (recap EP.25)#

EP.25 (Email Security: SPF / DKIM / DMARC) คุยเรื่อง 3 protocol ที่ช่วยป้องกันการปลอม domain ในอีเมล

Quick recap:

• SPF (Sender Policy Framework) — บอกว่า server ไหนได้รับอนุญาตให้ส่งอีเมลจาก domain นี้
• DKIM (DomainKeys Identified Mail) — เซ็นชื่ออีเมลด้วย private key — ผู้รับ verify ด้วย public key ใน DNS
• DMARC (Domain-based Message Authentication, Reporting, and Conformance) — policy ว่าถ้า SPF/DKIM fail ทำยังไง (none / quarantine / reject)
• BIMI (Brand Indicators for Message Identification) — แสดง logo บริษัท ใน inbox ของ Gmail / Apple Mail — ต้องมี DMARC reject policy + VMC certificate

บริษัทไทย ปี 2026 — ที่ผมแนะนำเป็น minimum:

1. DMARC ที่ p=reject สำหรับ domain หลักของบริษัท — ห้ามคนภายนอกปลอมส่งอีเมล “@yourcompany.com”
2. Subdomain DMARC — รวม subdomain ที่ไม่ใช้ส่งอีเมล (เช่น login.yourcompany.com / api.yourcompany.com)
3. BIMI logo — ลงทุน VMC certificate (~$1,500-3,000 USD/ปี) — แสดง logo จริงใน inbox — เพิ่ม trust ของ customer + ลด phishing ที่ปลอม domain ของคุณ

มุมผู้บริหาร: Training / Simulation / Email filtering / DMARC — ไม่ใช่ แต่ละอย่างทำคนละครั้ง แต่เป็น ระบบที่ต้อง run ตลอด. KPI ที่ board ของบริษัทคุณควร review ทุกไตรมาส:

• phishing simulation click rate (target < 5%)
• report rate ของอีเมลน่าสงสัย (target > 20% — คนต้อง report ของจริงด้วย)
• mean time to report (target < 5 นาที — ของจริงถ้า report ภายใน 1 ชั่วโมง ก็ยังหยุด damage ได้)
• DMARC compliance ของ domain หลัก (target 100% pass)
• BEC loss / quarter (target $0)

2 leader takeaways สำหรับบริษัทไทยปี 2026#

ข้อหนึ่ง — เลิกคิดว่า phishing เป็น “เรื่อง IT ที่ส่ง training ปีละครั้ง”

ในวงการ — บริษัทที่ลด phishing risk ได้จริง — ไม่ใช่บริษัทที่ลงทุน firewall แพงที่สุด. เป็นบริษัทที่ทำให้ awareness เป็นวัฒนธรรม — พนักงานทุกคนรู้ว่า:

• report เร็ว = ดี (ไม่ใช่ “อายที่กด”)
• challenge stranger เป็นเรื่องปกติ (ไม่ใช่หยาบคาย)
• out-of-band verification เป็น default (ไม่ใช่ขั้นตอนเพิ่ม)

วัฒนธรรมนี้สร้างไม่ได้ใน 6 เดือน — ต้องใช้เวลา 2-3 ปีของการลงทุนใน training + simulation + leadership ตัวอย่าง (CEO กด phishing simulation ก็เข้า remedial training เหมือนพนักงานทั่วไป)

ข้อสอง — สำหรับธุรกรรมเงินใหญ่ — assume ทุก channel ถูกปลอมได้

ปี 2026 — กฎเดิมที่ว่า “ถ้าได้ยินเสียง CEO ก็เชื่อได้” ไม่ใช้แล้ว. AI voice cloning + deepfake video ทำให้ทุก channel ถูกปลอม. control ที่ผู้บริหารต้องบังคับใช้ทั้งบริษัท:

• safe word ระหว่างทีมการเงินกับผู้บริหาร — คำลับที่ตกลงกันไว้ก่อน — ใช้ verify ในธุรกรรมใหญ่
• multi-person approval สำหรับ wire transfer > X บาท — ไม่มี single approver
• callback ทุกครั้งที่ supplier เปลี่ยนเลขบัญชี — โทรกลับเบอร์ใน contract เดิม
• cooling-off period สำหรับ urgent transaction — กฎ “ห้ามโอนภายใน 1 ชั่วโมง” บังคับ verify รอบสอง
• cyber insurance ที่ครอบคลุม social engineering loss (policy ปกติไม่ครอบ — ซื้อ rider แยก)

ในเคสที่บริษัทไทยขนาดกลางทำตามนี้ — โดยทั่วไปลด BEC loss ลงได้ 80-90% ในระยะ 12-18 เดือน — โดยไม่ต้องลงทุนเทคโนโลยีใหม่ — แค่ process discipline