
เมื่อ Scammer ใช้ AI เป็นอาวุธ องค์กรต้องปรับวัฒนธรรมใหม่เพื่อรับมือ ด้วย Zero Trust Mindset
ในวันที่ AI ปลอมเสียง ปลอมหน้า และปลอมความสัมพันธ์ได้ สิ่งที่อันตรายที่สุดอาจไม่ใช่เทคโนโลยี แต่คือ ‘ความไว้ใจ’ แบบเดิมของเราเอง คอลัมน์ The Hacker โดย AFON Cyber
นี่คือความจริงใหม่ของโลกธุรกิจในยุคที่คำว่า scammer ไม่ได้หมายถึงเพียงคนร้ายที่ส่ง SMS หลอกให้กดลิงก์ หรือโทรมาขู่ให้โอนเงินเข้าบัญชีม้าอีกต่อไป แต่หมายถึงขบวนการอาชญากรรมที่เริ่มใช้ AI เป็นเครื่องมือสร้าง “ความจริงเทียม” เพื่อหลอกมนุษย์ให้ตัดสินใจผิดพลาดในจังหวะสำคัญที่สุด ไม่ว่าจะเป็นการโอนเงิน การเปิดเผยข้อมูล การอนุมัติธุรกรรม หรือแม้แต่การตัดสินใจที่กระทบต่อครอบครัว ธุรกิจ และความมั่งคั่งทั้งชีวิต
ในอดีต เราอาจสอนกันว่า “อย่ากดลิงก์แปลก ๆ” “อย่าเชื่อเบอร์ที่ไม่รู้จัก” หรือ “อย่าให้รหัส OTP กับใคร” แต่ในวันนี้ คำเตือนเหล่านั้นอาจไม่เพียงพออีกต่อไป เพราะ scammer ยุคใหม่ไม่ได้เข้ามาในรูปแบบคนแปลกหน้าเสมอไป เขาอาจเข้ามาในรูปของ “ลูกชายที่โทรมาด้วยเสียงเหมือนจริง” “คู่ค้าทางธุรกิจที่ส่งอีเมลเหมือนเดิมทุกอย่าง” “ผู้บริหารที่เข้าประชุมวิดีโอคอลพร้อมใบหน้าและน้ำเสียงที่คุ้นเคย” หรือ “คนรู้จักที่ค่อย ๆ สร้างความสัมพันธ์จนเราเชื่อใจ”
กรณีศึกษาที่ทั่วโลกพูดถึงมากที่สุดกรณีหนึ่ง คือเหตุการณ์ที่พนักงานฝ่ายการเงินในฮ่องกงถูกหลอกให้โอนเงินประมาณ 25 ล้านดอลลาร์สหรัฐ หลังเข้าร่วมวิดีโอคอลที่ดูเหมือนมีผู้บริหารหลายคนของบริษัทเข้าประชุมอยู่ด้วย แต่แท้จริงแล้วบุคคลเหล่านั้นเป็นภาพและเสียงที่ถูกสร้างขึ้นด้วยเทคโนโลยี deepfake รายงานข่าวระบุว่าเหตุการณ์ดังกล่าวเกี่ยวข้องกับบริษัทวิศวกรรมระดับโลก Arup และกลายเป็นหนึ่งในสัญญาณเตือนสำคัญว่า AI กำลังเปลี่ยนรูปแบบของ social engineering จากการหลอกด้วยข้อความ ไปสู่การหลอกด้วย “ประสบการณ์เสมือนจริง” ที่สมองมนุษย์ยากจะปฏิเสธ
สิ่งที่น่ากลัวของกรณีนี้ไม่ใช่เพียงจำนวนเงินที่สูญเสีย แต่คือ “กระบวนการหลอก” ที่โจมตีจุดอ่อนตามธรรมชาติของมนุษย์โดยตรง พนักงานไม่ได้เชื่อเพราะเห็นอีเมลอย่างเดียว แต่เชื่อเพราะได้ “เห็นหน้า” และ “ได้ยินเสียง” ของคนที่คิดว่าเป็นผู้บริหารในวิดีโอคอล เมื่อสมองรับรู้ภาพ เสียง ตำแหน่ง และสถานการณ์ว่าดูน่าเชื่อถือ การตัดสินใจจึงเกิดขึ้นภายใต้แรงกดดันของเวลา ความลับ และอำนาจสั่งการ
นี่คือหัวใจของ social engineering ยุค AI: คนร้ายไม่ได้แฮกระบบก่อนเสมอไป แต่แฮก “ความไว้ใจ” ของคนในระบบก่อน
สำหรับเจ้าของธุรกิจ ผู้บริหารระดับสูง และครอบครัวนักธุรกิจ เรื่องนี้ไม่ใช่เรื่องไกลตัวเลย ลองตั้งคำถามง่าย ๆ ว่า หากวันหนึ่ง CFO ส่งข้อความมาบอกให้เปลี่ยนบัญชีรับเงินของ supplier อย่างเร่งด่วน บริษัทของเรามีกระบวนการยืนยันตัวตนอย่างไร? หากลูกหลานโทรมาด้วยเสียงเหมือนจริง บอกว่าเกิดอุบัติเหตุและต้องการเงินด่วน เราจะตรวจสอบอย่างไร? หากคู่ค้าต่างประเทศส่งเอกสารการชำระเงินที่ดูถูกต้อง พร้อมลายเซ็นและตราประทับเหมือนจริง เราจะเชื่อจากหน้าตาเอกสาร หรือเชื่อจากกระบวนการตรวจสอบ?
ในโลกที่ AI สามารถสร้างเสียง ใบหน้า ภาพ วิดีโอ เอกสาร และข้อความได้อย่างแนบเนียน การใช้ “ความรู้สึกว่าใช่” เป็นหลักฐาน อาจกลายเป็นความเสี่ยงทางการเงินที่แพงที่สุด
ข้อมูลจาก FBI Internet Crime Complaint Center ระบุว่าในปี 2024 อาชญากรรมไซเบอร์ที่มีจำนวนร้องเรียนสูง ได้แก่ phishing/spoofing, extortion และ personal data breaches ขณะที่ความเสียหายจาก investment fraud โดยเฉพาะที่เกี่ยวข้องกับ cryptocurrency มีมูลค่าสูงกว่า 6.5 พันล้านดอลลาร์สหรัฐ และกลุ่มผู้สูงอายุมากกว่า 60 ปีเป็นกลุ่มที่มีความเสียหายรวมสูงเกือบ 5 พันล้านดอลลาร์สหรัฐ ตัวเลขนี้สะท้อนว่า scammer ไม่ได้เลือกเหยื่อจากความไม่รู้เท่านั้น แต่เลือกจาก “มูลค่าทางเศรษฐกิจ” “ความไว้วางใจ” และ “อำนาจในการตัดสินใจ”
สำหรับประเทศไทย สังคมสูงวัย เจ้าของกิจการรุ่นก่อตั้ง และธุรกิจครอบครัวจำนวนมากกำลังเผชิญความเสี่ยงใหม่พร้อมกันสามด้าน คือ ความเสี่ยงต่อเงินสดของธุรกิจ ความเสี่ยงต่อทรัพย์สินส่วนตัว และความเสี่ยงต่อความสัมพันธ์ในครอบครัว เพราะ scammer เข้าใจดีว่า การหลอกคนที่มีทรัพย์สิน ไม่จำเป็นต้องโจมตีเจ้าตัวโดยตรงเสมอไป แต่อาจโจมตีผ่านคนใกล้ชิด เลขานุการ ฝ่ายบัญชี ลูก หลาน คู่สมรส คนขับรถ หรือผู้ช่วยส่วนตัว
นี่จึงเป็นเหตุผลว่าทำไมแนวคิด Zero Trust Mindset จึงสำคัญกว่าการเป็นเพียงเรื่องเทคโนโลยี
Zero Trust ไม่ได้แปลว่า “ไม่ไว้ใจใคร” และไม่ได้หมายถึงการมองทุกคนเป็นผู้ร้าย แต่หมายถึงการออกแบบวิธีคิดและกระบวนการทำงานใหม่ว่า ทุกเรื่องสำคัญต้องผ่านการตรวจสอบ ไม่ใช่เพราะเราไม่เชื่อใจคน แต่เพราะเราไม่ต้องการให้คนที่เราไว้ใจถูกนำมาใช้เป็นเครื่องมือของคนร้าย
สำหรับภาคธุรกิจ Zero Trust Mindset ควรเริ่มจากหลักง่ายๆ 5 ข้อ
ข้อแรก อย่าเชื่อเพราะคุ้นเคย เบอร์เดิม เสียงเดิม หน้าตาเดิม อีเมลเดิม หรือโลโก้เดิม ไม่เพียงพออีกต่อไปในยุค AI ทุกคำสั่งที่เกี่ยวกับเงิน ข้อมูลสำคัญ หรือการเปลี่ยนแปลงบัญชี ต้องได้รับการยืนยันผ่านช่องทางที่สองเสมอ
ข้อที่สอง เรื่องเงินยิ่งด่วน ยิ่งต้องช้า scammer มักสร้างสถานการณ์เร่งด่วน เช่น ต้องโอนเดี๋ยวนี้ เป็นความลับ ห้ามบอกใคร หรือผู้บริหารสั่งมาโดยตรง องค์กรจึงต้องสร้างกติกาว่า ธุรกรรมสำคัญต้องมีเวลาหน่วง ตรวจซ้ำ และอนุมัติหลายชั้น
ข้อที่สาม ห้ามยืนยันตัวตนจากช่องทางที่คนร้ายเป็นผู้ให้มา หากได้รับอีเมลแจ้งเปลี่ยนบัญชี supplier อย่าโทรกลับไปยังเบอร์ในอีเมลฉบับนั้น แต่ต้องโทรไปยังเบอร์เดิมในระบบที่เคยตรวจสอบแล้ว หากได้รับคำสั่งจากผู้บริหารทาง LINE หรือ WhatsApp ต้องยืนยันผ่านช่องทางอิสระที่กำหนดไว้ล่วงหน้า
ข้อที่สี่ ไม่มีใครควรมีอำนาจอนุมัติธุรกรรมใหญ่คนเดียว โดยเฉพาะธุรกิจครอบครัวที่เจ้าของกิจการมักใช้ความไว้ใจส่วนบุคคลแทนระบบควบคุมภายใน การกำหนดวงเงินอนุมัติ การแยกหน้าที่ และการบันทึกหลักฐานการอนุมัติ ไม่ใช่ความยุ่งยาก แต่คือเกราะป้องกันความมั่งคั่ง
ข้อที่ห้า ครอบครัวต้องมี verification protocol เช่น รหัสลับประจำครอบครัวหรือประจำแผนสำหรับกรณีฉุกเฉิน วิธีตรวจสอบเมื่อมีเสียงหรือวิดีโอคอลขอเงินด่วน รายชื่อผู้ติดต่อฉุกเฉิน วิธีจัดการบัญชีออนไลน์ เอกสารสำคัญ รหัสผ่าน และทรัพย์สินดิจิทัล หากวันนี้โทรศัพท์หาย บัญชีอีเมลถูกยึด หรือเจ้าของธุรกิจไม่สามารถสื่อสารได้ ครอบครัวและกิจการควรรู้ว่าจะต้องทำอะไรต่อ
โลกธุรกิจเคยเชื่อว่า “เห็นกับตา ได้ยินกับหู” คือหลักฐานที่หนักแน่น แต่ในยุค AI ประโยคนั้นอาจต้องเปลี่ยนเป็น “เห็นแล้วต้องตรวจ ได้ยินแล้วต้องยืนยัน และยิ่งคุ้นเคยยิ่งต้องระวัง”
Scammer ครองเมืองได้ ไม่ใช่เพราะคนไทยโง่ ไม่ใช่เพราะผู้บริหารไม่เก่ง และไม่ใช่เพราะผู้สูงวัยไม่ทันเทคโนโลยีเสมอไป แต่เพราะอาชญากรรมยุคใหม่เข้าใจจิตวิทยามนุษย์ เข้าใจความกลัว ความโลภ ความรัก ความเกรงใจ ความรีบร้อน และความไว้ใจดีกว่าที่เราคิด
ทางรอดจึงไม่ใช่การหวาดระแวงทุกคน แต่คือการยกระดับวัฒนธรรมความปลอดภัยจาก “เชื่อก่อน ตรวจทีหลัง” ไปสู่ “ตรวจสอบก่อน แล้วจึงเชื่ออย่างมีเหตุผล”
นี่คือส่วนหนึ่งของสาระสำคัญที่ผมเขียนรวบรวมไว้ในหนังสือ Zero Trust Mindset หนังสือที่ชวนผู้อ่านทำความเข้าใจโลกของ scammer, social engineering และ AI-enabled deception พร้อมแนวคิดและวิธีป้องกันตัวเอง ครอบครัว องค์กร และสังคมในโลกที่ความจริงอาจไม่ใช่สิ่งที่เห็นอีกต่อไป เขียนโดย นรินทร์ฤทธิ์ เปรมอภิวัฒโนกุล หรือ อ.ฝน ไซเบอร์ ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์และที่ปรึกษาองค์กรภาครัฐและเอกชน
เพราะในโลกยุคใหม่ คำถามสำคัญอาจไม่ใช่ “เราจะไว้ใจใครได้บ้าง” แต่คือ “เราจะออกแบบระบบอย่างไร เพื่อปกป้องคนที่เราไว้ใจ ไม่ให้ตกเป็นเหยื่อ”
สามารถดาวน์โหลด/อ่านหนังสือฉบับเต็มได้ฟรีที่นี่ https://urlto.me/ZTM.pdf












