李忠東

“CEO郵件騙局”愈演愈烈

據(jù)英國《金融時(shí)報(bào)》報(bào)道，美國聯(lián)邦調(diào)查局（FBI）發(fā)現(xiàn)，近年來“商業(yè)電子郵件犯罪”正在以驚人的速度增加。在兩年多的時(shí)間里，一種偽造首席執(zhí)行官（CEO）電子郵箱賬戶的騙局在全世界蔓延。從2013年10月到2015年8月，全球因這種騙術(shù)蒙受的損失約為12億美元，而從2015年9月至2016年2月又增加了8億美元。

美國斯庫勒公司（Scoular）是一家有124年歷史的糧食貿(mào)易公司，擁有59億美元資產(chǎn)。2014年6月，公司財(cái)務(wù)總監(jiān)基思·麥克默特里收到CEO查克·埃爾沙發(fā)來的絕密電子郵件，要求他給一個(gè)離岸銀行賬戶匯款1720萬美元。埃爾沙告訴麥克默特里，公司正在為收購一家中國企業(yè)進(jìn)行談判，囑咐他聯(lián)系畢馬威會(huì)計(jì)師事務(wù)所的律師羅德尼·勞倫斯，由對(duì)方提供匯款賬戶?！拔覀冃枰蛑袊故咀銐虻膶?shí)力?！卑柹吃陔娮余]件中寫道，“基思，我不會(huì)忘記你在此次交易中的專業(yè)表現(xiàn)，我將很快向你表達(dá)謝意。”3個(gè)交易日后，麥克默特里將1720萬美元轉(zhuǎn)到了上海浦東發(fā)展銀行戶名為“大地公司”的賬戶中。然而讓他絕對(duì)沒有想到的是，這封電子郵件是偽造的。罪犯冒充埃爾沙創(chuàng)建了電子郵件賬戶，并以畢馬威合伙人的名義虛構(gòu)了郵箱和電話號(hào)碼。勞倫斯律師聲稱從未聽說過“大地公司”，和這家企業(yè)根本沒有聯(lián)系。

麥克默特里告訴FBI，自己當(dāng)時(shí)之所以沒有起疑心，一是斯庫勒公司的確正在考慮向中國市場(chǎng)發(fā)展，二是年度審計(jì)工作也一直由畢馬威會(huì)計(jì)師事務(wù)所進(jìn)行，三是假的“埃爾沙”特意在郵件中囑咐任務(wù)非常敏感，需要嚴(yán)格保密，稱“為了避免違反美國證券交易監(jiān)督委員會(huì)的規(guī)定，請(qǐng)只和我通過郵件交流”。

FBI已經(jīng)查清，假 “埃爾沙”名下的電子郵箱服務(wù)器在德國，假“勞倫斯”的郵箱服務(wù)器位于莫斯科，騙子提供的電話號(hào)碼最后查到是一個(gè)在以色列注冊(cè)的網(wǎng)絡(luò)電話（Skype）賬號(hào)。斯庫勒公司的律師告訴FBI，最終拿到這筆錢的“大地公司”是一家制造軍靴的企業(yè)，該公司稱這筆銀行電匯是靴子銷售合同的一部分，但斯庫勒公司說并沒有購買靴子。就在FBI設(shè)法進(jìn)行進(jìn)一步調(diào)查時(shí)，這個(gè)賬戶已被注銷，資金也被轉(zhuǎn)走。FBI稱，斯庫勒公司只是“CEO郵件騙局”中數(shù)千家受害公司之一。

美國AF Global公司是一家涉足航空航天、石油和天然氣行業(yè)的大企業(yè)。2014年5月，財(cái)務(wù)主管格倫·烏姆收到一封郵件，郵件以集團(tuán)CEO杰安·斯塔爾卡普的口吻命令道：“我指定你管理T521文件，它需要嚴(yán)格保密，必須優(yōu)先于其他任務(wù)的財(cái)務(wù)操作……”烏姆遵照斯塔爾卡普不和任何人通氣的囑咐，直接將48萬美元匯到一個(gè)賬戶。6天后一個(gè)自稱為夏皮羅的人和烏姆取得聯(lián)系，在確認(rèn)款項(xiàng)收到后要求再次匯款1800萬美元。這時(shí)烏姆產(chǎn)生了懷疑，表示在不提醒高管的情況下不能擅自轉(zhuǎn)走這么多錢。然而為時(shí)晚矣，騙子的銀行賬戶早已注銷。

2015年元月，總部位于舊金山的線上支付公司Xoom Corp稱，一份監(jiān)管文件顯示財(cái)務(wù)部門的一名員工被騙，將公司的3080萬美元轉(zhuǎn)到騙子提供的海外賬戶中。

“Xoom Corp已經(jīng)建立起自己的先進(jìn)科技系統(tǒng)來檢測(cè)每一筆交易，內(nèi)容包括測(cè)試合規(guī)性、反洗錢、可接受使用、反欺詐和風(fēng)險(xiǎn)下秒籌資。”Xoom的CEO約翰·孔策不無擔(dān)憂地說，“雖然我們一直在識(shí)別、防止欺詐轉(zhuǎn)賬方面富于經(jīng)驗(yàn)，并且將其列為公司的核心業(yè)務(wù)，但Xoom公司已經(jīng)成為國際詐騙組織的一個(gè)目標(biāo)，而這對(duì)于要識(shí)破防不勝防的詐騙來說，已經(jīng)足夠復(fù)雜了。”

2015年6月，美國無線網(wǎng)絡(luò)產(chǎn)品制造商優(yōu)博通（UBNT）的財(cái)務(wù)部門被冒牌高管欺騙，把4670萬美元匯到海外賬戶中。

FBI互聯(lián)網(wǎng)犯罪投訴中心公布的數(shù)據(jù)表明，遭遇“CEO郵件騙局”的案件越來越多，全球受害企業(yè)超過1.2萬家，平均每家損失12萬美元，損失最嚴(yán)重的企業(yè)甚至向境外的匯款高達(dá)9000萬美元。至于那些給騙子轉(zhuǎn)了5萬美元的小公司，結(jié)局就更慘了，可能再也發(fā)不出工資，只能關(guān)門大吉。

世界頂級(jí)會(huì)計(jì)師事務(wù)所之一的普華永道會(huì)計(jì)師事務(wù)所2014年的信息安全漏洞報(bào)告指出，在互聯(lián)網(wǎng)上遭遇外部攻擊的大型企業(yè)和小企業(yè)分別達(dá)到57%和16%，受到?jīng)_擊和威脅的企業(yè)越來越多。犯罪分子通常操縱受害者將錢轉(zhuǎn)到他們暗中控制的在亞洲或非洲的銀行賬戶上，當(dāng)企業(yè)意識(shí)到被騙時(shí)，巨款早已無法追回。迄今為止，F(xiàn)BI已針對(duì)涉案資金追蹤至108個(gè)國家。

“此事已完全失控了，騙子越來越囂張。罪犯通過引入律師事務(wù)所或法律顧問等第三方實(shí)施欺詐，讓受害者面對(duì)的情況變得更復(fù)雜、更隱蔽?！盕BI金融網(wǎng)絡(luò)犯罪工作組特工米切爾·湯普森強(qiáng)調(diào)道，“商業(yè)電子郵件欺詐是個(gè)很嚴(yán)重的問題，因?yàn)槠髽I(yè)高管們非常依賴電子郵件，而且他們沒有拿起電話確認(rèn)交易或進(jìn)行仔細(xì)檢查的習(xí)慣?！?/p>

在 “CEO郵件騙局”中，犯罪分子行騙時(shí)會(huì)采取各種策略：或者通過釣魚電子郵件賬戶入侵內(nèi)部網(wǎng)絡(luò)，以便獲取高管的郵箱信息；或者為了迷惑受害者，利用與公司官方電子郵件地址只相差一個(gè)字母的冒牌郵箱，粗心的受害者往往被設(shè)計(jì)巧妙的虛假地址所欺騙；或者使用多種社交媒體，用發(fā)送垃圾郵件的方法來確定CEO是否在辦公室，或在Facebook上觀察CEO的出行時(shí)間，以此確定最佳作案時(shí)機(jī)。犯罪行騙的時(shí)間也很有講究，冒充者們大都選擇上午9點(diǎn)到10點(diǎn)向財(cái)務(wù)人員發(fā)出指示。這個(gè)時(shí)間段最為忙碌，財(cái)務(wù)人員常常需要處理多封郵件和若干個(gè)電話，緊迫感造成的巨大壓力使得財(cái)務(wù)人員沒時(shí)間質(zhì)疑來自“高層”的命令，通常是不假思索地迅速執(zhí)行。這是此類網(wǎng)絡(luò)欺詐最喜歡鉆的空子。

“通過互聯(lián)網(wǎng)詐騙錢財(cái)?shù)氖址ú⒉恍迈r，有的犯罪集團(tuán)曾經(jīng)利用交友網(wǎng)站，從賑災(zāi)籌款或恐襲災(zāi)難捐款活動(dòng)中獲利。還記得10年前，告知人們中獎(jiǎng)的詐騙郵件鋪天蓋地?！盕BI反洗錢部門主管詹姆斯·巴納克爾表示，“犯罪分子沒有國界，這是個(gè)全球性問題。我們正在動(dòng)用我們的刑事調(diào)查資源、網(wǎng)絡(luò)資源和在海外的法律專員，努力應(yīng)對(duì)網(wǎng)絡(luò)犯罪問題。過去一年中，F(xiàn)BI與情報(bào)分析人員同全球執(zhí)法機(jī)構(gòu)建立了合作關(guān)系，但是沒有足夠的警力在互聯(lián)網(wǎng)上監(jiān)控犯罪分子?！?

FBI從不同的冒充CEO詐騙案中發(fā)現(xiàn)，一些詐騙手段看起來十分相似，不過目前仍不清楚是否存在一個(gè)領(lǐng)頭的全球詐騙集團(tuán)?！捌髽I(yè)需要提高警惕，能否將騙子拒之門外主要取決于公司如何保護(hù)自己?！泵绹y行家協(xié)會(huì)負(fù)責(zé)支付和網(wǎng)絡(luò)安全的高級(jí)副總裁道格·約翰遜提醒道，“轉(zhuǎn)賬前需要至少兩名員工批準(zhǔn)，必須作為一種正常的做法堅(jiān)持下去?！?/p>

微軟公司正在更新其電子郵件客戶端，試圖更快識(shí)別出惡意電子郵件并提醒用戶。目前這一行動(dòng)已取得部分進(jìn)展，檢測(cè)冒名郵件的成功率提高了500%。美國密蘇里州大學(xué)的安全研究員喬希·里卡德2015年11月開發(fā)了一個(gè)微軟Outlook郵件客戶端的內(nèi)嵌“釣魚郵件報(bào)告工具”（Phish Reporter），在Outlook操作菜單上增加了一個(gè)新的按鈕。用戶可以在客戶端上將他們認(rèn)為是釣魚攻擊的郵件或垃圾郵件進(jìn)行一鍵轉(zhuǎn)發(fā)操作，發(fā)送到預(yù)先設(shè)定的收件人郵箱（公司安全研究人員或者事件響應(yīng)小組的郵箱），以便最大限度地保存釣魚郵件的現(xiàn)場(chǎng)數(shù)據(jù)，更好地對(duì)疑似郵件進(jìn)行分析，及時(shí)做出合理的判斷和處置。

2014年至今，對(duì)各大型企業(yè)進(jìn)行的調(diào)研表明，有約50%的員工會(huì)點(diǎn)擊釣魚郵件的鏈接或者打開附件，而且一般用戶都是將疑似釣魚郵件轉(zhuǎn)發(fā)給公司的安全人員，這樣一來就破壞了郵件頭信息，干擾了分析工作。因此從技術(shù)層面上建立反饋機(jī)制，是一個(gè)較好的應(yīng)對(duì)方案?！搬烎~郵件報(bào)告工具”通過聯(lián)動(dòng)用戶，保存原始現(xiàn)場(chǎng)信息，特別是重要的郵件頭信息，大大增強(qiáng)了安全事件的預(yù)防及響應(yīng)處理能力。

跨國黑客“網(wǎng)絡(luò)盜竊”猖獗

國際刑事警察組織（ICPO）指出，跨國詐騙集團(tuán)利用偽造信用卡在ATM機(jī)上大量取現(xiàn)的案件近年來時(shí)有發(fā)生。在這類案件中，犯罪嫌疑人從利用計(jì)算機(jī)病毒感染金融機(jī)構(gòu)的計(jì)算機(jī)系統(tǒng)入手，進(jìn)而偽造戶頭從ATM機(jī)上提取現(xiàn)金。

2016年5月15日早晨，日本100多名竊賊使用1600多張偽造信用卡從自動(dòng)取款機(jī)上取走14億日元現(xiàn)金。據(jù)日本警方介紹，犯罪嫌疑人來自跨國詐騙組織。警察在調(diào)取事發(fā)地點(diǎn)監(jiān)控視頻進(jìn)行分析后發(fā)現(xiàn)，取第一筆款的時(shí)間為凌晨5時(shí)左右，8時(shí)以前取出最后一筆款項(xiàng)。竊賊在這期間利用偽造的1600多張信用卡，從分布在東京和16個(gè)縣的大約1400家便利店的ATM機(jī)上取現(xiàn)14000次，每次取現(xiàn)金額為取款上限10萬日元。事發(fā)當(dāng)天是星期天，銀行不營業(yè)，也就未能及時(shí)發(fā)現(xiàn)并采取措施。

犯罪分子使用的偽造信用卡信息來自南非標(biāo)準(zhǔn)銀行，日本警方已通過ICPO與南非方面展開合作，包括調(diào)查該銀行客戶的信用卡信息是如何泄露的。“這場(chǎng)有組織的詐騙案精心謀劃，我們也是其中的受害者。”該銀行發(fā)表聲明說。6月初，日本警方逮捕了這起“閃電取現(xiàn)”大案的部分犯罪嫌疑人。

最早發(fā)現(xiàn)黑客“搶銀行”是在2013年下半年，烏克蘭出現(xiàn)ATM機(jī)無故吐錢事件。當(dāng)時(shí)的監(jiān)控錄像顯示，在沒有插入銀行卡或觸碰按鈕的情況下，基輔一臺(tái)ATM機(jī)竟會(huì)時(shí)不時(shí)自動(dòng)吐出現(xiàn)金，并且有人“準(zhǔn)時(shí)”待在機(jī)器前將錢取走。

知名的反病毒機(jī)構(gòu)卡巴斯基實(shí)驗(yàn)室（Kaspersky Lab）2015年2月發(fā)表的一份報(bào)告說，一個(gè)跨國黑客團(tuán)伙專門針對(duì)全球約30個(gè)國家和地區(qū)的100多家銀行和金融企業(yè)發(fā)起網(wǎng)絡(luò)攻擊，并盜取銀行賬戶資金。美國、歐盟、日本等均深受其害，迄今已損失高達(dá)10億美元。這是全球銀行業(yè)涉案金額最高、波及范圍最廣的“網(wǎng)絡(luò)盜竊行為”之一，案件的嚴(yán)重性在于黑客襲擊的對(duì)象是銀行本身而非銀行的終端用戶，目的是沖著錢來而不是獲取資料或情報(bào)。罪犯進(jìn)行網(wǎng)絡(luò)盜竊的手段非常熟練和職業(yè)化，銀行無論使用的是什么防護(hù)軟件對(duì)他們來說都沒有差別。

接到協(xié)查請(qǐng)求后，卡巴斯基實(shí)驗(yàn)室派員深入調(diào)查，發(fā)現(xiàn)這只是一起“網(wǎng)絡(luò)盜竊”驚天大案的一部分。這個(gè)犯罪團(tuán)伙由來自亞洲和歐洲多個(gè)國家的黑客組成，從2013年年底起開始作案，利用一種名為“Carbanak”的病毒入侵諸多金融企業(yè)。這款病毒軟件相當(dāng)危險(xiǎn)，在攫得盜取資金的賬號(hào)信息的同時(shí)，還入侵銀行系統(tǒng)管理員賬號(hào)，使犯罪分子獲得權(quán)限，通過內(nèi)部視頻監(jiān)控鏡頭觀察員工的一舉一動(dòng)。

黑客的作案手法首先是向銀行系統(tǒng)員工發(fā)送看上去來自于可信賴渠道的病毒郵件，被點(diǎn)擊打開后，病毒開始入侵內(nèi)部系統(tǒng)，讓黑客得以進(jìn)入整個(gè)銀行網(wǎng)絡(luò)。犯罪分子在“潛伏”數(shù)月后對(duì)銀行業(yè)務(wù)操作逐漸熟悉，便模仿銀行員工的手法將資金轉(zhuǎn)移到一些虛假賬戶，或者通過程序操控ATM機(jī)在指定時(shí)間吐錢。為防止銀行方面立即發(fā)現(xiàn)，狡猾的犯罪分子還會(huì)修改報(bào)表，盜走差額部分；并且采取分散作案的辦法，從每家銀行竊取的資金不超過1000萬美元，以保持較低的案值。

目前ATM機(jī)的狀況也很令人擔(dān)憂。由于很多ATM機(jī)本身的關(guān)鍵部分缺乏物理安全防護(hù)，或者大量使用了過時(shí)的、不安全的軟件，抑或網(wǎng)絡(luò)設(shè)置存在問題，因此網(wǎng)絡(luò)罪犯在很多情況下并不需要使用惡意軟件感染ATM機(jī)，也不必入侵銀行的網(wǎng)絡(luò)就可以成功進(jìn)行攻擊。許多銀行ATM機(jī)的建造和安裝并不合理，可以讓第三方訪問到ATM機(jī)內(nèi)部的計(jì)算機(jī)，或者利用網(wǎng)線將設(shè)備連接到互聯(lián)網(wǎng)。網(wǎng)絡(luò)罪犯獲取到部分ATM機(jī)的物理訪問權(quán)限之后，就可能在其內(nèi)部安裝特殊的微型計(jì)算機(jī)（又被稱為“黑盒子”），讓攻擊者可以遠(yuǎn)程訪問ATM機(jī)，或者將ATM機(jī)連接到假冒的銀行處理中心（一種處理支付數(shù)據(jù)的軟件），這樣攻擊者無論發(fā)送任何指令，ATM機(jī)都會(huì)執(zhí)行。

無獨(dú)有偶，孟加拉國中央銀行在美國紐約聯(lián)邦儲(chǔ)備銀行開設(shè)的賬戶2016年2月遭黑客攻擊，失竊8100萬美元。失竊資金經(jīng)菲律賓黎剎商業(yè)銀行幾次分批中轉(zhuǎn)后，消失得無影無蹤。其中大約2900萬美元被轉(zhuǎn)入馬尼拉布隆貝里集團(tuán)所屬的菲索萊雷賭場(chǎng)的銀行賬戶，2100萬美元轉(zhuǎn)入菲律賓北部卡加延省一家賭場(chǎng)的運(yùn)營商賬戶，其余3000多萬美元分?jǐn)?shù)天轉(zhuǎn)入一名賭團(tuán)中介商的賬戶，并以現(xiàn)金形式取出。

2月5日（孟加拉國雙休日的第一天），孟加拉國中央銀行員工發(fā)現(xiàn)一臺(tái)用于自動(dòng)打印所有環(huán)球同業(yè)銀行金融電訊協(xié)會(huì)（SWIFT）電匯記錄的打印機(jī)發(fā)生“故障”，而且前一天的交易記錄也沒有打印，于是嘗試手動(dòng)打印，也失敗了。此時(shí)紐約聯(lián)邦儲(chǔ)備銀行已就四筆可疑轉(zhuǎn)賬來函詢問，卻無法及時(shí)打印。當(dāng)銀行員工試圖操作那臺(tái)用于發(fā)送SWIFT信息的電腦時(shí)，電腦屏幕卻顯示，用于打印或輸出的NROFF.EXE文件“消失或被更改”。意識(shí)到SWIFT的跨行聯(lián)絡(luò)系統(tǒng)不正常后，孟加拉國央行2月6日下午1時(shí)30分向紐約聯(lián)邦儲(chǔ)備銀行發(fā)去一封電子郵件，要求中止所有支付進(jìn)程。然而當(dāng)天是周六，沒能聯(lián)系上。2月8日下午SWIFT的跨行聯(lián)絡(luò)系統(tǒng)恢復(fù)正常工作后，孟加拉國央行將多條消息發(fā)送給黎剎商業(yè)銀行，要求中止轉(zhuǎn)賬并退還失竊資金?？墒堑诙煲辉纾嚓P(guān)賬戶在73分鐘內(nèi)被人5次提取。當(dāng)天晚些時(shí)候黎剎商業(yè)銀行回復(fù)孟加拉國央行時(shí)，8100萬美元只剩下6.8萬多美元。調(diào)查人員估計(jì)，黑客是在2月4日至5日對(duì)孟加拉國央行在紐約聯(lián)邦儲(chǔ)備銀行的賬戶發(fā)動(dòng)攻擊并進(jìn)行非法轉(zhuǎn)賬的，他們利用兩地各自的休息時(shí)間打了個(gè)時(shí)間差。

孟加拉國央行懷疑，黑客事先給央行的一臺(tái)打印機(jī)植入木馬病毒，造成看似平常的“故障”，導(dǎo)致央行沒能及時(shí)察覺這起震驚全球金融界的盜竊案。黑客不但操縱了用于SWIFT國際電匯的電腦和打印機(jī)，而且還通過木馬病毒竊取了央行用于SWIFT跨行聯(lián)絡(luò)的系統(tǒng)，致使執(zhí)法人員既看不到往外電匯的申請(qǐng)，也看不到證明匯款成功的收據(jù)。

這起黑客竊案拉響了孟加拉國270多億美元外匯儲(chǔ)備的安全警報(bào)，孟加拉國央行行長3月15日引咎辭職，兩名副行長同一天被解職。

截至目前，孟加拉國已查明了盜竊者的身份：有近20名黑客參與了整個(gè)盜竊活動(dòng)，均為外國人，此前曾住在日本、菲律賓和斯里蘭卡。據(jù)悉這些罪犯曾試圖竊取孟加拉國央行存在紐約聯(lián)邦儲(chǔ)蓄銀行中的10億美元，但被成功阻止。孟加拉國當(dāng)局暫時(shí)還無法追回這筆資金。