- 4
- มีนาคม
ในเดือนมีนาคม 2569 บริษัท Huntress (ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์) เปิดเผยรูปแบบการโจมตีใหม่ที่พบใน 5 องค์กรขึ้นไป — แฮกเกอร์ส่ง spam email หลายพันฉบับท่วมกล่องข้อความของเป้าหมาย แล้วโทรศัพท์ตามมาแนะนำตัวว่าเป็น "IT Support" เพื่อ "ช่วยแก้ปัญหา" — จริงๆ แล้วคือการหลอกให้ติดตั้ง Remote Access Tool ที่นำไปสู่การขโมยข้อมูลหรือติดตั้ง Ransomware
Fake IT Support Attack คืออะไร?
Fake IT Support Attack คือรูปแบบ Social Engineering ที่แฮกเกอร์ "สร้างปัญหา" ให้เป้าหมายก่อน แล้วค่อย "เสนอตัวมาแก้ปัญหา" — เป็นเทคนิคทางจิตวิทยาที่ทำให้เหยื่อไว้วางใจและยินยอมให้เข้าถึงเครื่องคอมพิวเตอร์ โดยไม่สงสัยเลยว่ากำลังถูกโจมตี
ขั้นตอนการโจมตีทั้ง 5 ขั้น
| ขั้นตอน | สิ่งที่แฮกเกอร์ทำ | เป้าหมาย |
|---|---|---|
| ขั้นที่ 1 | Spam Bomb — ส่ง email spam หลายพันฉบับให้เป้าหมาย | สร้างความเครียด ทำให้เหยื่ออยากได้ความช่วยเหลือ |
| ขั้นที่ 2 | โทรศัพท์แนะนำตัวว่าเป็น IT Support ขององค์กร | สร้างความน่าเชื่อถือ ใช้ศัพท์เทคนิคให้ดูเป็นมืออาชีพ |
| ขั้นที่ 3 | ขอ Remote Access ผ่าน Teams, AnyDesk หรือ TeamViewer | เข้าถึงเครื่องคอมพิวเตอร์ของเหยื่อ |
| ขั้นที่ 4 | ติดตั้ง C2 Framework (Havoc, Cobalt Strike) | ฝัง backdoor เพื่อควบคุมเครื่องระยะยาว |
| ขั้นที่ 5 | ขโมยข้อมูล หรือติดตั้ง Ransomware เรียกค่าไถ่ | เข้าถึงข้อมูลสำคัญ หรือเข้ารหัสไฟล์ทั้งระบบ |
ทำไมการโจมตีแบบนี้ถึงได้ผล?
เหตุผลที่ Fake IT Support ได้ผลสูงมาก:
- พนักงานเครียดเพราะ spam ท่วม → ยินดีรับความช่วยเหลือจากใครก็ตาม
- แฮกเกอร์พูดเหมือนช่าง IT จริงๆ — ใช้ศัพท์เทคนิค รู้ชื่อระบบขององค์กร
- ใช้ช่องทางปกติ (Microsoft Teams, โทรศัพท์) ที่ไม่ถูก block โดย firewall
- ไม่มี malware ในอีเมล → ผ่าน antivirus ได้ทั้งหมด เพราะอีเมลแค่ spam ไม่มีไฟล์แนบอันตราย
เปรียบเทียบ Phishing แบบเดิม vs Fake IT Support
| เปรียบเทียบ | Phishing แบบเดิม | Fake IT Support |
|---|---|---|
| ช่องทาง | อีเมลมีลิงก์/ไฟล์แนบ | โทรศัพท์ + Teams + อีเมล |
| Antivirus ตรวจจับ? | ตรวจจับได้บางส่วน | ตรวจจับไม่ได้ |
| ต้องคลิกลิงก์? | ใช่ | ไม่ต้อง — เหยื่อติดตั้ง remote access เอง |
| ระดับความซับซ้อน | ต่ำ-กลาง | สูงมาก |
| ผลลัพธ์ | ขโมยรหัสผ่าน/ข้อมูล | ควบคุมเครื่องทั้งเครื่อง + ขยายไปทั้งเครือข่าย |
ผลกระทบต่อระบบ ERP
ถ้าแฮกเกอร์ได้ Remote Access เข้าเครื่องที่ใช้งาน ERP — จะสามารถเข้าถึงข้อมูลทั้งหมดได้ทันที:
- ข้อมูลการเงิน — งบดุล, รายรับ-รายจ่าย, เลขบัญชีธนาคาร
- ข้อมูล HR — เงินเดือนพนักงาน, เลขบัตรประชาชน
- ข้อมูลลูกค้า — เสี่ยงละเมิด PDPA โดนปรับสูงสุด 5 ล้านบาท
อ่านเพิ่มเติม: ความปลอดภัยของระบบ ERP | Disaster Recovery | Risk Management สำหรับองค์กร
วิธีป้องกัน Fake IT Support สำหรับองค์กร
| ☐ | กำหนดช่องทาง IT Support อย่างเป็นทางการ — ใช้ ticket system เท่านั้น ห้ามให้บริการผ่านโทรศัพท์โดยตรง |
| ☐ | ห้ามให้สิทธิ์ Remote Access แก่คนที่โทรมาเอง — ทุกครั้งต้องยืนยันตัวตนผ่านช่องทางอื่น |
| ☐ | ฝึกอบรมพนักงาน Security Awareness — สอนให้รู้จักรูปแบบ Social Engineering ใหม่ๆ |
| ☐ | ใช้ Multi-Factor Authentication (MFA) — แม้ได้รหัสผ่านไป ก็เข้าระบบไม่ได้ถ้าไม่มี OTP |
| ☐ | จำกัดสิทธิ์ติดตั้งซอฟต์แวร์ — พนักงานทั่วไปไม่ควรมีสิทธิ์ admin บนเครื่อง |
| ☐ | ตั้ง Email Filtering กรอง spam bomb — ใช้ rate limiting ตรวจจับอีเมลจำนวนมากในเวลาสั้น |
| ☐ | Block Remote Access Tools ที่ไม่ได้รับอนุญาต — อนุญาตเฉพาะเครื่องมือที่องค์กรกำหนดเท่านั้น |
Social Engineering ไม่ได้โจมตีระบบ — แต่โจมตีคน ป้องกันได้ดีที่สุดด้วยการฝึกอบรมและมี process ที่ชัดเจน
- ทีมพัฒนา Saeree ERP
แหล่งอ้างอิง
- Huntress — Threat Research Blog
- SharkStriker — Top Ransomware Attacks 2026
- World Economic Forum — Cyber Threats 2026
หากองค์กรของคุณต้องการเสริมความปลอดภัยให้กับระบบ ERP สามารถนัดหมาย Demo หรือติดต่อทีมที่ปรึกษาเพื่อพูดคุยเพิ่มเติม
