美國“CEO郵件騙局”

李忠東

美國斯庫勒公司（Scoular）是一家有124年歷史的糧食貿(mào)易公司，在美國《福布斯》雜志私營公司排行榜上位居第66位，擁有59億美元資產(chǎn)。2014年6月，財(cái)務(wù)總監(jiān)基思·麥克默特里收到CEO查克·埃爾沙發(fā)來的絕密電子郵件，要求他給一個(gè)離岸銀行賬戶匯款1720萬美元。埃爾沙告訴麥克默特里，公司正在為收購一家中國企業(yè)進(jìn)行談判，囑咐他聯(lián)系畢馬威會(huì)計(jì)師事務(wù)所的律師羅德尼·勞倫斯，由對方提供匯款賬戶?！拔覀冃枰蛑袊故咀銐虻膶?shí)力?！卑柹吃陔娮余]件中寫道，“基思，我不會(huì)忘記你在此次交易中的專業(yè)表現(xiàn)，我將很快向你表達(dá)謝意?！?/p>

三個(gè)交易日后，麥克默特里將1720萬美元轉(zhuǎn)到了上海浦東發(fā)展銀行戶名為“大地公司”的賬戶中。然而讓他絕對沒有想到的是，這封電子郵件是偽造的。罪犯冒充埃爾沙創(chuàng)建了電子郵件賬戶，并以畢馬威合伙人的名義虛構(gòu)了郵箱和電話號碼。勞倫斯律師聲稱從未聽說過“大地公司”，和這家企業(yè)根本沒有聯(lián)系。

麥克默特里告訴FBI，自己當(dāng)時(shí)之所以沒有起疑心，一是斯庫勒公司的確正在考慮向中國市場發(fā)展，二是年度審計(jì)工作也一直由畢馬威會(huì)計(jì)師事務(wù)所進(jìn)行，三是假的“埃爾沙”特意在郵件中囑咐任務(wù)非常敏感，需要嚴(yán)格保密，稱“為了避免違反美國證券交易監(jiān)督委員會(huì)的規(guī)定，請只和我通過郵件交流”。

FBI已經(jīng)查清，假“埃爾沙”名下的電子郵箱服務(wù)器在德國，假“勞倫斯”的郵箱服務(wù)器位于莫斯科，騙子提供的電話號碼最后查到是一個(gè)在以色列注冊的網(wǎng)絡(luò)電話（Skype）賬號。斯庫勒公司的律師告訴FBI，最終拿到這筆錢的“大地公司”是一家制造軍靴的企業(yè)，該公司稱這筆銀行電匯是靴子銷售合同的一部分，但斯庫勒公司說并沒有購買靴子。就在FBI設(shè)法進(jìn)行進(jìn)一步調(diào)查時(shí)，這個(gè)賬戶已被注銷，資金也被轉(zhuǎn)走。FBI稱，斯庫勒公司只是“CEO郵件騙局”中數(shù)千家受害公司之一。

美國AF Global公司是一家大企業(yè)，涉足航空航天、石油和天然氣行業(yè)。2014年5月，財(cái)務(wù)主管格倫·烏姆收到了一封郵件。郵件以集團(tuán)CEO杰安·斯塔爾卡普的口吻命令道：“我指定你管理T521文件，它需要嚴(yán)格保密，必須優(yōu)先于其他任務(wù)的財(cái)務(wù)操作。你有沒有聯(lián)系上畢馬威會(huì)計(jì)師事務(wù)所律師史蒂文·夏皮羅？”

烏姆遵照斯塔爾卡普不和任何人通氣的囑咐，直接將48萬美元匯到一個(gè)賬戶。六天后一個(gè)自稱為夏皮羅的人和烏姆取得聯(lián)系，在確認(rèn)款項(xiàng)收到后再次要求匯款1800萬美元。這時(shí)烏姆產(chǎn)生了懷疑，表示在不提醒高管的情況下不能擅自轉(zhuǎn)走這么多錢。然而為時(shí)太晚，騙子的銀行賬戶早已注銷。以涉嫌違反合同為由，丘博保險(xiǎn)公司拒絕了AF Global公司的索賠，該公司隨后起訴，但對方拒絕置評。

2015年元月，總部位于美國舊金山的線上支付公司Xoom Corp稱，一份監(jiān)管文件顯示財(cái)務(wù)部門的一名員工被騙，將公司的3080萬美元轉(zhuǎn)到騙子提供的海外賬戶中。

“Xoom Corp已經(jīng)建立起自己的先進(jìn)科技系統(tǒng)來檢測每一筆交易，內(nèi)容包括測試合規(guī)性、反洗錢、可接受使用、反欺詐和風(fēng)險(xiǎn)下秒籌資?！盭oom的CEO約翰·孔策無不擔(dān)憂地說，“雖然我們一直在反欺詐轉(zhuǎn)賬方面卓有成效，并且將其列為公司的核心業(yè)務(wù)，但是Xoom公司已經(jīng)成為一個(gè)國際詐騙組織的目標(biāo)。”

2015年6月，美國無線網(wǎng)絡(luò)產(chǎn)品制造商UBNT優(yōu)博通（Ubiquiti Networks）的財(cái)務(wù)部門被冒牌高管欺騙，把4670萬美元匯到海外賬戶中，提起訴訟后已挽回810萬美元的損失。

UBNT優(yōu)博通總部位于加利福尼亞州，是一家國際網(wǎng)絡(luò)設(shè)備供應(yīng)公司，設(shè)計(jì)、開發(fā)和銷售適合網(wǎng)絡(luò)運(yùn)營商、大型代工生產(chǎn)商（Original Equipment Manufacturer，OEM）、無線互聯(lián)網(wǎng)服務(wù)提供商和軍事應(yīng)用的無線寬帶設(shè)備。它所設(shè)計(jì)的全功能無線超寬帶產(chǎn)品面世以后，以嚴(yán)謹(jǐn)?shù)脑O(shè)計(jì)工藝、穩(wěn)定可靠的質(zhì)量、超強(qiáng)的性能和超乎想象的價(jià)格等特點(diǎn)迅速在全球形成轟動(dòng)性效應(yīng)。

識破騙局 跟蹤追擊

FBI互聯(lián)網(wǎng)犯罪投訴中心公布的數(shù)據(jù)表明，遭遇“CEO郵件騙局”的案件越來越多，全球受害企業(yè)超過1.2萬家，平均每家損失12萬美元，損失最嚴(yán)重的企業(yè)甚至向境外的匯款高達(dá)9000萬美元。至于那些給騙子轉(zhuǎn)了5萬美元的小公司，結(jié)局就更慘了：它們因?yàn)檫@些欺詐行為可能再也發(fā)不出工資，只能關(guān)門大吉。

普華永道會(huì)計(jì)師事務(wù)所 （ price water house coopers ，PWC）是世界上頂級的會(huì)計(jì)師事務(wù)所之一，它2014年的信息安全漏洞報(bào)告指出，在互聯(lián)網(wǎng)上遭到過外部攻擊的大型企業(yè)和小企業(yè)分別達(dá)到57%和16%，受到?jīng)_擊和威脅的企業(yè)越來越多。犯罪分子通常操縱受害者將錢轉(zhuǎn)到他們暗中控制的亞洲或非洲的銀行賬戶，當(dāng)企業(yè)意識到被騙時(shí)，巨款往往一去不返。迄今為止，F(xiàn)BI已對涉案資金追蹤至108個(gè)國家。

“此事已完全失控了，騙子越來越囂張。罪犯通過引入律師事務(wù)所或法律顧問等第三方實(shí)施欺詐，讓受害者面對的情況變得更復(fù)雜、更隱蔽?！盕BI金融網(wǎng)絡(luò)犯罪工作組特工米切爾·湯普森強(qiáng)調(diào)道，“商業(yè)電子郵件欺詐是個(gè)很嚴(yán)重的問題，因?yàn)槠髽I(yè)高管們非常依賴電子郵件，而且他們沒有拿起電話確認(rèn)交易或進(jìn)行仔細(xì)檢查的習(xí)慣?！?/p>

在“CEO郵件騙局”中，罪犯用偽造的CEO首席執(zhí)行官電子郵箱賬戶發(fā)郵件指示員工將錢匯往境外銀行戶頭。犯罪分子在行騙時(shí)采取各種策略：或者通過釣魚電子郵件賬戶入侵內(nèi)部網(wǎng)絡(luò)，以便獲取高管的郵箱信息；或者為了迷惑受害者，利用與公司官方電子郵件地址只相差一個(gè)字母的冒牌郵箱，粗心的受害者往往被設(shè)計(jì)巧妙的虛假地址所欺騙；或者使用多種社交媒體，用發(fā)送垃圾郵件的方法來確定CEO在不在辦公室，或在臉譜網(wǎng)上觀察CEO什么時(shí)候出國辦事，以此確定最佳的作案時(shí)間。

犯罪行騙的時(shí)間也很有講究，大都冒充CEO的身份選擇上午9點(diǎn)到10點(diǎn)向財(cái)務(wù)人員發(fā)出指示。這個(gè)時(shí)間段最為忙碌，他們常常需要處理多封郵件和好幾個(gè)電話。面臨緊迫感造成的巨大壓力，財(cái)務(wù)人員難以對高層的命令提出質(zhì)疑，思考這件事是否不同尋常，只能不假思索地迅速行動(dòng)。這是此類網(wǎng)絡(luò)釣魚欺詐的共同特點(diǎn)。

“通過互聯(lián)網(wǎng)詐騙錢財(cái)?shù)氖址ú⒉恍迈r，有的犯罪集團(tuán)曾經(jīng)利用交友網(wǎng)站，從賑災(zāi)籌款活動(dòng)或恐怖襲擊捐款中獲利。還記得10年前，告知人們中獎(jiǎng)的詐騙郵件鋪天蓋地?！盕BI反洗錢部門主管詹姆斯·巴納克爾表示，“犯罪分子沒有國界，這是個(gè)全球問題。我們正在動(dòng)用我們的刑事調(diào)查資源、網(wǎng)絡(luò)資源和在海外的法律專員，并且和世界各地的外國合作伙伴合作，努力應(yīng)對這個(gè)犯罪問題。過去一年中，F(xiàn)BI與情報(bào)分析人員和全球執(zhí)法機(jī)構(gòu)建立了合作關(guān)系，但是沒有足夠的警力在互聯(lián)網(wǎng)上監(jiān)控犯罪分子?！?/p>

FBI從不同的冒充CEO詐騙案中發(fā)現(xiàn)一些詐騙手段看起來十分相似，不過目前仍不清楚是否存在一個(gè)領(lǐng)頭的全球詐騙集團(tuán)。此類詐騙案數(shù)量增加，部分可能要?dú)w因于企業(yè)發(fā)覺了這種犯罪行為。與此同時(shí)也反映出這種騙術(shù)十分簡單，只需要一臺電腦就夠了，可以從全球任何地方發(fā)起?！捌髽I(yè)需要提高警惕，能否將騙子拒之門外主要取決于公司如何保護(hù)自己?！泵绹y行家協(xié)會(huì)負(fù)責(zé)支付和網(wǎng)絡(luò)安全的高級副總裁道格·約翰遜提醒道，“轉(zhuǎn)賬前需要至少兩名員工批準(zhǔn)，必須作為一種正常的做法堅(jiān)持下去?！?/p>

微軟公司正在更新其電子郵件客戶端，試圖更快識別出惡意電子郵件并提醒用戶。目前，這一行動(dòng)已取得部分進(jìn)展，檢測冒名郵件的成功率提高了500%。微軟CEO薩提亞·納德爾拉說，該公司已增加在安全方面的預(yù)算，并在2015年額外聘請了20%的員工，專門處理安全威脅。

美國密蘇里州大學(xué)的安全研究員喬希·里卡德近日開發(fā)了一個(gè)微軟Outlook郵件客戶端的內(nèi)嵌“釣魚郵件報(bào)告工具”，在Outlook操作菜單上增加了一個(gè)新的按鈕。用戶可以在 Outlook郵件客戶端上將他們認(rèn)為是釣魚攻擊的郵件或者是垃圾郵件一鍵進(jìn)行轉(zhuǎn)發(fā)操作，發(fā)送到預(yù)先設(shè)定的收件人郵箱（可以是公司的安全研究人員的或者事件響應(yīng)小組），以便最大限度地保存釣魚郵件現(xiàn)場數(shù)據(jù)，更好地對疑似郵件進(jìn)行分析，及時(shí)做出合理判斷及處置。

“釣魚郵件報(bào)告工具”通過聯(lián)動(dòng)用戶，保存原始現(xiàn)場信息，特別是重要的郵件頭信息，大大增強(qiáng)安全事件的預(yù)防及響應(yīng)處理能力。很多時(shí)候網(wǎng)絡(luò)釣魚事件已經(jīng)發(fā)生了，但對用戶收到的釣魚郵件進(jìn)行分析仍然存在一定的難度。因?yàn)橐话阌脩舳际侵苯訉⒁伤漆烎~郵件直接轉(zhuǎn)發(fā)給公司的安全人員，這樣一來破壞了原來的郵件頭信息，干擾了分析工作。

從1995年開始出現(xiàn)釣魚攻擊以來，很多之所以能成功，往往是通過郵件實(shí)施的。而從2014年至今，對大型企業(yè)進(jìn)行的調(diào)研表明，有大概50%的員工會(huì)點(diǎn)擊釣魚郵件的鏈接或者打開附件。所以保持與公司員工的及時(shí)溝通，從技術(shù)層面上建立反饋機(jī)制，是一個(gè)較好的響應(yīng)方案。

編輯：鄭賓 393758162@qq.com