- 9
- มีนาคม
ในปี 2569 การโจมตีทางไซเบอร์ด้วย AI เพิ่มขึ้น 89% จากปีก่อน โดยรูปแบบที่อันตรายที่สุดคือ Deepfake Social Engineering — แฮกเกอร์ใช้ AI สร้างเสียงและวิดีโอปลอมแบบ real-time เพื่อหลอกพนักงานให้โอนเงินหรือเปิดเผยข้อมูลสำคัญ มีเคสจริงที่สร้างความเสียหายถึง $25 ล้าน จากวิดีโอคอลปลอมเพียงครั้งเดียว
Deepfake Social Engineering คืออะไร?
Deepfake Social Engineering คือการโจมตีแบบ Social Engineering ที่ใช้เทคโนโลยี AI สร้างเสียง ใบหน้า หรือวิดีโอปลอมของบุคคลจริง (เช่น CEO, CFO, หรือหัวหน้าฝ่ายการเงิน) เพื่อหลอกลวงเป้าหมายให้ทำตามคำสั่ง — ไม่ว่าจะเป็นการอนุมัติโอนเงิน เปิดเผยรหัสผ่าน หรือส่งข้อมูลลับ
สิ่งที่ทำให้การโจมตีรูปแบบนี้อันตรายกว่าเดิมคือ AI ในปี 2569 สามารถ clone เสียงได้จากคลิปเสียงเพียง 30 วินาที และสร้างวิดีโอ real-time ที่ตาเปล่าแยกไม่ออกว่าปลอม
4 รูปแบบ Deepfake Attack ที่พบในปี 2569
| รูปแบบ | วิธีการ | ระดับอันตราย |
|---|---|---|
| Voice Cloning | Clone เสียงผู้บริหารจากคลิปเสียง 30 วินาที แล้วโทรสั่งโอนเงิน | สูงมาก |
| Video Deepfake | สร้างวิดีโอคอลปลอมเสมือนจริง หลอกประชุม Zoom/Teams | สูงมาก |
| Deepfake-as-a-Service (DaaS) | ขายเครื่องมือ deepfake สำเร็จรูปในตลาดมืด แฮกเกอร์มือใหม่ก็ใช้ได้ | สูง |
| AI-Enhanced Phishing | AI เขียนอีเมลฟิชชิ่งเฉพาะบุคคล เลียนแบบสไตล์การเขียนของคนจริง | สูง |
เคสจริงที่เกิดขึ้นแล้ว:
- พนักงานการเงินถูกหลอกด้วย deepfake วิดีโอคอล ที่เสมือนจริงทั้งหมด — โอนเงินไป $25 ล้าน ทั้งที่ทำตาม verification procedure ปกติทุกขั้นตอน
- AI Social Engineering fraud สร้างความเสียหายรวมกว่า $200 ล้าน ใน Q1/2025 เพียงไตรมาสเดียว
- Deepfake video attacks เพิ่มขึ้น 900% ตั้งแต่ปี 2024 ถึง 2026
- Deepfake-as-a-Service (DaaS) ถูกขายในตลาดมืด ทำให้แม้แต่แฮกเกอร์มือใหม่ก็ปลอมเสียง/วิดีโอได้
เปรียบเทียบ Phishing แบบเดิม vs Deepfake Social Engineering
| เปรียบเทียบ | Phishing แบบเดิม | Deepfake Social Engineering |
|---|---|---|
| ช่องทาง | อีเมลมีลิงก์/ไฟล์แนบ | เสียงโทรศัพท์ + วิดีโอคอล |
| ตรวจจับได้? | Email filter ดักได้บางส่วน | ตรวจจับแทบไม่ได้ด้วยเครื่องมือปัจจุบัน |
| อัตราสำเร็จ | 3-5% ของเป้าหมาย | สูงกว่า 60% เพราะเหยื่อเห็นหน้า/ได้ยินเสียงคนที่รู้จัก |
| ความเสียหาย | ขโมยรหัสผ่าน/ข้อมูล | โอนเงินหลักล้านถึงพันล้าน + ข้อมูลองค์กร |
| ต้นทุนของแฮกเกอร์ | ต่ำ (ส่ง email เป็นหมื่น) | ต่ำ-กลาง (DaaS ราคาเริ่มไม่กี่พันบาท) |
ผลกระทบต่อระบบ ERP
ถ้า Deepfake หลอกทีมการเงินให้อนุมัติรายการในระบบ ERP ได้สำเร็จ — ความเสียหายจะมหาศาล:
- อนุมัติรายการโอนเงินปลอม — ผ่านระบบ ERP โดยตรง เพราะคนอนุมัติเชื่อว่าคำสั่งมาจากผู้บริหารจริง
- ขโมย credentials เข้าระบบ ERP — ได้ข้อมูลการเงิน HR พัสดุทั้งหมด
- เสี่ยงละเมิด PDPA — ข้อมูลส่วนบุคคลรั่วไหล โดนปรับสูงสุด 5 ล้านบาท
อ่านเพิ่มเติม: ความปลอดภัยของระบบ ERP | Disaster Recovery | Multi-Factor Authentication | Fake IT Support Attack
วิธีป้องกัน Deepfake Social Engineering สำหรับองค์กร
| ☐ | Callback Verification — ทุกคำสั่งโอนเงิน/อนุมัติรายการสำคัญ ต้องโทรกลับยืนยันผ่านเบอร์ที่บันทึกไว้ในระบบ ห้ามใช้เบอร์ที่ได้รับจากการโทรเข้ามา |
| ☐ | นโยบาย "Never Trust, Always Verify" — แม้จะเห็นหน้าและได้ยินเสียงผู้บริหาร ก็ต้องยืนยันตัวตนผ่านช่องทางอื่นเสมอ |
| ☐ | กำหนด Code Word — ใช้รหัสลับที่เปลี่ยนทุกสัปดาห์ สำหรับยืนยันตัวตนในการสั่งการทางโทรศัพท์/วิดีโอ |
| ☐ | ฝึกอบรมพนักงานเรื่อง Deepfake — สอนให้รู้จัก red flags เช่น lip-sync ไม่ตรง, แสงเงาผิดปกติ, ลองให้หันหน้าด้านข้าง (AI มักสร้างมุมนี้ไม่สมจริง) |
| ☐ | ใช้ Multi-Factor Authentication (MFA) — ทุกระบบสำคัญต้องยืนยันตัวตน 2 ชั้นขึ้นไป |
| ☐ | Dual Authorization สำหรับรายการเงินสำคัญ — กำหนดให้การโอนเงินเกินวงเงินที่กำหนดต้องมีผู้อนุมัติ 2 คนขึ้นไป |
| ☐ | จำกัดข้อมูลผู้บริหารใน public — ลดคลิปเสียง/วิดีโอผู้บริหารใน social media เพราะแฮกเกอร์ใช้เป็น training data |
ในยุคที่ AI สร้างเสียงและใบหน้าปลอมได้สมจริง — การ "เห็นหน้า" และ "ได้ยินเสียง" ไม่ใช่การยืนยันตัวตนที่เพียงพออีกต่อไป ต้องมี process และ code word ที่ AI ไม่รู้
- ทีมพัฒนา Saeree ERP
แหล่งอ้างอิง
- Whaller — Social Engineering 2.0: Deepfake, Phishing, AI
- EC-Council — AI-Powered Social Engineering Attacks in 2026
- TechTimes — Deepfake Fraud Scams and Synthetic Identity Fraud Surge
หากองค์กรของคุณต้องการเสริมความปลอดภัยให้กับระบบ ERP และวาง process ป้องกัน Deepfake — สามารถนัดหมาย Demo หรือติดต่อทีมที่ปรึกษาเพื่อพูดคุยเพิ่มเติม
