Cảnh báo: Email giả mạo CEO khiến doanh nghiệp mất đơn hàng, và cách HimiTek dùng Automation để xử lý

1. Chẩn đoán rủi ro cụ thể: Một email “giống sếp” có thể làm bay cả đơn hàng

Thứ Hai, 8 giờ 17 sáng. Kế toán vừa mở Gmail thì thấy một email từ “CEO” gửi xuống: “Khách đang cần chốt gấp, đổi tài khoản nhận thanh toán sang tài khoản mới bên dưới. Xử lý trong sáng nay giúp anh.” Tên người gửi đúng. Chữ ký giống. Giọng văn cũng giống kiểu sếp hay nhắn: ngắn, gấp, không giải thích nhiều.

Vấn đề là email đó không phải của sếp.

Đây là kiểu rủi ro mà nhiều doanh nghiệp SME đang gặp hằng ngày: email giả mạo thương hiệu, phishing email nội bộ, lừa đảo chuyển khoản qua email, giả danh CEO, giả danh trưởng phòng mua hàng, giả danh khách quen để đổi thông tin ngân hàng hoặc thúc chốt PO. Anh em sales, kế toán, mua hàng thường làm việc rất nhanh qua Gmail hoặc Outlook. Một ngày vài chục đến vài trăm email, báo giá, xác nhận đơn, công nợ, lịch giao hàng, hợp đồng, phiếu chuyển khoản. Chỉ cần một email lọt qua đúng thời điểm là đủ gây thiệt hại.

Ngày trước, email lừa đảo còn dễ nhận ra: sai chính tả, câu chữ lủng củng, tên miền nhìn buồn cười. Bây giờ thì khác. Công cụ AI có thể viết email mượt, đúng ngữ cảnh, đúng tên dự án, đúng người phụ trách, thậm chí bắt chước được cách sếp nhắn. Email không còn kiểu “xin chào quý khách hàng thân mến” nữa, mà có thể viết rất đời:

“Hưng ơi, bên NCC A đang giữ slot hàng cho mình tới 11h. Em xác nhận PO theo file mới giúp anh. Tài khoản thanh toán dùng bản cập nhật trong mail này nhé.”

Nếu doanh nghiệp không có quy trình kiểm tra, nhân sự sẽ xử lý bằng cảm giác. Mà cảm giác thì lúc tỉnh lúc mệt. Đặc biệt vào cuối tháng, khi kế toán chạy công nợ, sales chạy doanh số, chủ xưởng đốc giao hàng, mọi thứ đều gấp. Email giả mạo thường đánh vào đúng chỗ đó: tạo áp lực thời gian, yêu cầu đổi thông tin thanh toán, yêu cầu gửi dữ liệu nhạy cảm, hoặc thúc nhân viên xác nhận đơn hàng khi chưa đủ điều kiện.

Với doanh nghiệp phân phối B2B, rủi ro còn nặng hơn vì doanh thu phụ thuộc lớn vào email báo giá, email đặt hàng, email xác nhận thanh toán. Nếu một email giả mạo chen vào giữa luồng trao đổi với khách, doanh nghiệp có thể gặp 3 lỗi rất đau:

Chuyển khoản sai tài khoản vì tin email yêu cầu đổi thông tin ngân hàng.
Xác nhận nhầm đơn hàng hoặc PO giả, khiến kho giữ hàng sai, giao hàng sai hoặc bỏ lỡ đơn thật.
Gửi nhầm báo giá, hợp đồng, dữ liệu khách hàng cho người giả mạo.

Điểm nguy hiểm nhất không nằm ở một nhân viên thiếu cẩn thận. Điểm nguy hiểm nằm ở quy trình đang “chạy bằng cơm”: ai thấy email thì tự đọc, tự đoán, tự hỏi lại nếu thấy lạ. Khi công ty còn 5 người thì có thể tạm ổn. Nhưng khi đội sales lên 15 người, kế toán 4 người, admin 3 người, mỗi ngày vài trăm email thì kiểu vận hành này bắt đầu hở sườn.

2. Đánh giá tác động tài chính và vận hành: Mất tiền chỉ là phần nổi

Nhiều chủ doanh nghiệp nghĩ email lừa đảo là chuyện của công ty lớn. Thực tế, SME mới là nhóm dễ bị đánh vì quy trình thường linh hoạt, ít lớp kiểm soát, nhiều việc xử lý bằng niềm tin cá nhân. Một email giả mạo CEO không cần hack hệ thống quá sâu. Nó chỉ cần làm nhân viên tin rằng “sếp đang cần gấp”.

Thiệt hại đầu tiên là tiền mặt. Nếu kế toán chuyển nhầm 80 triệu, 200 triệu hoặc 500 triệu vào tài khoản lừa đảo, khả năng thu hồi rất thấp. Kể cả có báo ngân hàng, báo công an, doanh nghiệp vẫn mất thời gian, mất công giải trình, mất dòng tiền cho vận hành. Với SME, vài trăm triệu có thể là tiền nhập hàng, tiền lương, tiền xoay vòng công nợ.

Thiệt hại thứ hai là chi phí cơ hội. Một email giả mạo chen vào giao dịch đang chốt có thể làm khách mất niềm tin. Khách nhận thông tin thanh toán khác nhau từ hai email, thấy lộn xộn, họ dừng đơn. Sales mất công chăm lại từ đầu. Đơn hàng đáng lẽ chốt trong tuần bị treo thêm 10 ngày. Nếu giá trị đơn là 300 triệu, biên lợi nhuận 12%, thì chỉ một đơn bị mất đã bay khoảng 36 triệu lợi nhuận gộp. Chưa tính chi phí sales đã bỏ ra trước đó.

Thiệt hại thứ ba là thời gian nhân sự. Khi có nghi vấn email giả mạo, cả đội thường lao vào rà lại: sales lục thread cũ, kế toán kiểm tra thanh toán, admin gọi khách, quản lý đọc từng email, IT kiểm tra log. Một sự cố nhỏ có thể ăn 6–10 giờ công của nhiều người. Nếu lặp lại vài lần mỗi tháng, doanh nghiệp đang âm thầm trả tiền cho việc “dọn rác rủi ro”.

Thiệt hại thứ tư là uy tín. Với khách B2B, niềm tin nằm ở sự chắc chắn. Nếu khách nghe câu “bên em bị email giả mạo nên thông tin thanh toán bị sai”, họ sẽ hỏi ngay: “Vậy dữ liệu đơn hàng của tôi có an toàn không?” Một lần mất niềm tin có thể khiến khách chuyển sang nhà cung cấp khác, nhất là khi sản phẩm tương đương nhau.

Trong một case HimiTek tiếp nhận, doanh nghiệp phân phối B2B không mất tiền ngay, nhưng đã suýt xác nhận sai một đơn hàng lớn vì email giả danh người phụ trách mua hàng bên khách. Email dùng đúng tên dự án, đúng mã sản phẩm, đúng cách xưng hô, chỉ khác ở chi tiết: file PO đính kèm yêu cầu giao gấp và thay đổi điều khoản thanh toán. May là sales thấy hơi lạ và hỏi lại qua điện thoại. Nhưng sau vụ đó, chủ doanh nghiệp mới nhận ra: không thể bắt nhân viên lúc nào cũng may mắn.

Bài toán không phải là “có nên cảnh giác không”. Ai cũng biết phải cảnh giác. Bài toán thật là: làm sao biến cảnh giác thành quy trình tự động, không phụ thuộc vào trí nhớ, tâm trạng và kinh nghiệm từng người.

3. Giải pháp 3 bước: HimiTek dùng Automation để chặn rủi ro trước khi tiền rời tài khoản

HimiTek không tiếp cận bài toán này theo kiểu gắn thêm một công cụ rồi để nhân viên tự học. Với SME, công cụ càng phức tạp thì càng dễ bị bỏ xó. Cách làm thực tế hơn là đóng gói thành quy trình chống thất thoát vận hành: email nào đáng ngờ thì tự động gắn cờ, giao dịch nào nhạy cảm thì tự động bắt xác minh, quản lý có dashboard để theo dõi mà không phải soi từng thư.

Dưới đây là mô hình 3 bước có thể triển khai ngay ở mức kỹ thuật và quy trình.

Bước 1: Lập danh sách tín hiệu rủi ro theo đúng nghiệp vụ

Không nên chỉ dựa vào bộ lọc spam mặc định. Bộ lọc spam bắt email rác đại trà, còn email giả mạo CEO thường được viết rất sạch. Doanh nghiệp cần định nghĩa tín hiệu rủi ro dựa trên hoạt động thật của mình.

Email yêu cầu đổi tài khoản ngân hàng, đổi người thụ hưởng, đổi điều khoản thanh toán.
Email có từ khóa tạo áp lực như “gấp”, “ngay trong sáng nay”, “không cần hỏi lại”, “xử lý kín”.
Email từ tên hiển thị quen thuộc nhưng domain lạ, ví dụ tên là CEO nhưng địa chỉ không thuộc domain công ty.
Email trả lời trong thread giao dịch nhưng có file đính kèm mới, link mới hoặc thông tin thanh toán khác trước.
Email yêu cầu gửi báo giá, hợp đồng, danh sách khách hàng, mã đơn, dữ liệu công nợ ra ngoài.

Checklist kỹ thuật ban đầu cho đội vận hành:

Chuẩn hóa danh sách domain nội bộ và domain khách hàng/NCC thường xuyên giao dịch.
Lập danh sách từ khóa nhạy cảm bằng tiếng Việt và tiếng Anh liên quan đến thanh toán, PO, ngân hàng, hợp đồng.
Đánh dấu nhóm người có quyền yêu cầu thanh toán: CEO, CFO, trưởng bộ phận mua hàng, kế toán trưởng.
Quy định giao dịch trên một ngưỡng tiền nhất định phải xác minh 2 bước.

Bước 2: Tự động chấm điểm email nghi vấn và gắn cảnh báo

Automation sẽ đọc metadata và nội dung email theo quyền được cấp, sau đó tính điểm rủi ro. Điểm càng cao thì email càng cần kiểm tra trước khi xử lý. Dưới đây là ví dụ Python đơn giản để minh họa logic chấm điểm. Bản triển khai thật sẽ được HimiTek tùy biến theo Gmail, Outlook, CRM, ERP hoặc hệ thống nội bộ của từng doanh nghiệp.

import re

TRUSTED_DOMAINS = ["company.vn", "customer-a.com", "supplier-b.vn"]
SENSITIVE_KEYWORDS = [
    "đổi tài khoản", "thay đổi tài khoản", "người thụ hưởng",
    "chuyển khoản", "thanh toán gấp", "xác nhận PO",
    "bank account", "urgent payment", "new beneficiary"
]
URGENCY_WORDS = ["gấp", "ngay", "trong sáng nay", "không cần hỏi", "urgent", "asap"]


def get_domain(email):
    match = re.search(r"@([A-Za-z0-9.-]+)$", email)
    return match.group(1).lower() if match else ""


def score_email(sender_email, display_name, subject, body):
    score = 0
    reasons = []
    domain = get_domain(sender_email)
    text = f"{subject} {body}".lower()

    if domain not in TRUSTED_DOMAINS:
        score += 30
        reasons.append("Domain người gửi không nằm trong danh sách tin cậy")

    if any(keyword in text for keyword in SENSITIVE_KEYWORDS):
        score += 35
        reasons.append("Có nội dung liên quan thanh toán/PO/tài khoản ngân hàng")

    if any(word in text for word in URGENCY_WORDS):
        score += 20
        reasons.append("Có dấu hiệu tạo áp lực xử lý gấp")

    if display_name.lower() in ["ceo", "giám đốc", "kế toán trưởng"] and domain != "company.vn":
        score += 40
        reasons.append("Tên hiển thị giống lãnh đạo nhưng domain không hợp lệ")

    level = "LOW"
    if score >= 70:
        level = "HIGH"
    elif score >= 40:
        level = "MEDIUM"

    return {"risk_score": score, "level": level, "reasons": reasons}

result = score_email(
    sender_email="ceo.company.vn@gmail.com",
    display_name="CEO",
    subject="Xử lý thanh toán gấp cho PO mới",
    body="Đổi tài khoản nhận thanh toán theo thông tin bên dưới, xử lý trong sáng nay."
)

print(result)

Khi email bị đánh dấu mức MEDIUM hoặc HIGH, hệ thống không chỉ gửi cảnh báo chung chung. Nó cần nói rõ lý do để nhân viên hiểu ngay: domain lạ, có yêu cầu đổi tài khoản, có áp lực thời gian, tên hiển thị giống lãnh đạo. Nhờ vậy kế toán hoặc sales không phải đoán mò.

Trong triển khai thực tế, HimiTek có thể cấu hình để cảnh báo xuất hiện qua email nội bộ, Slack, Microsoft Teams hoặc dashboard. Mục tiêu là giảm thời gian rà soát email nghi vấn tới 70%, vì hệ thống đã gom sẵn các thư cần xem thay vì để anh em lục từng thread.

Bước 3: Kích hoạt xác minh 2 bước cho giao dịch nhạy cảm

Chấm điểm email chỉ là lớp đầu. Lớp quan trọng hơn là quy trình xác minh tự động. Với các email có liên quan đến thanh toán, thay đổi tài khoản ngân hàng, xác nhận PO lớn hoặc gửi dữ liệu nhạy cảm, hệ thống cần tạo một nhiệm vụ xác minh trước khi cho xử lý tiếp.

Nếu email yêu cầu đổi tài khoản ngân hàng: bắt buộc xác nhận qua kênh thứ hai, ví dụ gọi số điện thoại đã lưu trong CRM, không gọi số trong email mới gửi.
Nếu email giả danh CEO yêu cầu chuyển khoản: gửi yêu cầu duyệt đến đúng tài khoản nội bộ của CEO hoặc kế toán trưởng.
Nếu PO có giá trị vượt ngưỡng: yêu cầu sales xác minh với người mua hàng đã lưu trong danh bạ khách hàng.
Nếu phát hiện mẫu tấn công lặp lại: tự động nhắc toàn bộ nhóm liên quan và lưu vào dashboard rủi ro.

Checklist triển khai 2 bước cho SME:

Đặt ngưỡng tiền cần xác minh, ví dụ từ 20 triệu, 50 triệu hoặc tùy ngành.
Không xác minh bằng cách reply lại chính email đang nghi vấn.
Lưu sẵn số điện thoại và người phụ trách chính thức của khách hàng/NCC trong CRM hoặc Google Sheet được kiểm soát quyền.
Mọi thay đổi tài khoản ngân hàng phải có log: ai yêu cầu, ai xác minh, xác minh lúc nào, kết quả ra sao.
Dashboard phải hiển thị email nghi vấn theo mức độ ưu tiên, không đổ tất cả vào một đống khiến quản lý lại phải đọc thủ công.

Kết quả thực tế là thời gian xử lý cảnh báo có thể rút từ vài giờ xuống còn 5–10 phút. Kế toán biết thư nào cần dừng. Sales biết đơn nào cần gọi lại. Quản lý biết trong tuần có bao nhiêu rủi ro, mẫu nào lặp lại, bộ phận nào cần nhắc thêm. Doanh nghiệp scale đội sales và chăm sóc khách hàng mà không phải tuyển thêm một người chỉ để “canh email”.

4. CTA outcome thực tế: Đừng đợi mất tiền rồi mới siết quy trình

Email giả mạo không cần thắng doanh nghiệp 100 lần. Nó chỉ cần thắng một lần, đúng lúc kế toán đang bận, sales đang bị ép doanh số, chủ xưởng đang chờ lệnh giao hàng. Một lần chuyển khoản sai, một lần xác nhận nhầm PO, một lần gửi nhầm hợp đồng là đủ đau.

HimiTek giúp doanh nghiệp biến việc kiểm tra email từ phản xạ cá nhân thành quy trình tự động: phát hiện email bất thường, gắn cảnh báo rõ lý do, kích hoạt xác minh 2 bước, gom rủi ro lên dashboard và nhắc nội bộ khi có mẫu tấn công lặp lại. Không làm rối đội ngũ. Không bắt nhân viên học thêm cả đống thao tác. Mục tiêu rất rõ: giảm thời gian rà soát, giảm lỗi chuyển khoản, giảm nguy cơ mất đơn và giữ dòng tiền an toàn hơn.

Nếu doanh nghiệp của anh em đang chốt đơn, báo giá, xác nhận thanh toán qua Gmail hoặc Outlook mỗi ngày, hãy để HimiTek rà soát nhanh luồng email hiện tại và chỉ ra 3 điểm dễ thất thoát nhất. Sau buổi đánh giá, anh em sẽ có một checklist hành động rõ ràng: email nào cần gắn cờ, giao dịch nào phải xác minh 2 bước, dashboard nào cần dựng trước để quản lý không phải soi thủ công.

Đặt lịch với HimiTek để kiểm tra quy trình email thanh toán và đơn hàng. Outcome cần đạt không phải là “có thêm phần mềm”, mà là: tiền không chuyển nhầm, đơn không xác nhận sai, nhân sự bớt chạy bằng cơm, và chủ doanh nghiệp ngủ yên hơn khi công ty lớn dần.

Cần tư vấn chuyên sâu?

HimiTek cung cấp dịch vụ tư vấn AI Compliance, Blockchain, và Security cho doanh nghiệp.

Đặt lịch tư vấn miễn phí →

1. Specific Risk Diagnosis: One Email That “Looks Like the Boss” Can Kill an Order

Monday, 8:17 AM. The accountant opens Gmail and sees an email from the “CEO”: “The customer needs this closed urgently. Change the receiving bank account to the new one below. Please handle it this morning.” The sender name looks right. The signature looks right. The writing style also feels like the boss: short, urgent, no long explanation.

The problem is: that email is not from the boss.

This is the kind of risk many SMEs are facing every day: brand impersonation emails, internal phishing emails, email-based payment fraud, fake CEO instructions, fake purchasing managers, and fake existing customers requesting bank account changes or pushing urgent PO confirmations. Sales, accounting, and purchasing teams usually work fast through Gmail or Outlook. Every day they handle dozens or hundreds of emails: quotations, purchase orders, payment confirmations, debt follow-ups, delivery schedules, contracts, and bank transfer slips. One fake email landing at the right time is enough to cause damage.

In the past, scam emails were easier to spot: spelling mistakes, awkward wording, strange domains. Not anymore. AI tools can now write smooth emails with the right context, the right project name, the right person in charge, and even imitate how a manager usually writes. These emails no longer sound like clumsy spam. They can sound very natural:

“Hung, Supplier A is holding the stock slot for us until 11 AM. Please confirm the PO using the updated file. Use the payment account in this email.”

If the business does not have a verification process, employees handle it by gut feeling. But gut feeling depends on whether someone is alert, tired, rushed, or experienced enough. Especially at month-end, when accounting is chasing receivables, sales is pushing targets, and the warehouse owner is waiting for delivery instructions, everything feels urgent. Fake emails attack that exact pressure point: they create time pressure, ask for payment changes, request sensitive data, or push staff to confirm orders before proper checks are done.

For B2B distribution companies, the risk is even heavier because revenue depends heavily on quotation emails, order emails, and payment confirmation emails. If an impersonation email slips into the middle of a customer conversation, the company can suffer three painful mistakes:

Transferring money to the wrong bank account because someone trusted a fake bank account update.
Confirming a fake or incorrect PO, causing the warehouse to reserve the wrong stock, ship incorrectly, or miss the real order.
Sending quotations, contracts, or customer data to an impersonator.

The most dangerous part is not one careless employee. The dangerous part is an operation that relies too much on manual checking: whoever sees the email reads it, guesses, and maybe asks again if something feels strange. When the company has five people, that may still work. But when the sales team grows to 15 people, accounting has four people, admin has three people, and hundreds of emails arrive daily, this way of working starts to leak risk.

2. Financial and Operational Impact: Lost Money Is Only the Visible Part

Many business owners think email fraud is mostly a problem for large companies. In reality, SMEs are often easier targets because their processes are flexible, control layers are thin, and many tasks are handled based on personal trust. A fake CEO email does not need to deeply hack the whole system. It only needs an employee to believe: “The boss needs this urgently.”

The first damage is cash. If accounting transfers 80 million, 200 million, or 500 million VND to a fraudster’s account, the chance of recovery is low. Even if the company reports it to the bank and authorities, it still loses time, effort, paperwork, and operating cash flow. For an SME, a few hundred million VND can be inventory money, salary money, or working capital for payables and receivables.

The second damage is opportunity cost. A fake email inserted into a closing deal can make the customer lose trust. The customer receives different payment information from two email sources, sees confusion, and pauses the order. Sales has to rebuild confidence from scratch. An order that should have closed this week gets delayed another 10 days. If the order value is 300 million VND and the gross margin is 12%, one lost order means around 36 million VND in lost gross profit, not counting the sales effort already spent.

The third damage is employee time. When a suspicious email appears, the whole team often jumps in: sales checks old threads, accounting verifies payment details, admin calls the customer, managers read each email, and IT checks logs. One small incident can consume 6–10 working hours across several people. If this repeats a few times a month, the company is quietly paying staff to clean up preventable risk.

The fourth damage is reputation. In B2B, trust comes from consistency. If a customer hears, “Our email was impersonated, so the payment information was wrong,” they will immediately ask, “Is my order data safe?” One trust failure can push a customer to another supplier, especially when the product is not highly differentiated.

In one case HimiTek handled, a B2B distributor did not lose money immediately, but almost confirmed a large order incorrectly because an email impersonated the customer’s purchasing contact. The email used the right project name, right product codes, and right tone. Only one detail was different: the attached PO requested urgent delivery and changed payment terms. Luckily, the salesperson felt something was off and called to verify. After that incident, the business owner realized: you cannot rely on luck forever.

The real question is not “Should we be careful?” Everyone knows they should be careful. The real question is: how do we turn caution into an automated process that does not depend on each employee’s memory, mood, or experience?

3. A 3-Step Solution: How HimiTek Uses Automation to Stop Risk Before Money Leaves the Account

HimiTek does not approach this problem by simply adding another tool and asking employees to figure it out. For SMEs, the more complicated a tool is, the more likely it gets ignored. A more practical approach is to package it as an operational loss-prevention workflow: suspicious emails are automatically flagged, sensitive transactions trigger verification, and managers get a dashboard instead of manually reading every thread.

Below is a 3-step model that can be applied immediately from both a technical and operational angle.

Step 1: Define Risk Signals Based on Real Business Workflows

Do not rely only on the default spam filter. Spam filters catch mass junk emails. Fake CEO emails are often clean and well-written. The business needs to define risk signals based on how it actually operates.

Emails requesting changes to bank accounts, beneficiaries, or payment terms.
Emails using pressure words such as “urgent,” “this morning,” “no need to ask again,” or “keep this private.”
Emails with a familiar display name but a strange domain, such as “CEO” from a non-company email address.
Emails replying inside a transaction thread but adding a new attachment, new link, or new payment information.
Emails asking to send quotations, contracts, customer lists, order codes, or receivables data externally.

Initial technical checklist for the operations team:

Standardize the list of internal domains and trusted customer/supplier domains.
Create a list of sensitive Vietnamese and English keywords related to payment, PO, banking, and contracts.
Mark the people who are allowed to request payments: CEO, CFO, purchasing lead, chief accountant.
Set a rule that transactions above a defined amount require two-step verification.

Step 2: Automatically Score Suspicious Emails and Add Warnings

Automation reads email metadata and content based on granted permissions, then calculates a risk score. The higher the score, the more the email needs to be checked before action. Below is a simple Python example to illustrate the scoring logic. In real deployment, HimiTek customizes this for Gmail, Outlook, CRM, ERP, or internal systems depending on each company’s setup.

import re

TRUSTED_DOMAINS = ["company.vn", "customer-a.com", "supplier-b.vn"]
SENSITIVE_KEYWORDS = [
    "đổi tài khoản", "thay đổi tài khoản", "người thụ hưởng",
    "chuyển khoản", "thanh toán gấp", "xác nhận PO",
    "bank account", "urgent payment", "new beneficiary"
]
URGENCY_WORDS = ["gấp", "ngay", "trong sáng nay", "không cần hỏi", "urgent", "asap"]


def get_domain(email):
    match = re.search(r"@([A-Za-z0-9.-]+)$", email)
    return match.group(1).lower() if match else ""


def score_email(sender_email, display_name, subject, body):
    score = 0
    reasons = []
    domain = get_domain(sender_email)
    text = f"{subject} {body}".lower()

    if domain not in TRUSTED_DOMAINS:
        score += 30
        reasons.append("Sender domain is not in the trusted list")

    if any(keyword in text for keyword in SENSITIVE_KEYWORDS):
        score += 35
        reasons.append("Email mentions payment/PO/bank account information")

    if any(word in text for word in URGENCY_WORDS):
        score += 20
        reasons.append("Email creates unusual urgency")

    if display_name.lower() in ["ceo", "giám đốc", "kế toán trưởng"] and domain != "company.vn":
        score += 40
        reasons.append("Display name looks like leadership but domain is invalid")

    level = "LOW"
    if score >= 70:
        level = "HIGH"
    elif score >= 40:
        level = "MEDIUM"

    return {"risk_score": score, "level": level, "reasons": reasons}

result = score_email(
    sender_email="ceo.company.vn@gmail.com",
    display_name="CEO",
    subject="Urgent payment for new PO",
    body="Please use the updated receiving account below and handle it this morning."
)

print(result)

When an email is marked MEDIUM or HIGH, the system should not send a vague warning. It must clearly explain the reason: strange domain, bank account change request, urgency pressure, or leadership display name mismatch. This helps accounting or sales understand the risk immediately without guessing.

In real deployments, HimiTek can configure alerts through internal email, Slack, Microsoft Teams, or a dashboard. The goal is to reduce suspicious email review time by up to 70%, because the system already gathers the emails that need attention instead of forcing the team to dig through every thread.

Step 3: Trigger Two-Step Verification for Sensitive Transactions

Email scoring is only the first layer. The more important layer is automated verification. For emails related to payments, bank account changes, large PO confirmations, or sensitive data sharing, the system should create a verification task before the team proceeds.

If an email requests a bank account change: verification through a second channel is mandatory, such as calling the phone number already stored in the CRM, not the number included in the new email.
If an email impersonates the CEO and requests a transfer: approval must be sent to the real internal account of the CEO or chief accountant.
If a PO exceeds the approved threshold: sales must verify with the official purchasing contact stored in the customer record.
If repeated attack patterns are detected: the system automatically notifies the relevant team and logs the case into the risk dashboard.

Two-step verification checklist for SMEs:

Set the transaction threshold for verification, such as 20 million, 50 million VND, or another amount based on the industry.
Never verify by replying to the suspicious email itself.
Store official phone numbers and main contacts of customers/suppliers in a CRM or access-controlled Google Sheet.
Every bank account change must have a log: who requested it, who verified it, when it was verified, and what the result was.
The dashboard must show suspicious emails by priority, not dump everything into one pile for managers to read manually again.

The practical result is that alert handling time can drop from hours to 5–10 minutes. Accounting knows which email to pause. Sales knows which order needs a callback. Management knows how many risks appeared this week, which patterns are repeating, and which team needs extra reminders. The company can scale sales and customer service without hiring another person just to “watch email risk.”

4. Practical Outcome CTA: Do Not Wait Until Money Is Lost to Tighten the Process

Email impersonation does not need to beat your business 100 times. It only needs to win once, at the exact moment accounting is overloaded, sales is under target pressure, and the warehouse is waiting for shipping instructions. One wrong transfer, one incorrect PO confirmation, or one leaked contract is enough to hurt.

HimiTek helps businesses turn email checking from personal reflex into an automated workflow: detect abnormal emails, add warnings with clear reasons, trigger two-step verification, consolidate risks into a dashboard, and notify internal teams when repeated attack patterns appear. It should not make the team’s work messy. It should not force employees to learn a pile of extra steps. The goal is clear: reduce review time, reduce wrong transfers, reduce lost-order risk, and keep cash flow safer.

If your business closes orders, sends quotations, and confirms payments through Gmail or Outlook every day, let HimiTek review your current email workflow and point out the three most likely leakage points. After the assessment, your team will have a clear action checklist: which emails should be flagged, which transactions require two-step verification, and which dashboard should be built first so managers do not have to inspect everything manually.

Book a session with HimiTek to review your payment and order email process. The outcome is not “another piece of software.” The outcome is: money is not transferred to the wrong account, orders are not confirmed incorrectly, staff depend less on manual vigilance, and the business owner sleeps better as the company grows.

Need expert consulting?

HimiTek provides AI Compliance, Blockchain, and Security consulting for enterprises.

Book a free consultation →