防不勝防的網絡詐騙與網絡盜竊

李忠東

“CEO郵件騙局”愈演愈烈

據英國《金融時報》報道，美國聯邦調查局（FBI）發現，近年來“商業電子郵件犯罪”正在以驚人的速度增加。在兩年多的時間里，一種偽造首席執行官（CEO）電子郵箱賬戶的騙局在全世界蔓延。從2013年10月到2015年8月，全球因這種騙術蒙受的損失約為12億美元，而從2015年9月至2016年2月又增加了8億美元。

美國斯庫勒公司（Scoular）是一家有124年歷史的糧食貿易公司，擁有59億美元資產。2014年6月，公司財務總監基思·麥克默特里收到CEO查克·埃爾沙發來的絕密電子郵件，要求他給一個離岸銀行賬戶匯款1720萬美元。埃爾沙告訴麥克默特里，公司正在為收購一家中國企業進行談判，囑咐他聯系畢馬威會計師事務所的律師羅德尼·勞倫斯，由對方提供匯款賬戶。“我們需要向中國展示足夠的實力。”埃爾沙在電子郵件中寫道，“基思，我不會忘記你在此次交易中的專業表現，我將很快向你表達謝意。”3個交易日后，麥克默特里將1720萬美元轉到了上海浦東發展銀行戶名為“大地公司”的賬戶中。然而讓他絕對沒有想到的是，這封電子郵件是偽造的。罪犯冒充埃爾沙創建了電子郵件賬戶，并以畢馬威合伙人的名義虛構了郵箱和電話號碼。勞倫斯律師聲稱從未聽說過“大地公司”，和這家企業根本沒有聯系。

麥克默特里告訴FBI，自己當時之所以沒有起疑心，一是斯庫勒公司的確正在考慮向中國市場發展，二是年度審計工作也一直由畢馬威會計師事務所進行，三是假的“埃爾沙”特意在郵件中囑咐任務非常敏感，需要嚴格保密，稱“為了避免違反美國證券交易監督委員會的規定，請只和我通過郵件交流”。

FBI已經查清，假 “埃爾沙”名下的電子郵箱服務器在德國，假“勞倫斯”的郵箱服務器位于莫斯科，騙子提供的電話號碼最后查到是一個在以色列注冊的網絡電話（Skype）賬號。斯庫勒公司的律師告訴FBI，最終拿到這筆錢的“大地公司”是一家制造軍靴的企業，該公司稱這筆銀行電匯是靴子銷售合同的一部分，但斯庫勒公司說并沒有購買靴子。就在FBI設法進行進一步調查時，這個賬戶已被注銷，資金也被轉走。FBI稱，斯庫勒公司只是“CEO郵件騙局”中數千家受害公司之一。

美國AF Global公司是一家涉足航空航天、石油和天然氣行業的大企業。2014年5月，財務主管格倫·烏姆收到一封郵件，郵件以集團CEO杰安·斯塔爾卡普的口吻命令道：“我指定你管理T521文件，它需要嚴格保密，必須優先于其他任務的財務操作……”烏姆遵照斯塔爾卡普不和任何人通氣的囑咐，直接將48萬美元匯到一個賬戶。6天后一個自稱為夏皮羅的人和烏姆取得聯系，在確認款項收到后要求再次匯款1800萬美元。這時烏姆產生了懷疑，表示在不提醒高管的情況下不能擅自轉走這么多錢。然而為時晚矣，騙子的銀行賬戶早已注銷。

2015年元月，總部位于舊金山的線上支付公司Xoom Corp稱，一份監管文件顯示財務部門的一名員工被騙，將公司的3080萬美元轉到騙子提供的海外賬戶中。

“Xoom Corp已經建立起自己的先進科技系統來檢測每一筆交易，內容包括測試合規性、反洗錢、可接受使用、反欺詐和風險下秒籌資。”Xoom的CEO約翰·孔策不無擔憂地說，“雖然我們一直在識別、防止欺詐轉賬方面富于經驗，并且將其列為公司的核心業務，但Xoom公司已經成為國際詐騙組織的一個目標，而這對于要識破防不勝防的詐騙來說，已經足夠復雜了。”

2015年6月，美國無線網絡產品制造商優博通（UBNT）的財務部門被冒牌高管欺騙，把4670萬美元匯到海外賬戶中。

FBI互聯網犯罪投訴中心公布的數據表明，遭遇“CEO郵件騙局”的案件越來越多，全球受害企業超過1.2萬家，平均每家損失12萬美元，損失最嚴重的企業甚至向境外的匯款高達9000萬美元。至于那些給騙子轉了5萬美元的小公司，結局就更慘了，可能再也發不出工資，只能關門大吉。

世界頂級會計師事務所之一的普華永道會計師事務所2014年的信息安全漏洞報告指出，在互聯網上遭遇外部攻擊的大型企業和小企業分別達到57%和16%，受到沖擊和威脅的企業越來越多。犯罪分子通常操縱受害者將錢轉到他們暗中控制的在亞洲或非洲的銀行賬戶上，當企業意識到被騙時，巨款早已無法追回。迄今為止，FBI已針對涉案資金追蹤至108個國家。

“此事已完全失控了，騙子越來越囂張。罪犯通過引入律師事務所或法律顧問等第三方實施欺詐，讓受害者面對的情況變得更復雜、更隱蔽。”FBI金融網絡犯罪工作組特工米切爾·湯普森強調道，“商業電子郵件欺詐是個很嚴重的問題，因為企業高管們非常依賴電子郵件，而且他們沒有拿起電話確認交易或進行仔細檢查的習慣。”

在 “CEO郵件騙局”中，犯罪分子行騙時會采取各種策略：或者通過釣魚電子郵件賬戶入侵內部網絡，以便獲取高管的郵箱信息；或者為了迷惑受害者，利用與公司官方電子郵件地址只相差一個字母的冒牌郵箱，粗心的受害者往往被設計巧妙的虛假地址所欺騙；或者使用多種社交媒體，用發送垃圾郵件的方法來確定CEO是否在辦公室，或在Facebook上觀察CEO的出行時間，以此確定最佳作案時機。犯罪行騙的時間也很有講究，冒充者們大都選擇上午9點到10點向財務人員發出指示。這個時間段最為忙碌，財務人員常常需要處理多封郵件和若干個電話，緊迫感造成的巨大壓力使得財務人員沒時間質疑來自“高層”的命令，通常是不假思索地迅速執行。這是此類網絡欺詐最喜歡鉆的空子。

“通過互聯網詐騙錢財的手法并不新鮮，有的犯罪集團曾經利用交友網站，從賑災籌款或恐襲災難捐款活動中獲利。還記得10年前，告知人們中獎的詐騙郵件鋪天蓋地。”FBI反洗錢部門主管詹姆斯·巴納克爾表示，“犯罪分子沒有國界，這是個全球性問題。我們正在動用我們的刑事調查資源、網絡資源和在海外的法律專員，努力應對網絡犯罪問題。過去一年中，FBI與情報分析人員同全球執法機構建立了合作關系，但是沒有足夠的警力在互聯網上監控犯罪分子。”

FBI從不同的冒充CEO詐騙案中發現，一些詐騙手段看起來十分相似，不過目前仍不清楚是否存在一個領頭的全球詐騙集團。“企業需要提高警惕，能否將騙子拒之門外主要取決于公司如何保護自己。”美國銀行家協會負責支付和網絡安全的高級副總裁道格·約翰遜提醒道，“轉賬前需要至少兩名員工批準，必須作為一種正常的做法堅持下去。”

微軟公司正在更新其電子郵件客戶端，試圖更快識別出惡意電子郵件并提醒用戶。目前這一行動已取得部分進展，檢測冒名郵件的成功率提高了500%。美國密蘇里州大學的安全研究員喬希·里卡德2015年11月開發了一個微軟Outlook郵件客戶端的內嵌“釣魚郵件報告工具”（Phish Reporter），在Outlook操作菜單上增加了一個新的按鈕。用戶可以在客戶端上將他們認為是釣魚攻擊的郵件或垃圾郵件進行一鍵轉發操作，發送到預先設定的收件人郵箱（公司安全研究人員或者事件響應小組的郵箱），以便最大限度地保存釣魚郵件的現場數據，更好地對疑似郵件進行分析，及時做出合理的判斷和處置。

2014年至今，對各大型企業進行的調研表明，有約50%的員工會點擊釣魚郵件的鏈接或者打開附件，而且一般用戶都是將疑似釣魚郵件轉發給公司的安全人員，這樣一來就破壞了郵件頭信息，干擾了分析工作。因此從技術層面上建立反饋機制，是一個較好的應對方案。“釣魚郵件報告工具”通過聯動用戶，保存原始現場信息，特別是重要的郵件頭信息，大大增強了安全事件的預防及響應處理能力。

跨國黑客“網絡盜竊”猖獗

國際刑事警察組織（ICPO）指出，跨國詐騙集團利用偽造信用卡在ATM機上大量取現的案件近年來時有發生。在這類案件中，犯罪嫌疑人從利用計算機病毒感染金融機構的計算機系統入手，進而偽造戶頭從ATM機上提取現金。

2016年5月15日早晨，日本100多名竊賊使用1600多張偽造信用卡從自動取款機上取走14億日元現金。據日本警方介紹，犯罪嫌疑人來自跨國詐騙組織。警察在調取事發地點監控視頻進行分析后發現，取第一筆款的時間為凌晨5時左右，8時以前取出最后一筆款項。竊賊在這期間利用偽造的1600多張信用卡，從分布在東京和16個縣的大約1400家便利店的ATM機上取現14000次，每次取現金額為取款上限10萬日元。事發當天是星期天，銀行不營業，也就未能及時發現并采取措施。

犯罪分子使用的偽造信用卡信息來自南非標準銀行，日本警方已通過ICPO與南非方面展開合作，包括調查該銀行客戶的信用卡信息是如何泄露的。“這場有組織的詐騙案精心謀劃，我們也是其中的受害者。”該銀行發表聲明說。6月初，日本警方逮捕了這起“閃電取現”大案的部分犯罪嫌疑人。

最早發現黑客“搶銀行”是在2013年下半年，烏克蘭出現ATM機無故吐錢事件。當時的監控錄像顯示，在沒有插入銀行卡或觸碰按鈕的情況下，基輔一臺ATM機竟會時不時自動吐出現金，并且有人“準時”待在機器前將錢取走。

知名的反病毒機構卡巴斯基實驗室（Kaspersky Lab）2015年2月發表的一份報告說，一個跨國黑客團伙專門針對全球約30個國家和地區的100多家銀行和金融企業發起網絡攻擊，并盜取銀行賬戶資金。美國、歐盟、日本等均深受其害，迄今已損失高達10億美元。這是全球銀行業涉案金額最高、波及范圍最廣的“網絡盜竊行為”之一，案件的嚴重性在于黑客襲擊的對象是銀行本身而非銀行的終端用戶，目的是沖著錢來而不是獲取資料或情報。罪犯進行網絡盜竊的手段非常熟練和職業化，銀行無論使用的是什么防護軟件對他們來說都沒有差別。

接到協查請求后，卡巴斯基實驗室派員深入調查，發現這只是一起“網絡盜竊”驚天大案的一部分。這個犯罪團伙由來自亞洲和歐洲多個國家的黑客組成，從2013年年底起開始作案，利用一種名為“Carbanak”的病毒入侵諸多金融企業。這款病毒軟件相當危險，在攫得盜取資金的賬號信息的同時，還入侵銀行系統管理員賬號，使犯罪分子獲得權限，通過內部視頻監控鏡頭觀察員工的一舉一動。

黑客的作案手法首先是向銀行系統員工發送看上去來自于可信賴渠道的病毒郵件，被點擊打開后，病毒開始入侵內部系統，讓黑客得以進入整個銀行網絡。犯罪分子在“潛伏”數月后對銀行業務操作逐漸熟悉，便模仿銀行員工的手法將資金轉移到一些虛假賬戶，或者通過程序操控ATM機在指定時間吐錢。為防止銀行方面立即發現，狡猾的犯罪分子還會修改報表，盜走差額部分；并且采取分散作案的辦法，從每家銀行竊取的資金不超過1000萬美元，以保持較低的案值。

目前ATM機的狀況也很令人擔憂。由于很多ATM機本身的關鍵部分缺乏物理安全防護，或者大量使用了過時的、不安全的軟件，抑或網絡設置存在問題，因此網絡罪犯在很多情況下并不需要使用惡意軟件感染ATM機，也不必入侵銀行的網絡就可以成功進行攻擊。許多銀行ATM機的建造和安裝并不合理，可以讓第三方訪問到ATM機內部的計算機，或者利用網線將設備連接到互聯網。網絡罪犯獲取到部分ATM機的物理訪問權限之后，就可能在其內部安裝特殊的微型計算機（又被稱為“黑盒子”），讓攻擊者可以遠程訪問ATM機，或者將ATM機連接到假冒的銀行處理中心（一種處理支付數據的軟件），這樣攻擊者無論發送任何指令，ATM機都會執行。

無獨有偶，孟加拉國中央銀行在美國紐約聯邦儲備銀行開設的賬戶2016年2月遭黑客攻擊，失竊8100萬美元。失竊資金經菲律賓黎剎商業銀行幾次分批中轉后，消失得無影無蹤。其中大約2900萬美元被轉入馬尼拉布隆貝里集團所屬的菲索萊雷賭場的銀行賬戶，2100萬美元轉入菲律賓北部卡加延省一家賭場的運營商賬戶，其余3000多萬美元分數天轉入一名賭團中介商的賬戶，并以現金形式取出。

2月5日（孟加拉國雙休日的第一天），孟加拉國中央銀行員工發現一臺用于自動打印所有環球同業銀行金融電訊協會（SWIFT）電匯記錄的打印機發生“故障”，而且前一天的交易記錄也沒有打印，于是嘗試手動打印，也失敗了。此時紐約聯邦儲備銀行已就四筆可疑轉賬來函詢問，卻無法及時打印。當銀行員工試圖操作那臺用于發送SWIFT信息的電腦時，電腦屏幕卻顯示，用于打印或輸出的NROFF.EXE文件“消失或被更改”。意識到SWIFT的跨行聯絡系統不正常后，孟加拉國央行2月6日下午1時30分向紐約聯邦儲備銀行發去一封電子郵件，要求中止所有支付進程。然而當天是周六，沒能聯系上。2月8日下午SWIFT的跨行聯絡系統恢復正常工作后，孟加拉國央行將多條消息發送給黎剎商業銀行，要求中止轉賬并退還失竊資金。可是第二天一早，相關賬戶在73分鐘內被人5次提取。當天晚些時候黎剎商業銀行回復孟加拉國央行時，8100萬美元只剩下6.8萬多美元。調查人員估計，黑客是在2月4日至5日對孟加拉國央行在紐約聯邦儲備銀行的賬戶發動攻擊并進行非法轉賬的，他們利用兩地各自的休息時間打了個時間差。

孟加拉國央行懷疑，黑客事先給央行的一臺打印機植入木馬病毒，造成看似平常的“故障”，導致央行沒能及時察覺這起震驚全球金融界的盜竊案。黑客不但操縱了用于SWIFT國際電匯的電腦和打印機，而且還通過木馬病毒竊取了央行用于SWIFT跨行聯絡的系統，致使執法人員既看不到往外電匯的申請，也看不到證明匯款成功的收據。

這起黑客竊案拉響了孟加拉國270多億美元外匯儲備的安全警報，孟加拉國央行行長3月15日引咎辭職，兩名副行長同一天被解職。

截至目前，孟加拉國已查明了盜竊者的身份：有近20名黑客參與了整個盜竊活動，均為外國人，此前曾住在日本、菲律賓和斯里蘭卡。據悉這些罪犯曾試圖竊取孟加拉國央行存在紐約聯邦儲蓄銀行中的10億美元，但被成功阻止。孟加拉國當局暫時還無法追回這筆資金。