อธิบาย Call Center Scams: เมื่อเสียงที่ดูเป็นมืออาชีพกลายเป็นภัยคุกคามทาง Cyber

Call center scams ได้กลายเป็นหนึ่งในเทคนิค social engineering ที่มีประสิทธิภาพมากที่สุดในโลกของ cybercrime ยุคปัจจุบัน แตกต่างจาก phishing email ทั่วไปหรือข้อความหลอกลวงที่เห็นได้ชัด การโจมตีรูปแบบนี้อาศัยการสื่อสารกับมนุษย์จริง เหยื่อจะได้ยินน้ำเสียงที่มั่นใจ ใช้ภาษาที่เป็นมืออาชีพ และขั้นตอนที่คุ้นเคยคล้ายกับการให้บริการลูกค้าขององค์กรจริง องค์ประกอบด้านมนุษย์นี้เองที่ทำให้ call center scams อันตรายเป็นพิเศษ เพราะความไว้วางใจถูกสร้างขึ้นแบบเรียลไทม์ 

เมื่อองค์กรต่าง ๆ เปลี่ยนมาใช้ช่องทางดิจิทัลและพึ่งพาการให้บริการแบบ remote มากขึ้น ผู้โจมตีก็ใช้โมเดลเดียวกัน พวกเขาตั้ง call center ปลอม ฝึก “agent” ด้วยสคริปต์ และใช้ข้อมูลที่ถูกขโมยมาเพื่อให้ดูน่าเชื่อถือ ผลลัพธ์คือภัยคุกคามที่เพิ่มขึ้นอย่างต่อเนื่อง ซึ่งโจมตีทั้งบุคคลและองค์กร และมักสามารถหลีกเลี่ยงการป้องกันแบบ cybersecurity ดั้งเดิมได้ 

Call Center Scams คืออะไร 

Call center scams คือการหลอกลวงที่ผู้โจมตีแอบอ้างเป็นตัวแทนที่ถูกต้อง เช่น ธนาคาร ผู้ให้บริการโทรคมนาคม หน่วยงานรัฐ ทีม tech support หรือแม้แต่แผนกภายในของบริษัท เป้าหมายคือการหลอกให้เหยื่อเปิดเผยข้อมูลสำคัญ โอนเงิน หรือให้สิทธิ์การเข้าถึงระบบ 

การหลอกลวงเหล่านี้ไม่ได้สำเร็จเพราะความซับซ้อนทางเทคนิคเพียงอย่างเดียว แต่เกิดจากการใช้จิตวิทยา ผู้หลอกลวงสร้างความเร่งด่วน ความน่าเชื่อถือ หรือความกลัว เพื่อกดดันให้เหยื่อตัดสินใจก่อนตรวจสอบ ในหลายกรณี สายโทรศัพท์นั้นดูเป็นเรื่องปกติในชีวิตประจำวัน จึงยิ่งทำให้การหลอกลวงตรวจจับได้ยากขึ้น 

ทำไม Call Center Scams ถึงได้ผลมาก 

ประสิทธิภาพของ call center scams อยู่ที่ความสมจริง ผู้โจมตีมักผสาน social engineering เข้ากับข้อมูลที่รั่วไหลหรือข้อมูลสาธารณะ เพื่อปรับบทสนทนาให้ตรงกับเหยื่อและดูน่าเชื่อถือ ก่อนจะพูดถึงเทคนิคที่พบบ่อย ต้องเข้าใจก่อนว่าการหลอกลวงเหล่านี้แทบไม่ใช่เรื่องสุ่ม แต่เป็นปฏิบัติการที่มีโครงสร้างและเลียนแบบสภาพแวดล้อมของ customer service จริง เทคนิคที่ใช้บ่อย ได้แก่ 

• ใช้หมายเลขโทรศัพท์ปลอม (spoofed phone numbers) ที่ดูเหมือนถูกต้อง
• ดำเนินการตาม workflow และสคริปต์เหมือนการ support จริง
• อ้างอิงข้อมูลส่วนบุคคลหรือข้อมูลบัญชีบางส่วนเพื่อสร้างความน่าเชื่อถือ
• โอนสายไปยังหลาย “แผนก” เพื่อเสริมความสมจริง
• ใช้แรงกดดัน เช่น เส้นตาย คำขู่ หรือคำเตือนเร่งด่วน 

แนวทางแบบหลายชั้นนี้ทำให้เหยื่อรู้สึกว่ากำลังติดต่อกับองค์กรจริง ไม่ใช่การหลอกลวง 

องค์กรและบุคคลจะลดความเสี่ยงได้อย่างไร 

การป้องกัน call center scams ต้องมากกว่าการใช้เทคโนโลยีเพียงอย่างเดียว เพราะการโจมตีมุ่งเป้าที่พฤติกรรมของมนุษย์ การสร้าง awareness และการออกแบบกระบวนการจึงมีบทบาทสำคัญ สิ่งที่ควรจำไว้คือ องค์กรที่ถูกต้องตามกฎหมายจะไม่กดดันให้ผู้ใช้ดำเนินการทันทีโดยไม่มีการยืนยันตัวตน นโยบายการสื่อสารที่ให้ความสำคัญกับ security เป็นสิ่งจำเป็น 

แนวทางป้องกันหลัก ได้แก่ 

• ตรวจสอบตัวตนของผู้โทรผ่านช่องทางทางการก่อนให้ข้อมูลใด ๆ
• ฝึกอบรมพนักงานและลูกค้าให้รู้เท่าทันเทคนิค social engineering
• ใช้กระบวนการ call-back และการยืนยันหลายขั้นตอน
• จำกัดข้อมูลที่ทีม customer support สามารถเปิดเผยได้
• ตรวจสอบพฤติกรรมการเข้าถึงระบบหรือธุรกรรมที่ผิดปกติหลังการติดต่อ support

เมื่อผสานแนวทางเหล่านี้เข้ากับการควบคุมด้าน cybersecurity ที่แข็งแกร่ง จะช่วยลดความเสี่ยงจากการหลอกลวงผ่านเสียงได้อย่างมาก 

บทบาทที่เพิ่มขึ้นของ Cybersecurity ต่อภัยคุกคามทางเสียง 

เมื่อผู้หลอกลวงยกระดับความเป็นมืออาชีพ call center scams จึงกลายเป็นความท้าทายด้าน cybersecurity อย่างแท้จริง ไม่ใช่แค่ปัญหาด้าน fraud เท่านั้น voice phishing, deepfake audio และสคริปต์ที่ขับเคลื่อนด้วย AI ทำให้เส้นแบ่งระหว่างการ support ที่ถูกต้องกับเจตนาร้ายเลือนรางลงเรื่อย ๆ 

การป้องกันภัยเหล่านี้ต้องทำให้องค์กรมองช่องทางเสียงด้วยมาตรฐานความปลอดภัยเดียวกับ email, network และ endpoint กลยุทธ์ cybersecurity จำเป็นต้องพัฒนาเพื่อปกป้องทั้งระบบและผู้คนที่ต้องโต้ตอบกับระบบเหล่านั้น 

Terrabyte ช่วยองค์กรเสริมความแข็งแกร่งด้าน cybersecurity ด้วยการรับมือกับภัยคุกคาม social engineering รูปแบบใหม่ เพิ่มประสิทธิภาพการตรวจจับ และสร้างความยืดหยุ่นต่อการหลอกลวงที่ใช้ “ความไว้วางใจ” เป็นช่องทางโจมตีหลัก