李忠東

“CEO郵件騙局”愈演愈烈

據(jù)英國《金融時報》報道，美國聯(lián)邦調(diào)查局（FBI）發(fā)現(xiàn)，近年來“商業(yè)電子郵件犯罪”正在以驚人的速度增加。在兩年多的時間里，一種偽造首席執(zhí)行官（CEO）電子郵箱賬戶的騙局在全世界蔓延。從2013年10月到2015年8月，全球因這種騙術(shù)蒙受的損失約為12億美元，而從2015年9月至2016年2月又增加了8億美元。

美國斯庫勒公司（Scoular）是一家有124年歷史的糧食貿(mào)易公司，擁有59億美元資產(chǎn)。2014年6月，公司財務(wù)總監(jiān)基思·麥克默特里收到CEO查克·埃爾沙發(fā)來的絕密電子郵件，要求他給一個離岸銀行賬戶匯款1720萬美元。埃爾沙告訴麥克默特里，公司正在為收購一家中國企業(yè)進(jìn)行談判，囑咐他聯(lián)系畢馬威會計師事務(wù)所的律師羅德尼·勞倫斯，由對方提供匯款賬戶?！拔覀冃枰蛑袊故咀銐虻膶嵙??！卑柹吃陔娮余]件中寫道，“基思，我不會忘記你在此次交易中的專業(yè)表現(xiàn)，我將很快向你表達(dá)謝意?！?個交易日后，麥克默特里將1720萬美元轉(zhuǎn)到了上海浦東發(fā)展銀行戶名為“大地公司”的賬戶中。然而讓他絕對沒有想到的是，這封電子郵件是偽造的。罪犯冒充埃爾沙創(chuàng)建了電子郵件賬戶，并以畢馬威合伙人的名義虛構(gòu)了郵箱和電話號碼。勞倫斯律師聲稱從未聽說過“大地公司”，和這家企業(yè)根本沒有聯(lián)系。

麥克默特里告訴FBI，自己當(dāng)時之所以沒有起疑心，一是斯庫勒公司的確正在考慮向中國市場發(fā)展，二是年度審計工作也一直由畢馬威會計師事務(wù)所進(jìn)行，三是假的“埃爾沙”特意在郵件中囑咐任務(wù)非常敏感，需要嚴(yán)格保密，稱“為了避免違反美國證券交易監(jiān)督委員會的規(guī)定，請只和我通過郵件交流”。

FBI已經(jīng)查清，假 “埃爾沙”名下的電子郵箱服務(wù)器在德國，假“勞倫斯”的郵箱服務(wù)器位于莫斯科，騙子提供的電話號碼最后查到是一個在以色列注冊的網(wǎng)絡(luò)電話（Skype）賬號。斯庫勒公司的律師告訴FBI，最終拿到這筆錢的“大地公司”是一家制造軍靴的企業(yè)，該公司稱這筆銀行電匯是靴子銷售合同的一部分，但斯庫勒公司說并沒有購買靴子。就在FBI設(shè)法進(jìn)行進(jìn)一步調(diào)查時，這個賬戶已被注銷，資金也被轉(zhuǎn)走。FBI稱，斯庫勒公司只是“CEO郵件騙局”中數(shù)千家受害公司之一。

美國AF Global公司是一家涉足航空航天、石油和天然氣行業(yè)的大企業(yè)。2014年5月，財務(wù)主管格倫·烏姆收到一封郵件，郵件以集團(tuán)CEO杰安·斯塔爾卡普的口吻命令道：“我指定你管理T521文件，它需要嚴(yán)格保密，必須優(yōu)先于其他任務(wù)的財務(wù)操作……”烏姆遵照斯塔爾卡普不和任何人通氣的囑咐，直接將48萬美元匯到一個賬戶。6天后一個自稱為夏皮羅的人和烏姆取得聯(lián)系，在確認(rèn)款項收到后要求再次匯款1800萬美元。這時烏姆產(chǎn)生了懷疑，表示在不提醒高管的情況下不能擅自轉(zhuǎn)走這么多錢。然而為時晚矣，騙子的銀行賬戶早已注銷。

2015年元月，總部位于舊金山的線上支付公司Xoom Corp稱，一份監(jiān)管文件顯示財務(wù)部門的一名員工被騙，將公司的3080萬美元轉(zhuǎn)到騙子提供的海外賬戶中。

“Xoom Corp已經(jīng)建立起自己的先進(jìn)科技系統(tǒng)來檢測每一筆交易，內(nèi)容包括測試合規(guī)性、反洗錢、可接受使用、反欺詐和風(fēng)險下秒籌資?！盭oom的CEO約翰·孔策不無擔(dān)憂地說，“雖然我們一直在識別、防止欺詐轉(zhuǎn)賬方面富于經(jīng)驗，并且將其列為公司的核心業(yè)務(wù)，但Xoom公司已經(jīng)成為國際詐騙組織的一個目標(biāo)，而這對于要識破防不勝防的詐騙來說，已經(jīng)足夠復(fù)雜了。”

2015年6月，美國無線網(wǎng)絡(luò)產(chǎn)品制造商優(yōu)博通（UBNT）的財務(wù)部門被冒牌高管欺騙，把4670萬美元匯到海外賬戶中。

FBI互聯(lián)網(wǎng)犯罪投訴中心公布的數(shù)據(jù)表明，遭遇“CEO郵件騙局”的案件越來越多，全球受害企業(yè)超過1.2萬家，平均每家損失12萬美元，損失最嚴(yán)重的企業(yè)甚至向境外的匯款高達(dá)9000萬美元。至于那些給騙子轉(zhuǎn)了5萬美元的小公司，結(jié)局就更慘了，可能再也發(fā)不出工資，只能關(guān)門大吉。

世界頂級會計師事務(wù)所之一的普華永道會計師事務(wù)所2014年的信息安全漏洞報告指出，在互聯(lián)網(wǎng)上遭遇外部攻擊的大型企業(yè)和小企業(yè)分別達(dá)到57%和16%，受到?jīng)_擊和威脅的企業(yè)越來越多。犯罪分子通常操縱受害者將錢轉(zhuǎn)到他們暗中控制的在亞洲或非洲的銀行賬戶上，當(dāng)企業(yè)意識到被騙時，巨款早已無法追回。迄今為止，F(xiàn)BI已針對涉案資金追蹤至108個國家。

“此事已完全失控了，騙子越來越囂張。罪犯通過引入律師事務(wù)所或法律顧問等第三方實施欺詐，讓受害者面對的情況變得更復(fù)雜、更隱蔽。”FBI金融網(wǎng)絡(luò)犯罪工作組特工米切爾·湯普森強(qiáng)調(diào)道，“商業(yè)電子郵件欺詐是個很嚴(yán)重的問題，因為企業(yè)高管們非常依賴電子郵件，而且他們沒有拿起電話確認(rèn)交易或進(jìn)行仔細(xì)檢查的習(xí)慣。”

在 “CEO郵件騙局”中，犯罪分子行騙時會采取各種策略：或者通過釣魚電子郵件賬戶入侵內(nèi)部網(wǎng)絡(luò)，以便獲取高管的郵箱信息；或者為了迷惑受害者，利用與公司官方電子郵件地址只相差一個字母的冒牌郵箱，粗心的受害者往往被設(shè)計巧妙的虛假地址所欺騙；或者使用多種社交媒體，用發(fā)送垃圾郵件的方法來確定CEO是否在辦公室，或在Facebook上觀察CEO的出行時間，以此確定最佳作案時機(jī)。犯罪行騙的時間也很有講究，冒充者們大都選擇上午9點到10點向財務(wù)人員發(fā)出指示。這個時間段最為忙碌，財務(wù)人員常常需要處理多封郵件和若干個電話，緊迫感造成的巨大壓力使得財務(wù)人員沒時間質(zhì)疑來自“高層”的命令，通常是不假思索地迅速執(zhí)行。這是此類網(wǎng)絡(luò)欺詐最喜歡鉆的空子。

“通過互聯(lián)網(wǎng)詐騙錢財?shù)氖址ú⒉恍迈r，有的犯罪集團(tuán)曾經(jīng)利用交友網(wǎng)站，從賑災(zāi)籌款或恐襲災(zāi)難捐款活動中獲利。還記得10年前，告知人們中獎的詐騙郵件鋪天蓋地?！盕BI反洗錢部門主管詹姆斯·巴納克爾表示，“犯罪分子沒有國界，這是個全球性問題。我們正在動用我們的刑事調(diào)查資源、網(wǎng)絡(luò)資源和在海外的法律專員，努力應(yīng)對網(wǎng)絡(luò)犯罪問題。過去一年中，F(xiàn)BI與情報分析人員同全球執(zhí)法機(jī)構(gòu)建立了合作關(guān)系，但是沒有足夠的警力在互聯(lián)網(wǎng)上監(jiān)控犯罪分子?！?

FBI從不同的冒充CEO詐騙案中發(fā)現(xiàn)，一些詐騙手段看起來十分相似，不過目前仍不清楚是否存在一個領(lǐng)頭的全球詐騙集團(tuán)?！捌髽I(yè)需要提高警惕，能否將騙子拒之門外主要取決于公司如何保護(hù)自己。”美國銀行家協(xié)會負(fù)責(zé)支付和網(wǎng)絡(luò)安全的高級副總裁道格·約翰遜提醒道，“轉(zhuǎn)賬前需要至少兩名員工批準(zhǔn)，必須作為一種正常的做法堅持下去。”

微軟公司正在更新其電子郵件客戶端，試圖更快識別出惡意電子郵件并提醒用戶。目前這一行動已取得部分進(jìn)展，檢測冒名郵件的成功率提高了500%。美國密蘇里州大學(xué)的安全研究員喬?！だ锟ǖ?015年11月開發(fā)了一個微軟Outlook郵件客戶端的內(nèi)嵌“釣魚郵件報告工具”（Phish Reporter），在Outlook操作菜單上增加了一個新的按鈕。用戶可以在客戶端上將他們認(rèn)為是釣魚攻擊的郵件或垃圾郵件進(jìn)行一鍵轉(zhuǎn)發(fā)操作，發(fā)送到預(yù)先設(shè)定的收件人郵箱（公司安全研究人員或者事件響應(yīng)小組的郵箱），以便最大限度地保存釣魚郵件的現(xiàn)場數(shù)據(jù)，更好地對疑似郵件進(jìn)行分析，及時做出合理的判斷和處置。

2014年至今，對各大型企業(yè)進(jìn)行的調(diào)研表明，有約50%的員工會點擊釣魚郵件的鏈接或者打開附件，而且一般用戶都是將疑似釣魚郵件轉(zhuǎn)發(fā)給公司的安全人員，這樣一來就破壞了郵件頭信息，干擾了分析工作。因此從技術(shù)層面上建立反饋機(jī)制，是一個較好的應(yīng)對方案?！搬烎~郵件報告工具”通過聯(lián)動用戶，保存原始現(xiàn)場信息，特別是重要的郵件頭信息，大大增強(qiáng)了安全事件的預(yù)防及響應(yīng)處理能力。

跨國黑客“網(wǎng)絡(luò)盜竊”猖獗

國際刑事警察組織（ICPO）指出，跨國詐騙集團(tuán)利用偽造信用卡在ATM機(jī)上大量取現(xiàn)的案件近年來時有發(fā)生。在這類案件中，犯罪嫌疑人從利用計算機(jī)病毒感染金融機(jī)構(gòu)的計算機(jī)系統(tǒng)入手，進(jìn)而偽造戶頭從ATM機(jī)上提取現(xiàn)金。

2016年5月15日早晨，日本100多名竊賊使用1600多張偽造信用卡從自動取款機(jī)上取走14億日元現(xiàn)金。據(jù)日本警方介紹，犯罪嫌疑人來自跨國詐騙組織。警察在調(diào)取事發(fā)地點監(jiān)控視頻進(jìn)行分析后發(fā)現(xiàn)，取第一筆款的時間為凌晨5時左右，8時以前取出最后一筆款項。竊賊在這期間利用偽造的1600多張信用卡，從分布在東京和16個縣的大約1400家便利店的ATM機(jī)上取現(xiàn)14000次，每次取現(xiàn)金額為取款上限10萬日元。事發(fā)當(dāng)天是星期天，銀行不營業(yè)，也就未能及時發(fā)現(xiàn)并采取措施。

犯罪分子使用的偽造信用卡信息來自南非標(biāo)準(zhǔn)銀行，日本警方已通過ICPO與南非方面展開合作，包括調(diào)查該銀行客戶的信用卡信息是如何泄露的?！斑@場有組織的詐騙案精心謀劃，我們也是其中的受害者?！痹撱y行發(fā)表聲明說。6月初，日本警方逮捕了這起“閃電取現(xiàn)”大案的部分犯罪嫌疑人。

最早發(fā)現(xiàn)黑客“搶銀行”是在2013年下半年，烏克蘭出現(xiàn)ATM機(jī)無故吐錢事件。當(dāng)時的監(jiān)控錄像顯示，在沒有插入銀行卡或觸碰按鈕的情況下，基輔一臺ATM機(jī)竟會時不時自動吐出現(xiàn)金，并且有人“準(zhǔn)時”待在機(jī)器前將錢取走。

知名的反病毒機(jī)構(gòu)卡巴斯基實驗室（Kaspersky Lab）2015年2月發(fā)表的一份報告說，一個跨國黑客團(tuán)伙專門針對全球約30個國家和地區(qū)的100多家銀行和金融企業(yè)發(fā)起網(wǎng)絡(luò)攻擊，并盜取銀行賬戶資金。美國、歐盟、日本等均深受其害，迄今已損失高達(dá)10億美元。這是全球銀行業(yè)涉案金額最高、波及范圍最廣的“網(wǎng)絡(luò)盜竊行為”之一，案件的嚴(yán)重性在于黑客襲擊的對象是銀行本身而非銀行的終端用戶，目的是沖著錢來而不是獲取資料或情報。罪犯進(jìn)行網(wǎng)絡(luò)盜竊的手段非常熟練和職業(yè)化，銀行無論使用的是什么防護(hù)軟件對他們來說都沒有差別。

接到協(xié)查請求后，卡巴斯基實驗室派員深入調(diào)查，發(fā)現(xiàn)這只是一起“網(wǎng)絡(luò)盜竊”驚天大案的一部分。這個犯罪團(tuán)伙由來自亞洲和歐洲多個國家的黑客組成，從2013年年底起開始作案，利用一種名為“Carbanak”的病毒入侵諸多金融企業(yè)。這款病毒軟件相當(dāng)危險，在攫得盜取資金的賬號信息的同時，還入侵銀行系統(tǒng)管理員賬號，使犯罪分子獲得權(quán)限，通過內(nèi)部視頻監(jiān)控鏡頭觀察員工的一舉一動。

黑客的作案手法首先是向銀行系統(tǒng)員工發(fā)送看上去來自于可信賴渠道的病毒郵件，被點擊打開后，病毒開始入侵內(nèi)部系統(tǒng)，讓黑客得以進(jìn)入整個銀行網(wǎng)絡(luò)。犯罪分子在“潛伏”數(shù)月后對銀行業(yè)務(wù)操作逐漸熟悉，便模仿銀行員工的手法將資金轉(zhuǎn)移到一些虛假賬戶，或者通過程序操控ATM機(jī)在指定時間吐錢。為防止銀行方面立即發(fā)現(xiàn)，狡猾的犯罪分子還會修改報表，盜走差額部分；并且采取分散作案的辦法，從每家銀行竊取的資金不超過1000萬美元，以保持較低的案值。

目前ATM機(jī)的狀況也很令人擔(dān)憂。由于很多ATM機(jī)本身的關(guān)鍵部分缺乏物理安全防護(hù)，或者大量使用了過時的、不安全的軟件，抑或網(wǎng)絡(luò)設(shè)置存在問題，因此網(wǎng)絡(luò)罪犯在很多情況下并不需要使用惡意軟件感染ATM機(jī)，也不必入侵銀行的網(wǎng)絡(luò)就可以成功進(jìn)行攻擊。許多銀行ATM機(jī)的建造和安裝并不合理，可以讓第三方訪問到ATM機(jī)內(nèi)部的計算機(jī)，或者利用網(wǎng)線將設(shè)備連接到互聯(lián)網(wǎng)。網(wǎng)絡(luò)罪犯獲取到部分ATM機(jī)的物理訪問權(quán)限之后，就可能在其內(nèi)部安裝特殊的微型計算機(jī)（又被稱為“黑盒子”），讓攻擊者可以遠(yuǎn)程訪問ATM機(jī)，或者將ATM機(jī)連接到假冒的銀行處理中心（一種處理支付數(shù)據(jù)的軟件），這樣攻擊者無論發(fā)送任何指令，ATM機(jī)都會執(zhí)行。

無獨有偶，孟加拉國中央銀行在美國紐約聯(lián)邦儲備銀行開設(shè)的賬戶2016年2月遭黑客攻擊，失竊8100萬美元。失竊資金經(jīng)菲律賓黎剎商業(yè)銀行幾次分批中轉(zhuǎn)后，消失得無影無蹤。其中大約2900萬美元被轉(zhuǎn)入馬尼拉布隆貝里集團(tuán)所屬的菲索萊雷賭場的銀行賬戶，2100萬美元轉(zhuǎn)入菲律賓北部卡加延省一家賭場的運營商賬戶，其余3000多萬美元分?jǐn)?shù)天轉(zhuǎn)入一名賭團(tuán)中介商的賬戶，并以現(xiàn)金形式取出。

2月5日（孟加拉國雙休日的第一天），孟加拉國中央銀行員工發(fā)現(xiàn)一臺用于自動打印所有環(huán)球同業(yè)銀行金融電訊協(xié)會（SWIFT）電匯記錄的打印機(jī)發(fā)生“故障”，而且前一天的交易記錄也沒有打印，于是嘗試手動打印，也失敗了。此時紐約聯(lián)邦儲備銀行已就四筆可疑轉(zhuǎn)賬來函詢問，卻無法及時打印。當(dāng)銀行員工試圖操作那臺用于發(fā)送SWIFT信息的電腦時，電腦屏幕卻顯示，用于打印或輸出的NROFF.EXE文件“消失或被更改”。意識到SWIFT的跨行聯(lián)絡(luò)系統(tǒng)不正常后，孟加拉國央行2月6日下午1時30分向紐約聯(lián)邦儲備銀行發(fā)去一封電子郵件，要求中止所有支付進(jìn)程。然而當(dāng)天是周六，沒能聯(lián)系上。2月8日下午SWIFT的跨行聯(lián)絡(luò)系統(tǒng)恢復(fù)正常工作后，孟加拉國央行將多條消息發(fā)送給黎剎商業(yè)銀行，要求中止轉(zhuǎn)賬并退還失竊資金?？墒堑诙煲辉纾嚓P(guān)賬戶在73分鐘內(nèi)被人5次提取。當(dāng)天晚些時候黎剎商業(yè)銀行回復(fù)孟加拉國央行時，8100萬美元只剩下6.8萬多美元。調(diào)查人員估計，黑客是在2月4日至5日對孟加拉國央行在紐約聯(lián)邦儲備銀行的賬戶發(fā)動攻擊并進(jìn)行非法轉(zhuǎn)賬的，他們利用兩地各自的休息時間打了個時間差。

孟加拉國央行懷疑，黑客事先給央行的一臺打印機(jī)植入木馬病毒，造成看似平常的“故障”，導(dǎo)致央行沒能及時察覺這起震驚全球金融界的盜竊案。黑客不但操縱了用于SWIFT國際電匯的電腦和打印機(jī)，而且還通過木馬病毒竊取了央行用于SWIFT跨行聯(lián)絡(luò)的系統(tǒng)，致使執(zhí)法人員既看不到往外電匯的申請，也看不到證明匯款成功的收據(jù)。

這起黑客竊案拉響了孟加拉國270多億美元外匯儲備的安全警報，孟加拉國央行行長3月15日引咎辭職，兩名副行長同一天被解職。

截至目前，孟加拉國已查明了盜竊者的身份：有近20名黑客參與了整個盜竊活動，均為外國人，此前曾住在日本、菲律賓和斯里蘭卡。據(jù)悉這些罪犯曾試圖竊取孟加拉國央行存在紐約聯(lián)邦儲蓄銀行中的10億美元，但被成功阻止。孟加拉國當(dāng)局暫時還無法追回這筆資金。