李忠東
美國斯庫勒公司(Scoular)是一家有124年歷史的糧食貿(mào)易公司,在美國《福布斯》雜志私營公司排行榜上位居第66位,擁有59億美元資產(chǎn)。2014年6月,財(cái)務(wù)總監(jiān)基思·麥克默特里收到CEO查克·埃爾沙發(fā)來的絕密電子郵件,要求他給一個(gè)離岸銀行賬戶匯款1720萬美元。埃爾沙告訴麥克默特里,公司正在為收購一家中國企業(yè)進(jìn)行談判,囑咐他聯(lián)系畢馬威會(huì)計(jì)師事務(wù)所的律師羅德尼·勞倫斯,由對方提供匯款賬戶?!拔覀冃枰蛑袊故咀銐虻膶?shí)力?!卑柹吃陔娮余]件中寫道,“基思,我不會(huì)忘記你在此次交易中的專業(yè)表現(xiàn),我將很快向你表達(dá)謝意?!?/p>
三個(gè)交易日后,麥克默特里將1720萬美元轉(zhuǎn)到了上海浦東發(fā)展銀行戶名為“大地公司”的賬戶中。然而讓他絕對沒有想到的是,這封電子郵件是偽造的。罪犯冒充埃爾沙創(chuàng)建了電子郵件賬戶,并以畢馬威合伙人的名義虛構(gòu)了郵箱和電話號碼。勞倫斯律師聲稱從未聽說過“大地公司”,和這家企業(yè)根本沒有聯(lián)系。
麥克默特里告訴FBI,自己當(dāng)時(shí)之所以沒有起疑心,一是斯庫勒公司的確正在考慮向中國市場發(fā)展,二是年度審計(jì)工作也一直由畢馬威會(huì)計(jì)師事務(wù)所進(jìn)行,三是假的“埃爾沙”特意在郵件中囑咐任務(wù)非常敏感,需要嚴(yán)格保密,稱“為了避免違反美國證券交易監(jiān)督委員會(huì)的規(guī)定,請只和我通過郵件交流”。
FBI已經(jīng)查清,假“埃爾沙”名下的電子郵箱服務(wù)器在德國,假“勞倫斯”的郵箱服務(wù)器位于莫斯科,騙子提供的電話號碼最后查到是一個(gè)在以色列注冊的網(wǎng)絡(luò)電話(Skype)賬號。斯庫勒公司的律師告訴FBI,最終拿到這筆錢的“大地公司”是一家制造軍靴的企業(yè),該公司稱這筆銀行電匯是靴子銷售合同的一部分,但斯庫勒公司說并沒有購買靴子。就在FBI設(shè)法進(jìn)行進(jìn)一步調(diào)查時(shí),這個(gè)賬戶已被注銷,資金也被轉(zhuǎn)走。FBI稱,斯庫勒公司只是“CEO郵件騙局”中數(shù)千家受害公司之一。
美國AF Global公司是一家大企業(yè),涉足航空航天、石油和天然氣行業(yè)。2014年5月,財(cái)務(wù)主管格倫·烏姆收到了一封郵件。郵件以集團(tuán)CEO杰安·斯塔爾卡普的口吻命令道:“我指定你管理T521文件,它需要嚴(yán)格保密,必須優(yōu)先于其他任務(wù)的財(cái)務(wù)操作。你有沒有聯(lián)系上畢馬威會(huì)計(jì)師事務(wù)所律師史蒂文·夏皮羅?”
烏姆遵照斯塔爾卡普不和任何人通氣的囑咐,直接將48萬美元匯到一個(gè)賬戶。六天后一個(gè)自稱為夏皮羅的人和烏姆取得聯(lián)系,在確認(rèn)款項(xiàng)收到后再次要求匯款1800萬美元。這時(shí)烏姆產(chǎn)生了懷疑,表示在不提醒高管的情況下不能擅自轉(zhuǎn)走這么多錢。然而為時(shí)太晚,騙子的銀行賬戶早已注銷。以涉嫌違反合同為由,丘博保險(xiǎn)公司拒絕了AF Global公司的索賠,該公司隨后起訴,但對方拒絕置評。
2015年元月,總部位于美國舊金山的線上支付公司Xoom Corp稱,一份監(jiān)管文件顯示財(cái)務(wù)部門的一名員工被騙,將公司的3080萬美元轉(zhuǎn)到騙子提供的海外賬戶中。
“Xoom Corp已經(jīng)建立起自己的先進(jìn)科技系統(tǒng)來檢測每一筆交易,內(nèi)容包括測試合規(guī)性、反洗錢、可接受使用、反欺詐和風(fēng)險(xiǎn)下秒籌資?!盭oom的CEO約翰·孔策無不擔(dān)憂地說,“雖然我們一直在反欺詐轉(zhuǎn)賬方面卓有成效,并且將其列為公司的核心業(yè)務(wù),但是Xoom公司已經(jīng)成為一個(gè)國際詐騙組織的目標(biāo)。”
2015年6月,美國無線網(wǎng)絡(luò)產(chǎn)品制造商UBNT優(yōu)博通(Ubiquiti Networks)的財(cái)務(wù)部門被冒牌高管欺騙,把4670萬美元匯到海外賬戶中,提起訴訟后已挽回810萬美元的損失。
UBNT優(yōu)博通總部位于加利福尼亞州,是一家國際網(wǎng)絡(luò)設(shè)備供應(yīng)公司,設(shè)計(jì)、開發(fā)和銷售適合網(wǎng)絡(luò)運(yùn)營商、大型代工生產(chǎn)商(Original Equipment Manufacturer,OEM)、無線互聯(lián)網(wǎng)服務(wù)提供商和軍事應(yīng)用的無線寬帶設(shè)備。它所設(shè)計(jì)的全功能無線超寬帶產(chǎn)品面世以后,以嚴(yán)謹(jǐn)?shù)脑O(shè)計(jì)工藝、穩(wěn)定可靠的質(zhì)量、超強(qiáng)的性能和超乎想象的價(jià)格等特點(diǎn)迅速在全球形成轟動(dòng)性效應(yīng)。
識破騙局 跟蹤追擊
FBI互聯(lián)網(wǎng)犯罪投訴中心公布的數(shù)據(jù)表明,遭遇“CEO郵件騙局”的案件越來越多,全球受害企業(yè)超過1.2萬家,平均每家損失12萬美元,損失最嚴(yán)重的企業(yè)甚至向境外的匯款高達(dá)9000萬美元。至于那些給騙子轉(zhuǎn)了5萬美元的小公司,結(jié)局就更慘了:它們因?yàn)檫@些欺詐行為可能再也發(fā)不出工資,只能關(guān)門大吉。
普華永道會(huì)計(jì)師事務(wù)所 ( price water house coopers ,PWC)是世界上頂級的會(huì)計(jì)師事務(wù)所之一,它2014年的信息安全漏洞報(bào)告指出,在互聯(lián)網(wǎng)上遭到過外部攻擊的大型企業(yè)和小企業(yè)分別達(dá)到57%和16%,受到?jīng)_擊和威脅的企業(yè)越來越多。犯罪分子通常操縱受害者將錢轉(zhuǎn)到他們暗中控制的亞洲或非洲的銀行賬戶,當(dāng)企業(yè)意識到被騙時(shí),巨款往往一去不返。迄今為止,F(xiàn)BI已對涉案資金追蹤至108個(gè)國家。
“此事已完全失控了,騙子越來越囂張。罪犯通過引入律師事務(wù)所或法律顧問等第三方實(shí)施欺詐,讓受害者面對的情況變得更復(fù)雜、更隱蔽?!盕BI金融網(wǎng)絡(luò)犯罪工作組特工米切爾·湯普森強(qiáng)調(diào)道,“商業(yè)電子郵件欺詐是個(gè)很嚴(yán)重的問題,因?yàn)槠髽I(yè)高管們非常依賴電子郵件,而且他們沒有拿起電話確認(rèn)交易或進(jìn)行仔細(xì)檢查的習(xí)慣?!?/p>
在“CEO郵件騙局”中,罪犯用偽造的CEO首席執(zhí)行官電子郵箱賬戶發(fā)郵件指示員工將錢匯往境外銀行戶頭。犯罪分子在行騙時(shí)采取各種策略:或者通過釣魚電子郵件賬戶入侵內(nèi)部網(wǎng)絡(luò),以便獲取高管的郵箱信息;或者為了迷惑受害者,利用與公司官方電子郵件地址只相差一個(gè)字母的冒牌郵箱,粗心的受害者往往被設(shè)計(jì)巧妙的虛假地址所欺騙;或者使用多種社交媒體,用發(fā)送垃圾郵件的方法來確定CEO在不在辦公室,或在臉譜網(wǎng)上觀察CEO什么時(shí)候出國辦事,以此確定最佳的作案時(shí)間。
犯罪行騙的時(shí)間也很有講究,大都冒充CEO的身份選擇上午9點(diǎn)到10點(diǎn)向財(cái)務(wù)人員發(fā)出指示。這個(gè)時(shí)間段最為忙碌,他們常常需要處理多封郵件和好幾個(gè)電話。面臨緊迫感造成的巨大壓力,財(cái)務(wù)人員難以對高層的命令提出質(zhì)疑,思考這件事是否不同尋常,只能不假思索地迅速行動(dòng)。這是此類網(wǎng)絡(luò)釣魚欺詐的共同特點(diǎn)。
“通過互聯(lián)網(wǎng)詐騙錢財(cái)?shù)氖址ú⒉恍迈r,有的犯罪集團(tuán)曾經(jīng)利用交友網(wǎng)站,從賑災(zāi)籌款活動(dòng)或恐怖襲擊捐款中獲利。還記得10年前,告知人們中獎(jiǎng)的詐騙郵件鋪天蓋地?!盕BI反洗錢部門主管詹姆斯·巴納克爾表示,“犯罪分子沒有國界,這是個(gè)全球問題。我們正在動(dòng)用我們的刑事調(diào)查資源、網(wǎng)絡(luò)資源和在海外的法律專員,并且和世界各地的外國合作伙伴合作,努力應(yīng)對這個(gè)犯罪問題。過去一年中,F(xiàn)BI與情報(bào)分析人員和全球執(zhí)法機(jī)構(gòu)建立了合作關(guān)系,但是沒有足夠的警力在互聯(lián)網(wǎng)上監(jiān)控犯罪分子?!?/p>
FBI從不同的冒充CEO詐騙案中發(fā)現(xiàn)一些詐騙手段看起來十分相似,不過目前仍不清楚是否存在一個(gè)領(lǐng)頭的全球詐騙集團(tuán)。此類詐騙案數(shù)量增加,部分可能要?dú)w因于企業(yè)發(fā)覺了這種犯罪行為。與此同時(shí)也反映出這種騙術(shù)十分簡單,只需要一臺電腦就夠了,可以從全球任何地方發(fā)起?!捌髽I(yè)需要提高警惕,能否將騙子拒之門外主要取決于公司如何保護(hù)自己?!泵绹y行家協(xié)會(huì)負(fù)責(zé)支付和網(wǎng)絡(luò)安全的高級副總裁道格·約翰遜提醒道,“轉(zhuǎn)賬前需要至少兩名員工批準(zhǔn),必須作為一種正常的做法堅(jiān)持下去?!?/p>
微軟公司正在更新其電子郵件客戶端,試圖更快識別出惡意電子郵件并提醒用戶。目前,這一行動(dòng)已取得部分進(jìn)展,檢測冒名郵件的成功率提高了500%。微軟CEO薩提亞·納德爾拉說,該公司已增加在安全方面的預(yù)算,并在2015年額外聘請了20%的員工,專門處理安全威脅。
美國密蘇里州大學(xué)的安全研究員喬希·里卡德近日開發(fā)了一個(gè)微軟Outlook郵件客戶端的內(nèi)嵌“釣魚郵件報(bào)告工具”,在Outlook操作菜單上增加了一個(gè)新的按鈕。用戶可以在 Outlook郵件客戶端上將他們認(rèn)為是釣魚攻擊的郵件或者是垃圾郵件一鍵進(jìn)行轉(zhuǎn)發(fā)操作,發(fā)送到預(yù)先設(shè)定的收件人郵箱(可以是公司的安全研究人員的或者事件響應(yīng)小組),以便最大限度地保存釣魚郵件現(xiàn)場數(shù)據(jù),更好地對疑似郵件進(jìn)行分析,及時(shí)做出合理判斷及處置。
“釣魚郵件報(bào)告工具”通過聯(lián)動(dòng)用戶,保存原始現(xiàn)場信息,特別是重要的郵件頭信息,大大增強(qiáng)安全事件的預(yù)防及響應(yīng)處理能力。很多時(shí)候網(wǎng)絡(luò)釣魚事件已經(jīng)發(fā)生了,但對用戶收到的釣魚郵件進(jìn)行分析仍然存在一定的難度。因?yàn)橐话阌脩舳际侵苯訉⒁伤漆烎~郵件直接轉(zhuǎn)發(fā)給公司的安全人員,這樣一來破壞了原來的郵件頭信息,干擾了分析工作。
從1995年開始出現(xiàn)釣魚攻擊以來,很多之所以能成功,往往是通過郵件實(shí)施的。而從2014年至今,對大型企業(yè)進(jìn)行的調(diào)研表明,有大概50%的員工會(huì)點(diǎn)擊釣魚郵件的鏈接或者打開附件。所以保持與公司員工的及時(shí)溝通,從技術(shù)層面上建立反饋機(jī)制,是一個(gè)較好的響應(yīng)方案。
編輯:鄭賓 393758162@qq.com