李忠東

美國斯庫勒公司（Scoular）是一家有124年歷史的糧食貿(mào)易公司，在美國《福布斯》雜志私營公司排行榜上位居第66位，擁有59億美元資產(chǎn)。2014年6月，財務總監(jiān)基思·麥克默特里收到CEO查克·埃爾沙發(fā)來的絕密電子郵件，要求他給一個離岸銀行賬戶匯款1720萬美元。埃爾沙告訴麥克默特里，公司正在為收購一家中國企業(yè)進行談判，囑咐他聯(lián)系畢馬威會計師事務所的律師羅德尼·勞倫斯，由對方提供匯款賬戶。“我們需要向中國展示足夠的實力?！卑柹吃陔娮余]件中寫道，“基思，我不會忘記你在此次交易中的專業(yè)表現(xiàn)，我將很快向你表達謝意?！?/p>

三個交易日后，麥克默特里將1720萬美元轉(zhuǎn)到了上海浦東發(fā)展銀行戶名為“大地公司”的賬戶中。然而讓他絕對沒有想到的是，這封電子郵件是偽造的。罪犯冒充埃爾沙創(chuàng)建了電子郵件賬戶，并以畢馬威合伙人的名義虛構(gòu)了郵箱和電話號碼。勞倫斯律師聲稱從未聽說過“大地公司”，和這家企業(yè)根本沒有聯(lián)系。

麥克默特里告訴FBI，自己當時之所以沒有起疑心，一是斯庫勒公司的確正在考慮向中國市場發(fā)展，二是年度審計工作也一直由畢馬威會計師事務所進行，三是假的“埃爾沙”特意在郵件中囑咐任務非常敏感，需要嚴格保密，稱“為了避免違反美國證券交易監(jiān)督委員會的規(guī)定，請只和我通過郵件交流”。

FBI已經(jīng)查清，假“埃爾沙”名下的電子郵箱服務器在德國，假“勞倫斯”的郵箱服務器位于莫斯科，騙子提供的電話號碼最后查到是一個在以色列注冊的網(wǎng)絡(luò)電話（Skype）賬號。斯庫勒公司的律師告訴FBI，最終拿到這筆錢的“大地公司”是一家制造軍靴的企業(yè)，該公司稱這筆銀行電匯是靴子銷售合同的一部分，但斯庫勒公司說并沒有購買靴子。就在FBI設(shè)法進行進一步調(diào)查時，這個賬戶已被注銷，資金也被轉(zhuǎn)走。FBI稱，斯庫勒公司只是“CEO郵件騙局”中數(shù)千家受害公司之一。

美國AF Global公司是一家大企業(yè)，涉足航空航天、石油和天然氣行業(yè)。2014年5月，財務主管格倫·烏姆收到了一封郵件。郵件以集團CEO杰安·斯塔爾卡普的口吻命令道：“我指定你管理T521文件，它需要嚴格保密，必須優(yōu)先于其他任務的財務操作。你有沒有聯(lián)系上畢馬威會計師事務所律師史蒂文·夏皮羅？”

烏姆遵照斯塔爾卡普不和任何人通氣的囑咐，直接將48萬美元匯到一個賬戶。六天后一個自稱為夏皮羅的人和烏姆取得聯(lián)系，在確認款項收到后再次要求匯款1800萬美元。這時烏姆產(chǎn)生了懷疑，表示在不提醒高管的情況下不能擅自轉(zhuǎn)走這么多錢。然而為時太晚，騙子的銀行賬戶早已注銷。以涉嫌違反合同為由，丘博保險公司拒絕了AF Global公司的索賠，該公司隨后起訴，但對方拒絕置評。

2015年元月，總部位于美國舊金山的線上支付公司Xoom Corp稱，一份監(jiān)管文件顯示財務部門的一名員工被騙，將公司的3080萬美元轉(zhuǎn)到騙子提供的海外賬戶中。

“Xoom Corp已經(jīng)建立起自己的先進科技系統(tǒng)來檢測每一筆交易，內(nèi)容包括測試合規(guī)性、反洗錢、可接受使用、反欺詐和風險下秒籌資?！盭oom的CEO約翰·孔策無不擔憂地說，“雖然我們一直在反欺詐轉(zhuǎn)賬方面卓有成效，并且將其列為公司的核心業(yè)務，但是Xoom公司已經(jīng)成為一個國際詐騙組織的目標。”

2015年6月，美國無線網(wǎng)絡(luò)產(chǎn)品制造商UBNT優(yōu)博通（Ubiquiti Networks）的財務部門被冒牌高管欺騙，把4670萬美元匯到海外賬戶中，提起訴訟后已挽回810萬美元的損失。

UBNT優(yōu)博通總部位于加利福尼亞州，是一家國際網(wǎng)絡(luò)設(shè)備供應公司，設(shè)計、開發(fā)和銷售適合網(wǎng)絡(luò)運營商、大型代工生產(chǎn)商（Original Equipment Manufacturer，OEM）、無線互聯(lián)網(wǎng)服務提供商和軍事應用的無線寬帶設(shè)備。它所設(shè)計的全功能無線超寬帶產(chǎn)品面世以后，以嚴謹?shù)脑O(shè)計工藝、穩(wěn)定可靠的質(zhì)量、超強的性能和超乎想象的價格等特點迅速在全球形成轟動性效應。

識破騙局 跟蹤追擊

FBI互聯(lián)網(wǎng)犯罪投訴中心公布的數(shù)據(jù)表明，遭遇“CEO郵件騙局”的案件越來越多，全球受害企業(yè)超過1.2萬家，平均每家損失12萬美元，損失最嚴重的企業(yè)甚至向境外的匯款高達9000萬美元。至于那些給騙子轉(zhuǎn)了5萬美元的小公司，結(jié)局就更慘了：它們因為這些欺詐行為可能再也發(fā)不出工資，只能關(guān)門大吉。

普華永道會計師事務所 （ price water house coopers ，PWC）是世界上頂級的會計師事務所之一，它2014年的信息安全漏洞報告指出，在互聯(lián)網(wǎng)上遭到過外部攻擊的大型企業(yè)和小企業(yè)分別達到57%和16%，受到?jīng)_擊和威脅的企業(yè)越來越多。犯罪分子通常操縱受害者將錢轉(zhuǎn)到他們暗中控制的亞洲或非洲的銀行賬戶，當企業(yè)意識到被騙時，巨款往往一去不返。迄今為止，F(xiàn)BI已對涉案資金追蹤至108個國家。

“此事已完全失控了，騙子越來越囂張。罪犯通過引入律師事務所或法律顧問等第三方實施欺詐，讓受害者面對的情況變得更復雜、更隱蔽。”FBI金融網(wǎng)絡(luò)犯罪工作組特工米切爾·湯普森強調(diào)道，“商業(yè)電子郵件欺詐是個很嚴重的問題，因為企業(yè)高管們非常依賴電子郵件，而且他們沒有拿起電話確認交易或進行仔細檢查的習慣。”

在“CEO郵件騙局”中，罪犯用偽造的CEO首席執(zhí)行官電子郵箱賬戶發(fā)郵件指示員工將錢匯往境外銀行戶頭。犯罪分子在行騙時采取各種策略：或者通過釣魚電子郵件賬戶入侵內(nèi)部網(wǎng)絡(luò)，以便獲取高管的郵箱信息；或者為了迷惑受害者，利用與公司官方電子郵件地址只相差一個字母的冒牌郵箱，粗心的受害者往往被設(shè)計巧妙的虛假地址所欺騙；或者使用多種社交媒體，用發(fā)送垃圾郵件的方法來確定CEO在不在辦公室，或在臉譜網(wǎng)上觀察CEO什么時候出國辦事，以此確定最佳的作案時間。

犯罪行騙的時間也很有講究，大都冒充CEO的身份選擇上午9點到10點向財務人員發(fā)出指示。這個時間段最為忙碌，他們常常需要處理多封郵件和好幾個電話。面臨緊迫感造成的巨大壓力，財務人員難以對高層的命令提出質(zhì)疑，思考這件事是否不同尋常，只能不假思索地迅速行動。這是此類網(wǎng)絡(luò)釣魚欺詐的共同特點。

“通過互聯(lián)網(wǎng)詐騙錢財?shù)氖址ú⒉恍迈r，有的犯罪集團曾經(jīng)利用交友網(wǎng)站，從賑災籌款活動或恐怖襲擊捐款中獲利。還記得10年前，告知人們中獎的詐騙郵件鋪天蓋地?！盕BI反洗錢部門主管詹姆斯·巴納克爾表示，“犯罪分子沒有國界，這是個全球問題。我們正在動用我們的刑事調(diào)查資源、網(wǎng)絡(luò)資源和在海外的法律專員，并且和世界各地的外國合作伙伴合作，努力應對這個犯罪問題。過去一年中，F(xiàn)BI與情報分析人員和全球執(zhí)法機構(gòu)建立了合作關(guān)系，但是沒有足夠的警力在互聯(lián)網(wǎng)上監(jiān)控犯罪分子?！?/p>

FBI從不同的冒充CEO詐騙案中發(fā)現(xiàn)一些詐騙手段看起來十分相似，不過目前仍不清楚是否存在一個領(lǐng)頭的全球詐騙集團。此類詐騙案數(shù)量增加，部分可能要歸因于企業(yè)發(fā)覺了這種犯罪行為。與此同時也反映出這種騙術(shù)十分簡單，只需要一臺電腦就夠了，可以從全球任何地方發(fā)起。“企業(yè)需要提高警惕，能否將騙子拒之門外主要取決于公司如何保護自己?！泵绹y行家協(xié)會負責支付和網(wǎng)絡(luò)安全的高級副總裁道格·約翰遜提醒道，“轉(zhuǎn)賬前需要至少兩名員工批準，必須作為一種正常的做法堅持下去。”

微軟公司正在更新其電子郵件客戶端，試圖更快識別出惡意電子郵件并提醒用戶。目前，這一行動已取得部分進展，檢測冒名郵件的成功率提高了500%。微軟CEO薩提亞·納德爾拉說，該公司已增加在安全方面的預算，并在2015年額外聘請了20%的員工，專門處理安全威脅。

美國密蘇里州大學的安全研究員喬希·里卡德近日開發(fā)了一個微軟Outlook郵件客戶端的內(nèi)嵌“釣魚郵件報告工具”，在Outlook操作菜單上增加了一個新的按鈕。用戶可以在 Outlook郵件客戶端上將他們認為是釣魚攻擊的郵件或者是垃圾郵件一鍵進行轉(zhuǎn)發(fā)操作，發(fā)送到預先設(shè)定的收件人郵箱（可以是公司的安全研究人員的或者事件響應小組），以便最大限度地保存釣魚郵件現(xiàn)場數(shù)據(jù)，更好地對疑似郵件進行分析，及時做出合理判斷及處置。

“釣魚郵件報告工具”通過聯(lián)動用戶，保存原始現(xiàn)場信息，特別是重要的郵件頭信息，大大增強安全事件的預防及響應處理能力。很多時候網(wǎng)絡(luò)釣魚事件已經(jīng)發(fā)生了，但對用戶收到的釣魚郵件進行分析仍然存在一定的難度。因為一般用戶都是直接將疑似釣魚郵件直接轉(zhuǎn)發(fā)給公司的安全人員，這樣一來破壞了原來的郵件頭信息，干擾了分析工作。

從1995年開始出現(xiàn)釣魚攻擊以來，很多之所以能成功，往往是通過郵件實施的。而從2014年至今，對大型企業(yè)進行的調(diào)研表明，有大概50%的員工會點擊釣魚郵件的鏈接或者打開附件。所以保持與公司員工的及時溝通，從技術(shù)層面上建立反饋機制，是一個較好的響應方案。

編輯：鄭賓 393758162@qq.com