Cảnh báo: Email giả mạo nhà cung cấp đang “rút tiền” khỏi SME, và cách HimiTek dùng Automation để xử lý

1. Chẩn đoán rủi ro cụ thể: Email nhìn rất thật, tiền mất cũng rất thật

9 giờ 17 phút sáng thứ Hai, phòng kế toán của một công ty phân phối thiết bị công nghiệp nhận được email từ một nhà cung cấp quen. Công ty này có khoảng 80 nhân sự, mỗi ngày nhận báo giá, hóa đơn, hợp đồng, biên bản giao hàng qua email. Mọi thứ trong email đều nhìn bình thường: đúng logo, đúng tên người gửi, đúng chữ ký, đúng mã hợp đồng, thậm chí còn trích lại lịch sử trao đổi cũ.

Nội dung email chỉ có một điểm khác: “Do thay đổi ngân hàng thụ hưởng, quý công ty vui lòng thanh toán các đơn hàng tiếp theo vào tài khoản mới bên dưới.” Với nhiều anh em kế toán đang xử lý hàng chục việc một lúc, câu này không có gì quá lạ. Nhà cung cấp đổi tài khoản ngân hàng là chuyện vẫn xảy ra. Vấn đề nằm ở chỗ: email đó không phải do nhà cung cấp gửi.

Đây là kiểu email lừa đảo doanh nghiệp đang ngày càng khó phát hiện. Không còn là mấy email sai chính tả, câu chữ lủng củng, file đính kèm kỳ lạ như ngày xưa. Bây giờ kẻ gian có thể dùng dữ liệu rò rỉ, lịch sử trao đổi bị lộ, hoặc công cụ AI để viết email giống hệt văn phong của đối tác thật. Với chủ xưởng, chủ doanh nghiệp SME, rủi ro này nguy hiểm ở chỗ nó đánh vào quy trình đang chạy bằng cơm: kế toán kiểm tra thủ công, trưởng bộ phận duyệt qua tin nhắn, giám đốc chỉ nhìn số tiền và tên nhà cung cấp.

Các dấu hiệu thường thấy của email giả mạo nhà cung cấp bao gồm:

Yêu cầu đổi số tài khoản ngân hàng nhưng không có xác nhận qua kênh độc lập.
Email dùng tên miền gần giống nhà cung cấp thật, ví dụ thay một ký tự rất nhỏ.
Nội dung nhắc đúng hợp đồng, đúng hóa đơn, đúng người phụ trách nên tạo cảm giác đáng tin.
Có file đính kèm hoặc đường link yêu cầu đăng nhập để xem hóa đơn, báo giá, hợp đồng.
Gây áp lực thời gian: cần thanh toán ngay, giữ giá, giải phóng hàng, tránh trễ tiến độ.

Trong các doanh nghiệp vừa và nhỏ, email giả mạo đối tác thường không bị chặn ở lớp kỹ thuật đầu tiên vì nó không phải lúc nào cũng chứa virus. Nó là gian lận quy trình. Nó lợi dụng thói quen làm việc, sự quá tải của nhân sự, và việc thiếu một lớp kiểm tra độc lập trước khi tiền rời khỏi tài khoản.

Điểm đau lớn nhất không phải là “công ty chưa dùng AI”. Điểm đau thật là: một bạn kế toán có thể phải tự quyết định email nào thật, email nào giả, trong khi mỗi ngày bị dí bởi hóa đơn, công nợ, đơn hàng, đối soát và nhắc thanh toán. Khi doanh nghiệp lớn lên nhưng quy trình kiểm soát vẫn làm bằng mắt thường, chỉ cần một email đủ giống thật là có thể rút khỏi tài khoản 300–500 triệu đồng.

2. Đánh giá tác động tài chính và vận hành: Một cú chuyển nhầm có thể ăn hết lợi nhuận cả quý

Với nhiều SME, 300 triệu đồng không chỉ là một con số. Đó có thể là lương một tháng của một đội vận hành, tiền nhập hàng cho một lô mới, hoặc phần lợi nhuận tích góp sau nhiều tuần chạy đơn. Nếu chuyển nhầm 420 triệu đồng vào tài khoản lạ, khả năng thu hồi thường rất thấp, nhất là khi tiền bị rút hoặc chuyển qua nhiều lớp tài khoản khác.

Thiệt hại trực tiếp là mất tiền. Nhưng thiệt hại vận hành mới là phần âm ỉ hơn. Sau một vụ email lừa đảo doanh nghiệp, cả công ty thường bị kéo vào xử lý: kế toán rà lại email, trưởng bộ phận kiểm tra quy trình, giám đốc làm việc với ngân hàng, IT xem log, pháp lý chuẩn bị hồ sơ, nhân sự nội bộ đổ lỗi qua lại. Một vụ việc có thể tiêu tốn hàng chục đến hàng trăm giờ làm việc.

Nếu quy đổi thô, một phòng kế toán 4 người dành 2–3 giờ mỗi ngày để kiểm tra email thanh toán, đối chiếu số tài khoản, hỏi lại nhà cung cấp, chụp màn hình gửi duyệt, ghi chú trên Excel, thì mỗi tháng doanh nghiệp mất khoảng 160–240 giờ công cho một việc đáng lẽ phải được tự động hóa phần lớn. Đáng nói hơn, dù tốn nhiều giờ như vậy, rủi ro vẫn không về 0 vì con người có lúc mệt, vội, hoặc tin nhầm.

Rủi ro còn nằm ở uy tín. Nếu doanh nghiệp thanh toán nhầm do email giả mạo nhà cung cấp, đơn hàng thật có thể bị chậm vì nhà cung cấp chưa nhận được tiền. Khách hàng cuối bị trễ hàng. Đội kinh doanh phải giải thích. Chủ doanh nghiệp vừa mất tiền, vừa mất niềm tin với đối tác, vừa phải siết lại quy trình trong tâm thế chữa cháy.

Với dữ liệu nội bộ, nguy cơ còn rộng hơn. Một đường link giả trong email có thể dụ nhân sự nhập tài khoản email công ty. Từ đó, kẻ gian đọc được báo giá, hợp đồng, danh sách khách hàng, điều khoản thanh toán, lịch sử giao dịch. Khi đã có dữ liệu thật, những email lừa đảo tiếp theo sẽ càng giống thật hơn. Đây là vòng lặp rất nguy hiểm: rò rỉ dữ liệu tạo ra email giả tốt hơn, email giả tốt hơn lại làm tăng khả năng mất tiền.

Sau 60 ngày vận hành thử nghiệm hệ thống kiểm tra email và quy trình thanh toán tự động do HimiTek thiết kế, một doanh nghiệp phân phối thiết bị công nghiệp đã giảm khoảng 85% thời gian kiểm tra thủ công email thanh toán. Trước đây đội kế toán mất 2–3 giờ mỗi ngày để rà soát, nay chỉ còn khoảng 20–30 phút cho các trường hợp cần xem xét thêm. Quan trọng hơn, hệ thống phát hiện sớm một email yêu cầu chuyển hơn 420 triệu đồng vào tài khoản lạ trước khi lệnh thanh toán được duyệt.

Con số này nói thẳng vào bài toán của chủ doanh nghiệp: AI Automation không phải để trình diễn. Nó phải chặn được rủi ro trước khi tiền đi khỏi tài khoản, giảm giờ làm thủ công, và giúp người duyệt không phải ra quyết định trong cảnh thiếu thông tin.

3. Giải pháp 3 bước: Dùng Automation làm lớp kiểm soát trước khi thanh toán

HimiTek không thiết kế hệ thống theo kiểu để AI tự quyết hết. Với tiền bạc, hợp đồng, nhà cung cấp, cách làm an toàn hơn là dùng AI Agent như một lớp kiểm soát thông minh: đọc email, phát hiện dấu hiệu bất thường, chấm điểm rủi ro, cảnh báo đúng người, và khóa tạm quy trình thanh toán khi cần xác minh.

Dưới đây là mô hình 3 bước mà doanh nghiệp SME có thể áp dụng ngay, từ bản checklist thủ công đến automation nâng cao.

Bước 1: Gắn nhãn email nhạy cảm và phát hiện dấu hiệu bất thường

Đầu tiên, hệ thống cần nhận diện email có liên quan đến tiền hoặc dữ liệu quan trọng. Không phải email nào cũng cần kiểm tra sâu. Nhưng email chứa số tài khoản, yêu cầu chuyển tiền, thay đổi hợp đồng, file đính kèm, đường link lạ, hoặc cụm từ như “thanh toán gấp”, “đổi tài khoản”, “ngân hàng thụ hưởng mới” thì phải được đưa vào luồng kiểm tra.

Kiểm tra tên miền người gửi có giống đối tác thật không.
So sánh số tài khoản ngân hàng với danh sách đã được phê duyệt.
Phát hiện thay đổi bất thường về người nhận, số tiền, hạn thanh toán.
Quét đường link và file đính kèm trước khi nhân sự mở.
Đối chiếu nội dung email với lịch sử giao dịch gần nhất.

Ví dụ đoạn Python đơn giản dưới đây minh họa cách gắn điểm rủi ro ban đầu cho email thanh toán. Đây không phải hệ thống hoàn chỉnh, nhưng đủ để anh em hình dung logic kiểm tra trước khi đưa vào automation.

import re
from difflib import SequenceMatcher

APPROVED_DOMAINS = ["supplier-a.com", "nhacungcapb.vn"]
APPROVED_BANK_ACCOUNTS = {"supplier-a.com": ["0123456789"]}
RISK_KEYWORDS = ["đổi tài khoản", "tài khoản mới", "thanh toán gấp", "urgent payment", "new bank account"]

def similarity(a, b):
    return SequenceMatcher(None, a, b).ratio()

def extract_bank_accounts(text):
    return re.findall(r"\b\d{8,16}\b", text)

def score_email(sender_domain, subject, body):
    score = 0
    reasons = []

    if sender_domain not in APPROVED_DOMAINS:
        near_match = max([similarity(sender_domain, d) for d in APPROVED_DOMAINS], default=0)
        if near_match > 0.8:
            score += 40
            reasons.append("Tên miền gần giống nhà cung cấp thật")
        else:
            score += 25
            reasons.append("Tên miền chưa được phê duyệt")

    content = (subject + " " + body).lower()
    for keyword in RISK_KEYWORDS:
        if keyword in content:
            score += 20
            reasons.append(f"Có từ khóa rủi ro: {keyword}")

    accounts = extract_bank_accounts(body)
    approved_accounts = APPROVED_BANK_ACCOUNTS.get(sender_domain, [])
    for acc in accounts:
        if acc not in approved_accounts:
            score += 35
            reasons.append(f"Số tài khoản lạ: {acc}")

    return {"risk_score": min(score, 100), "reasons": reasons}

result = score_email(
    sender_domain="supp1ier-a.com",
    subject="Cập nhật tài khoản ngân hàng thụ hưởng mới",
    body="Vui lòng thanh toán đơn hàng vào STK 9988776655 trong hôm nay."
)
print(result)

Bước 2: Tự động cảnh báo và khóa tạm lệnh thanh toán có rủi ro cao

Khi email có điểm rủi ro cao, việc quan trọng nhất là không để quy trình tiếp tục trôi theo thói quen. Hệ thống cần gửi cảnh báo đến đúng người: kế toán phụ trách, trưởng bộ phận, và ban giám đốc nếu số tiền vượt ngưỡng. Đồng thời, lệnh thanh toán liên quan phải bị khóa tạm cho đến khi xác minh xong.

Risk score dưới 30: cho phép xử lý bình thường, vẫn lưu log.
Risk score từ 30 đến 69: yêu cầu kế toán xác minh thêm và ghi chú kết quả.
Risk score từ 70 trở lên: khóa tạm thanh toán, gửi cảnh báo nội bộ, bắt buộc xác minh đa bước.
Nếu có số tài khoản mới: bắt buộc gọi lại qua số điện thoại đã lưu trong hồ sơ nhà cung cấp, không dùng số trong email mới gửi.

Checklist kỹ thuật HimiTek thường dùng khi triển khai:

Kết nối email doanh nghiệp với hệ thống phân tích qua API hoặc webhook bảo mật.
Đồng bộ danh sách nhà cung cấp, tên miền, số tài khoản ngân hàng đã phê duyệt.
Thiết lập ngưỡng rủi ro theo số tiền, phòng ban, loại nhà cung cấp.
Gửi cảnh báo qua kênh nội bộ như Microsoft Teams, Slack, Zalo OA hoặc dashboard riêng.
Ghi log toàn bộ quá trình: ai nhận email, ai xác minh, ai mở khóa thanh toán, thời điểm nào.

Bước 3: Chuẩn hóa xác minh đa bước để không phụ thuộc trí nhớ con người

Nhiều công ty có quy định “phải gọi xác minh khi đổi tài khoản”, nhưng thực tế lại không đều. Có hôm gọi, có hôm không. Có người ghi chú, có người chỉ nhắn miệng. Automation tốt là biến quy định thành luồng bắt buộc, để anh em không phải nhớ từng bước khi đang bận.

Không duyệt thanh toán vào tài khoản mới nếu chưa có xác nhận từ ít nhất 2 người nội bộ.
Không xác minh qua email đang bị nghi ngờ.
Chỉ gọi đến số điện thoại đã lưu từ trước trong hồ sơ nhà cung cấp.
Lưu bằng chứng xác minh: thời gian gọi, người xác nhận, nội dung xác nhận.
Tự động nhắc lại nếu lệnh thanh toán bị treo quá thời gian quy định.

Cách làm này không làm chậm doanh nghiệp. Ngược lại, nó giúp những email sạch đi nhanh hơn, còn email nguy hiểm bị chặn đúng chỗ. Kế toán không phải đọc từng dòng trong hoang mang. Giám đốc không phải duyệt dựa trên cảm giác. Và chủ doanh nghiệp có log rõ ràng nếu cần truy vết.

4. CTA outcome thực tế: Chặn tiền đi sai trước khi phải đi đòi lại

Nếu doanh nghiệp của anh em đang nhận báo giá, hóa đơn, hợp đồng qua email mỗi ngày, câu hỏi không phải là “có bị email giả mạo không”, mà là “khi email đó tới, công ty có chặn kịp trước khi chuyển tiền không”.

HimiTek có thể cùng doanh nghiệp rà soát quy trình thanh toán hiện tại, xác định điểm hở, và dựng một lớp automation kiểm tra email nhạy cảm trước khi tiền rời khỏi tài khoản. Mục tiêu rất cụ thể: giảm giờ kiểm tra thủ công cho kế toán, phát hiện sớm email giả mạo nhà cung cấp, khóa tạm lệnh thanh toán rủi ro cao, và tạo quy trình xác minh có log rõ ràng.

Nếu anh em muốn biết công ty mình đang hở ở đâu, hãy bắt đầu bằng một buổi kiểm tra quy trình 45 phút với HimiTek. Sau buổi đó, doanh nghiệp sẽ có danh sách rủi ro cụ thể, checklist xử lý ngay, và đề xuất automation phù hợp với quy mô hiện tại.

Đừng đợi mất 420 triệu rồi mới siết quy trình. Việc cần làm là chặn giao dịch sai trước khi tiền rời khỏi tài khoản.

Cần tư vấn chuyên sâu?

HimiTek cung cấp dịch vụ tư vấn AI Compliance, Blockchain, và Security cho doanh nghiệp.

Đặt lịch tư vấn miễn phí →

1. Specific Risk Diagnosis: The Email Looks Real, and the Money Loss Is Real Too

At 9:17 on a Monday morning, the accounting team of an industrial equipment distribution company received an email from a familiar supplier. The company had around 80 employees and handled quotations, invoices, contracts, and delivery documents through email every day. Everything in the email looked normal: the right logo, the right sender name, the right signature, the correct contract code, and even the old email thread below.

There was only one small change in the message: “Due to a change in our beneficiary bank, please make all upcoming payments to the new account below.” For many accounting staff handling dozens of tasks at once, this does not look unusual. Suppliers do change bank accounts from time to time. The problem was: this email did not come from the real supplier.

This is the type of business email fraud that is becoming harder to detect. These are no longer the old phishing emails with broken grammar, strange wording, or suspicious attachments. Attackers can now use leaked data, exposed email threads, or AI tools to write emails that closely match the real supplier’s tone. For SME owners, factory owners, and operators, the danger is that these attacks hit the weakest part of the business: manual workflow. Accounting checks emails by eye, department heads approve through messages, and directors often look only at the payment amount and supplier name.

Common signs of fake supplier emails include:

A request to change the bank account without confirmation through an independent channel.
A sender domain that looks almost identical to the real supplier’s domain, with only one small character changed.
Email content that references the correct contract, invoice, and contact person, creating a false sense of trust.
Attachments or links asking staff to log in to view an invoice, quotation, or contract.
Pressure around timing: pay now, keep the price, release goods, avoid shipment delays.

In many small and medium-sized businesses, fake partner emails are not always blocked by the first technical layer because they do not necessarily contain malware. They are process fraud. They exploit working habits, overloaded employees, and the lack of an independent control layer before money leaves the company account.

The real pain is not that “the company has not adopted AI.” The real pain is that one accountant may have to decide whether an email is real or fake while being pushed by invoices, debts, orders, reconciliations, and payment reminders. When a business grows but payment control still depends on human eyes, one realistic-looking email can drain 300–500 million VND from the company account.

2. Financial and Operational Impact: One Wrong Transfer Can Wipe Out a Quarter’s Profit

For many SMEs, 300 million VND is not just a number. It can be one month of payroll for an operations team, capital for a new stock batch, or profit accumulated after weeks of hard selling. If the company mistakenly transfers 420 million VND to a fraudulent account, the chance of recovery is often low, especially when the money is withdrawn or moved through multiple accounts.

The direct loss is cash. But the operational damage is often more painful. After a business email fraud incident, the entire company is pulled into cleanup mode: accounting reviews email history, department heads check the process, the director works with the bank, IT reviews logs, legal prepares documents, and internal teams start blaming each other. One incident can burn tens or even hundreds of working hours.

Roughly speaking, if a four-person accounting team spends 2–3 hours a day checking payment emails, verifying bank accounts, asking suppliers again, taking screenshots for approval, and updating Excel notes, the business loses around 160–240 working hours per month on a task that should be largely automated. Worse, even after spending all that time, the risk is still not zero because people get tired, rushed, or misled.

Reputation is another cost. If the company pays the wrong account because of a fake supplier email, the real order may be delayed because the real supplier has not received payment. The end customer gets their goods late. The sales team has to explain. The business owner loses money, loses trust with partners, and has to tighten the process while already in firefighting mode.

The internal data risk is even broader. A fake link inside an email may trick employees into entering their company email credentials. From there, attackers can read quotations, contracts, customer lists, payment terms, and transaction history. Once they have real data, the next fake emails become even more convincing. This creates a dangerous loop: leaked data creates better fake emails, and better fake emails increase the chance of losing money.

After 60 days of trial operation with an automated email and payment-checking system designed by HimiTek, one industrial equipment distributor reduced around 85% of manual email-checking time for payment-related messages. Previously, the accounting team spent 2–3 hours a day reviewing emails. After implementation, this dropped to around 20–30 minutes for cases that needed extra review. More importantly, the system detected an email requesting a transfer of more than 420 million VND to an unknown bank account before the payment was approved.

This is the point business owners care about: AI Automation is not for show. It must stop risk before money leaves the account, reduce manual work, and help approvers make decisions with enough information.

3. The 3-Step Solution: Use Automation as a Control Layer Before Payment

HimiTek does not design systems where AI blindly makes all decisions. For money, contracts, and suppliers, the safer approach is to use an AI Agent as an intelligent control layer: read emails, detect abnormal signs, score risk, alert the right people, and temporarily lock the payment process when verification is required.

Below is a 3-step model that SMEs can apply immediately, starting from a manual checklist and moving toward stronger automation.

Step 1: Label Sensitive Emails and Detect Abnormal Signals

First, the system must identify emails related to money or important business data. Not every email needs deep inspection. But any email containing bank account numbers, payment requests, contract changes, attachments, strange links, or phrases like “urgent payment,” “new bank account,” or “updated beneficiary account” must enter a checking flow.

Check whether the sender domain matches the real partner’s approved domain.
Compare the bank account number against the approved supplier master data.
Detect unusual changes in recipient, amount, or payment deadline.
Scan links and attachments before employees open them.
Compare the email content with recent transaction history.

The simple Python example below shows how an initial risk score can be assigned to a payment-related email. This is not a complete production system, but it helps show the logic before the workflow is automated.

import re
from difflib import SequenceMatcher

APPROVED_DOMAINS = ["supplier-a.com", "supplierb.vn"]
APPROVED_BANK_ACCOUNTS = {"supplier-a.com": ["0123456789"]}
RISK_KEYWORDS = ["new bank account", "updated beneficiary", "urgent payment", "pay today", "change bank account"]

def similarity(a, b):
    return SequenceMatcher(None, a, b).ratio()

def extract_bank_accounts(text):
    return re.findall(r"\b\d{8,16}\b", text)

def score_email(sender_domain, subject, body):
    score = 0
    reasons = []

    if sender_domain not in APPROVED_DOMAINS:
        near_match = max([similarity(sender_domain, d) for d in APPROVED_DOMAINS], default=0)
        if near_match > 0.8:
            score += 40
            reasons.append("Sender domain is very similar to a real supplier domain")
        else:
            score += 25
            reasons.append("Sender domain is not approved")

    content = (subject + " " + body).lower()
    for keyword in RISK_KEYWORDS:
        if keyword in content:
            score += 20
            reasons.append(f"Risk keyword found: {keyword}")

    accounts = extract_bank_accounts(body)
    approved_accounts = APPROVED_BANK_ACCOUNTS.get(sender_domain, [])
    for acc in accounts:
        if acc not in approved_accounts:
            score += 35
            reasons.append(f"Unknown bank account: {acc}")

    return {"risk_score": min(score, 100), "reasons": reasons}

result = score_email(
    sender_domain="supp1ier-a.com",
    subject="Updated beneficiary bank account",
    body="Please make today’s payment to account 9988776655."
)
print(result)

Step 2: Send Automatic Alerts and Temporarily Lock High-Risk Payments

When an email has a high risk score, the most important thing is to stop the workflow from continuing on autopilot. The system should alert the right people: the responsible accountant, the department head, and the director if the amount exceeds a defined threshold. At the same time, the related payment request must be temporarily locked until verification is completed.

Risk score below 30: allow normal handling, but keep the log.
Risk score from 30 to 69: require accounting to verify and record the result.
Risk score from 70 upward: temporarily lock payment, send internal alerts, and require multi-step verification.
If a new bank account appears: require a call to the phone number already stored in the supplier profile, not the number written in the new email.

The technical checklist HimiTek often uses during implementation:

Connect the company email system to the analysis workflow through a secure API or webhook.
Sync approved supplier data: names, domains, and bank account numbers.
Set risk thresholds based on payment amount, department, and supplier type.
Send alerts through internal channels such as Microsoft Teams, Slack, Zalo OA, or a dedicated dashboard.
Log the full process: who received the email, who verified it, who unlocked the payment, and when.

Step 3: Standardize Multi-Step Verification So the Business Does Not Depend on Memory

Many companies already have a rule that says “call to verify when a supplier changes bank accounts,” but in real life it is inconsistent. Some days people call, some days they do not. Some people write notes, others only mention it in chat. Good automation turns rules into mandatory workflow, so employees do not have to remember every step while under pressure.

Do not approve payment to a new bank account without confirmation from at least two internal people.
Do not verify through the same email thread that is under suspicion.
Only call the phone number stored previously in the supplier profile.
Store verification evidence: call time, person who confirmed, and confirmation details.
Automatically remind the team if a payment request stays pending beyond the allowed time.

This approach does not slow the business down. It helps clean emails move faster while dangerous emails are stopped at the right point. Accounting does not need to read every line with anxiety. Directors do not approve based on gut feeling. And business owners get a clear log if they ever need to investigate.

4. Practical CTA: Stop Wrong Payments Before You Have to Chase the Money

If your company receives quotations, invoices, and contracts through email every day, the question is not “will we ever receive a fake supplier email?” The real question is: “when that email arrives, can we stop it before the money is transferred?”

HimiTek can work with your team to review the current payment workflow, identify weak points, and build an automation control layer for sensitive emails before money leaves the account. The goal is specific: reduce manual checking time for accounting, detect fake supplier emails early, temporarily lock high-risk payment requests, and create a verification process with clear logs.

If you want to know where your company is exposed, start with a 45-minute workflow review with HimiTek. After that session, your business will have a specific risk list, an actionable checklist, and an automation proposal that fits your current size.

Do not wait until 420 million VND is gone before tightening the process. The job is to stop the wrong transaction before the money leaves your account.

Need expert consulting?

HimiTek provides AI Compliance, Blockchain, and Security consulting for enterprises.

Book a free consultation →