李忠東

美國(guó)斯庫(kù)勒公司（Scoular）是一家有124年歷史的糧食貿(mào)易公司，在美國(guó)《福布斯》雜志私營(yíng)公司排行榜上位居第66位，擁有59億美元資產(chǎn)。2014年6月，財(cái)務(wù)總監(jiān)基思·麥克默特里收到CEO查克·埃爾沙發(fā)來(lái)的絕密電子郵件，要求他給一個(gè)離岸銀行賬戶(hù)匯款1720萬(wàn)美元。埃爾沙告訴麥克默特里，公司正在為收購(gòu)一家中國(guó)企業(yè)進(jìn)行談判，囑咐他聯(lián)系畢馬威會(huì)計(jì)師事務(wù)所的律師羅德尼·勞倫斯，由對(duì)方提供匯款賬戶(hù)?！拔覀冃枰蛑袊?guó)展示足夠的實(shí)力。”埃爾沙在電子郵件中寫(xiě)道，“基思，我不會(huì)忘記你在此次交易中的專(zhuān)業(yè)表現(xiàn)，我將很快向你表達(dá)謝意?！?/p>

三個(gè)交易日后，麥克默特里將1720萬(wàn)美元轉(zhuǎn)到了上海浦東發(fā)展銀行戶(hù)名為“大地公司”的賬戶(hù)中。然而讓他絕對(duì)沒(méi)有想到的是，這封電子郵件是偽造的。罪犯冒充埃爾沙創(chuàng)建了電子郵件賬戶(hù)，并以畢馬威合伙人的名義虛構(gòu)了郵箱和電話號(hào)碼。勞倫斯律師聲稱(chēng)從未聽(tīng)說(shuō)過(guò)“大地公司”，和這家企業(yè)根本沒(méi)有聯(lián)系。

麥克默特里告訴FBI，自己當(dāng)時(shí)之所以沒(méi)有起疑心，一是斯庫(kù)勒公司的確正在考慮向中國(guó)市場(chǎng)發(fā)展，二是年度審計(jì)工作也一直由畢馬威會(huì)計(jì)師事務(wù)所進(jìn)行，三是假的“埃爾沙”特意在郵件中囑咐任務(wù)非常敏感，需要嚴(yán)格保密，稱(chēng)“為了避免違反美國(guó)證券交易監(jiān)督委員會(huì)的規(guī)定，請(qǐng)只和我通過(guò)郵件交流”。

FBI已經(jīng)查清，假“埃爾沙”名下的電子郵箱服務(wù)器在德國(guó)，假“勞倫斯”的郵箱服務(wù)器位于莫斯科，騙子提供的電話號(hào)碼最后查到是一個(gè)在以色列注冊(cè)的網(wǎng)絡(luò)電話（Skype）賬號(hào)。斯庫(kù)勒公司的律師告訴FBI，最終拿到這筆錢(qián)的“大地公司”是一家制造軍靴的企業(yè)，該公司稱(chēng)這筆銀行電匯是靴子銷(xiāo)售合同的一部分，但斯庫(kù)勒公司說(shuō)并沒(méi)有購(gòu)買(mǎi)靴子。就在FBI設(shè)法進(jìn)行進(jìn)一步調(diào)查時(shí)，這個(gè)賬戶(hù)已被注銷(xiāo)，資金也被轉(zhuǎn)走。FBI稱(chēng)，斯庫(kù)勒公司只是“CEO郵件騙局”中數(shù)千家受害公司之一。

美國(guó)AF Global公司是一家大企業(yè)，涉足航空航天、石油和天然氣行業(yè)。2014年5月，財(cái)務(wù)主管格倫·烏姆收到了一封郵件。郵件以集團(tuán)CEO杰安·斯塔爾卡普的口吻命令道：“我指定你管理T521文件，它需要嚴(yán)格保密，必須優(yōu)先于其他任務(wù)的財(cái)務(wù)操作。你有沒(méi)有聯(lián)系上畢馬威會(huì)計(jì)師事務(wù)所律師史蒂文·夏皮羅？”

烏姆遵照斯塔爾卡普不和任何人通氣的囑咐，直接將48萬(wàn)美元匯到一個(gè)賬戶(hù)。六天后一個(gè)自稱(chēng)為夏皮羅的人和烏姆取得聯(lián)系，在確認(rèn)款項(xiàng)收到后再次要求匯款1800萬(wàn)美元。這時(shí)烏姆產(chǎn)生了懷疑，表示在不提醒高管的情況下不能擅自轉(zhuǎn)走這么多錢(qián)。然而為時(shí)太晚，騙子的銀行賬戶(hù)早已注銷(xiāo)。以涉嫌違反合同為由，丘博保險(xiǎn)公司拒絕了AF Global公司的索賠，該公司隨后起訴，但對(duì)方拒絕置評(píng)。

2015年元月，總部位于美國(guó)舊金山的線上支付公司Xoom Corp稱(chēng)，一份監(jiān)管文件顯示財(cái)務(wù)部門(mén)的一名員工被騙，將公司的3080萬(wàn)美元轉(zhuǎn)到騙子提供的海外賬戶(hù)中。

“Xoom Corp已經(jīng)建立起自己的先進(jìn)科技系統(tǒng)來(lái)檢測(cè)每一筆交易，內(nèi)容包括測(cè)試合規(guī)性、反洗錢(qián)、可接受使用、反欺詐和風(fēng)險(xiǎn)下秒籌資。”Xoom的CEO約翰·孔策無(wú)不擔(dān)憂地說(shuō)，“雖然我們一直在反欺詐轉(zhuǎn)賬方面卓有成效，并且將其列為公司的核心業(yè)務(wù)，但是Xoom公司已經(jīng)成為一個(gè)國(guó)際詐騙組織的目標(biāo)。”

2015年6月，美國(guó)無(wú)線網(wǎng)絡(luò)產(chǎn)品制造商UBNT優(yōu)博通（Ubiquiti Networks）的財(cái)務(wù)部門(mén)被冒牌高管欺騙，把4670萬(wàn)美元匯到海外賬戶(hù)中，提起訴訟后已挽回810萬(wàn)美元的損失。

UBNT優(yōu)博通總部位于加利福尼亞州，是一家國(guó)際網(wǎng)絡(luò)設(shè)備供應(yīng)公司，設(shè)計(jì)、開(kāi)發(fā)和銷(xiāo)售適合網(wǎng)絡(luò)運(yùn)營(yíng)商、大型代工生產(chǎn)商（Original Equipment Manufacturer，OEM）、無(wú)線互聯(lián)網(wǎng)服務(wù)提供商和軍事應(yīng)用的無(wú)線寬帶設(shè)備。它所設(shè)計(jì)的全功能無(wú)線超寬帶產(chǎn)品面世以后，以嚴(yán)謹(jǐn)?shù)脑O(shè)計(jì)工藝、穩(wěn)定可靠的質(zhì)量、超強(qiáng)的性能和超乎想象的價(jià)格等特點(diǎn)迅速在全球形成轟動(dòng)性效應(yīng)。

識(shí)破騙局 跟蹤追擊

FBI互聯(lián)網(wǎng)犯罪投訴中心公布的數(shù)據(jù)表明，遭遇“CEO郵件騙局”的案件越來(lái)越多，全球受害企業(yè)超過(guò)1.2萬(wàn)家，平均每家損失12萬(wàn)美元，損失最嚴(yán)重的企業(yè)甚至向境外的匯款高達(dá)9000萬(wàn)美元。至于那些給騙子轉(zhuǎn)了5萬(wàn)美元的小公司，結(jié)局就更慘了：它們因?yàn)檫@些欺詐行為可能再也發(fā)不出工資，只能關(guān)門(mén)大吉。

普華永道會(huì)計(jì)師事務(wù)所 （ price water house coopers ，PWC）是世界上頂級(jí)的會(huì)計(jì)師事務(wù)所之一，它2014年的信息安全漏洞報(bào)告指出，在互聯(lián)網(wǎng)上遭到過(guò)外部攻擊的大型企業(yè)和小企業(yè)分別達(dá)到57%和16%，受到?jīng)_擊和威脅的企業(yè)越來(lái)越多。犯罪分子通常操縱受害者將錢(qián)轉(zhuǎn)到他們暗中控制的亞洲或非洲的銀行賬戶(hù)，當(dāng)企業(yè)意識(shí)到被騙時(shí)，巨款往往一去不返。迄今為止，F(xiàn)BI已對(duì)涉案資金追蹤至108個(gè)國(guó)家。

“此事已完全失控了，騙子越來(lái)越囂張。罪犯通過(guò)引入律師事務(wù)所或法律顧問(wèn)等第三方實(shí)施欺詐，讓受害者面對(duì)的情況變得更復(fù)雜、更隱蔽?！盕BI金融網(wǎng)絡(luò)犯罪工作組特工米切爾·湯普森強(qiáng)調(diào)道，“商業(yè)電子郵件欺詐是個(gè)很?chē)?yán)重的問(wèn)題，因?yàn)槠髽I(yè)高管們非常依賴(lài)電子郵件，而且他們沒(méi)有拿起電話確認(rèn)交易或進(jìn)行仔細(xì)檢查的習(xí)慣?！?/p>

在“CEO郵件騙局”中，罪犯用偽造的CEO首席執(zhí)行官電子郵箱賬戶(hù)發(fā)郵件指示員工將錢(qián)匯往境外銀行戶(hù)頭。犯罪分子在行騙時(shí)采取各種策略：或者通過(guò)釣魚(yú)電子郵件賬戶(hù)入侵內(nèi)部網(wǎng)絡(luò)，以便獲取高管的郵箱信息；或者為了迷惑受害者，利用與公司官方電子郵件地址只相差一個(gè)字母的冒牌郵箱，粗心的受害者往往被設(shè)計(jì)巧妙的虛假地址所欺騙；或者使用多種社交媒體，用發(fā)送垃圾郵件的方法來(lái)確定CEO在不在辦公室，或在臉譜網(wǎng)上觀察CEO什么時(shí)候出國(guó)辦事，以此確定最佳的作案時(shí)間。

犯罪行騙的時(shí)間也很有講究，大都冒充CEO的身份選擇上午9點(diǎn)到10點(diǎn)向財(cái)務(wù)人員發(fā)出指示。這個(gè)時(shí)間段最為忙碌，他們常常需要處理多封郵件和好幾個(gè)電話。面臨緊迫感造成的巨大壓力，財(cái)務(wù)人員難以對(duì)高層的命令提出質(zhì)疑，思考這件事是否不同尋常，只能不假思索地迅速行動(dòng)。這是此類(lèi)網(wǎng)絡(luò)釣魚(yú)欺詐的共同特點(diǎn)。

“通過(guò)互聯(lián)網(wǎng)詐騙錢(qián)財(cái)?shù)氖址ú⒉恍迈r，有的犯罪集團(tuán)曾經(jīng)利用交友網(wǎng)站，從賑災(zāi)籌款活動(dòng)或恐怖襲擊捐款中獲利。還記得10年前，告知人們中獎(jiǎng)的詐騙郵件鋪天蓋地?！盕BI反洗錢(qián)部門(mén)主管詹姆斯·巴納克爾表示，“犯罪分子沒(méi)有國(guó)界，這是個(gè)全球問(wèn)題。我們正在動(dòng)用我們的刑事調(diào)查資源、網(wǎng)絡(luò)資源和在海外的法律專(zhuān)員，并且和世界各地的外國(guó)合作伙伴合作，努力應(yīng)對(duì)這個(gè)犯罪問(wèn)題。過(guò)去一年中，F(xiàn)BI與情報(bào)分析人員和全球執(zhí)法機(jī)構(gòu)建立了合作關(guān)系，但是沒(méi)有足夠的警力在互聯(lián)網(wǎng)上監(jiān)控犯罪分子?！?/p>

FBI從不同的冒充CEO詐騙案中發(fā)現(xiàn)一些詐騙手段看起來(lái)十分相似，不過(guò)目前仍不清楚是否存在一個(gè)領(lǐng)頭的全球詐騙集團(tuán)。此類(lèi)詐騙案數(shù)量增加，部分可能要?dú)w因于企業(yè)發(fā)覺(jué)了這種犯罪行為。與此同時(shí)也反映出這種騙術(shù)十分簡(jiǎn)單，只需要一臺(tái)電腦就夠了，可以從全球任何地方發(fā)起?！捌髽I(yè)需要提高警惕，能否將騙子拒之門(mén)外主要取決于公司如何保護(hù)自己?！泵绹?guó)銀行家協(xié)會(huì)負(fù)責(zé)支付和網(wǎng)絡(luò)安全的高級(jí)副總裁道格·約翰遜提醒道，“轉(zhuǎn)賬前需要至少兩名員工批準(zhǔn)，必須作為一種正常的做法堅(jiān)持下去。”

微軟公司正在更新其電子郵件客戶(hù)端，試圖更快識(shí)別出惡意電子郵件并提醒用戶(hù)。目前，這一行動(dòng)已取得部分進(jìn)展，檢測(cè)冒名郵件的成功率提高了500%。微軟CEO薩提亞·納德?tīng)柪f(shuō)，該公司已增加在安全方面的預(yù)算，并在2015年額外聘請(qǐng)了20%的員工，專(zhuān)門(mén)處理安全威脅。

美國(guó)密蘇里州大學(xué)的安全研究員喬希·里卡德近日開(kāi)發(fā)了一個(gè)微軟Outlook郵件客戶(hù)端的內(nèi)嵌“釣魚(yú)郵件報(bào)告工具”，在Outlook操作菜單上增加了一個(gè)新的按鈕。用戶(hù)可以在 Outlook郵件客戶(hù)端上將他們認(rèn)為是釣魚(yú)攻擊的郵件或者是垃圾郵件一鍵進(jìn)行轉(zhuǎn)發(fā)操作，發(fā)送到預(yù)先設(shè)定的收件人郵箱（可以是公司的安全研究人員的或者事件響應(yīng)小組），以便最大限度地保存釣魚(yú)郵件現(xiàn)場(chǎng)數(shù)據(jù)，更好地對(duì)疑似郵件進(jìn)行分析，及時(shí)做出合理判斷及處置。

“釣魚(yú)郵件報(bào)告工具”通過(guò)聯(lián)動(dòng)用戶(hù)，保存原始現(xiàn)場(chǎng)信息，特別是重要的郵件頭信息，大大增強(qiáng)安全事件的預(yù)防及響應(yīng)處理能力。很多時(shí)候網(wǎng)絡(luò)釣魚(yú)事件已經(jīng)發(fā)生了，但對(duì)用戶(hù)收到的釣魚(yú)郵件進(jìn)行分析仍然存在一定的難度。因?yàn)橐话阌脩?hù)都是直接將疑似釣魚(yú)郵件直接轉(zhuǎn)發(fā)給公司的安全人員，這樣一來(lái)破壞了原來(lái)的郵件頭信息，干擾了分析工作。

從1995年開(kāi)始出現(xiàn)釣魚(yú)攻擊以來(lái)，很多之所以能成功，往往是通過(guò)郵件實(shí)施的。而從2014年至今，對(duì)大型企業(yè)進(jìn)行的調(diào)研表明，有大概50%的員工會(huì)點(diǎn)擊釣魚(yú)郵件的鏈接或者打開(kāi)附件。所以保持與公司員工的及時(shí)溝通，從技術(shù)層面上建立反饋機(jī)制，是一個(gè)較好的響應(yīng)方案。

編輯：鄭賓 393758162@qq.com