Blockdit Logo (Mobile)
ณัฐมาคุย
ยืนยันแล้ว
27 มี.ค. 2023 เวลา 03:10 • ธุรกิจ

Payment Instruction วิธีง่าย ๆ ในการป้องกันปัญหาธุรกิจถูกหลอกให้จ่ายเงิน

ช่วงที่ผ่านมานี้ มีบริษัทหลายบริษัท รวมทั้งบริษัทในตลาดหลักทรัพย์ฯ ที่ถูกหลอกลวงจากคนร้ายให้โอนเงินไปยังบัญชีของคนร้าย
โดยอาศัยสิ่งที่เรียกว่า Business Email Compromise หรือการใช้ Email ในการหลอกลวงบริษัท
การทำงานของคนร้ายเริ่มจากการเข้าถึงข้อมูลภายในของบริษัท ทั้งจากข้อมูลสาธารณะ (Open Source Intelligence) และจากข้อมูลภายในของบริษัทที่อาจจะได้รับจากวิศวกรรมสังคม (Social Engineering) และจากการเจาะระบบ จนได้ข้อมูลที่สำคัญออกมา
ข้อมูลที่สำคัญได้แก่ชื่อของผู้บริหาร ชื่อของเหยื่อ ชื่อของบริษัทคู่ค้า ข้อมูลการทำธุรกรรมต่าง ๆ เป็นต้น
หลังจากได้ข้อมูลเรียบร้อย คนร้ายจะเริ่มทำการส่งอีเมล์ไปหายังเป้าหมาย โดยอ้างว่าเป็นคนที่เกี่ยวข้อง เช่น CEO ของบริษัท และบอกให้เจ้าหน้าที่ที่มีอำนาจในการโอนเงิน หรือสั่งจ่ายเช็ค ให้จ่ายเงินไปยังบัญชีที่บอก (ซึ่งมักจะเป็นบัญชีม้า)
ซึ่งเจ้าหน้าที่จำเป็นต้องมีความ “เอ๊ะ” ในระดับหนึ่งอยู่เสมอที่จะสงสัยว่าธุรกรรมนั้นเป็นธุรกรรมปกติหรือไม่ แต่ต้องสอบถาม ตรวจสอบและยืนยันเพิ่มเติมว่าเป็นธุรกรรมที่ถูกต้องจริง ๆ หรือไม่
แทนที่จะอาศัยเจ้าหน้าที่ที่จะ “เอ๊ะ” เวลาเจออะไรแบบนี้ นี่เป็นสิ่งที่ “ระบบ” และ “การควบคุมภายใน” สามารถนำมาใช้ในการแก้ไขปัญหาดังกล่าวได้
ระบบ ERP ที่ดีมักจะมีหลายกลไกในการปิดจุดบกพร่องดังกล่าว เช่น การชำระเงินต้องมีเอกสารประกอบ และการอนุมัติตามลำดับขั้นเสมอ และต้องมีการอนุมัติผ่าน app ประกอบด้วย ทำให้การฉ้อโกงในลักษณะดังกล่าวทำได้ยากขึ้นมาก
แต่สำหรับบริษัทที่ยังไม่ใหญ่ถึงขั้นนั้น อีกหนึ่งกลไกที่ควรใช้คือ การบริหารคำสั่งในการชำระเงิน (Payment Instruction)
Payment Instruction เป็นการบอกว่า สำหรับผู้รับเงินคนหนึ่ง จะมีวิธีการจ่ายเงินในรูปแบบต่าง ๆ อะไรได้บ้าง และเก็บเป็นข้อมูลเอาไว้อย่างชัดเจน ซึ่งมักจะเป็นสิ่งที่เปลี่ยนแปลงไม่บ่อยนัก
Payment Instruction นั้นต้องถูกเก็บไว้ในฐานข้อมูล และต้องมีขั้นตอนการตรวจสอบ และอนุมัติเสมอ และการจ่ายเงินทุกครั้งจำเป็นต้องจ่ายตาม Payment Instruction ที่กำหนดไว้ ไม่เปิดโอกาสให้เจ้าหน้าที่สามารถจ่ายเงินออกไปยังบัญชีใหม่ ๆ ได้
หากผู้รับเงินต้องการเปลี่ยน Payment Instruction ผู้รับเงินต้องแจ้งบริษัทล่วงหน้า และต้องมีหลักฐาน และการอนุมัติที่ชัดเจนก่อนจะทำได้
หากบริษัทใดกลัวว่าจะถูกหลอกลวงในลักษณะนี้ ก็ลองนำสิ่งนี้ไปใช้ได้นะครับ
โฆษณา