某贸易公司的财务总监老李做财务工作已经二十多年了,经验非常丰富,一向以谨慎著称。他每天都会收到大量的邮件,有供应商的发票、客户的对账单、银行的回执,还有公司内部的各类审批文件。经验告诉他,做财务这一行,任何时候都要多留一个心眼。
那天上午,他收到了一封邮件,发件人显示的是公司总经理的姓名和邮箱地址。邮件内容说,公司正在洽谈的一个重要项目需要紧急支付一笔预付款给合作方,委托老李安排财务人员在当天下午之前完成转账。邮件里详细说明了收款方的名称、账号、金额和转账用途,格式正规,语气也和总经理一贯的风格非常相似。
老李看了一下转账金额,接近三百万元。他按照公司规定的审批流程,用自己的权限在系统里提交了付款申请,等待总经理的口头确认。但他没有直接给总经理打电话,因为在邮件里总经理说了"我现在在开一个重要的董事会,不方便接电话,你先处理,回头我补签字"。
老李犹豫了一下,觉得邮件来自总经理的邮箱,格式也很规范,又说了不方便接电话,应该没问题。于是他在没有完成正式的口头确认的情况下,安排出纳按照邮件指示完成了转账。钱被汇到了一个境外的银行账户上。
到了第二天,总经理回到办公室问老李昨天有一笔大额付款是怎么回事,老李才意识到出了问题。他赶紧去查那封邮件,发现发件人的邮箱地址虽然显示的是总经理的名字,但实际的邮箱域名和公司正式邮箱只有一个字母的差别。公司用的是company.com的邮箱,邮件来自c0mpany.com。那个字母o被换成了数字0,不仔细看根本发现不了。
这是典型的商业邮件诈骗,也叫CEO欺诈。犯罪分子事先对该公司进行了详细的调查,了解了公司的组织架构、供应商信息、财务流程和总经理的工作习惯。他们可能是通过入侵了某位员工的邮箱或者社交网络账号,获得了这些信息,然后精心设计了这场骗局。
公司立刻向公安机关报案,启动了紧急追款程序。但由于钱已经汇到了境外,追回的难度非常大。最终只追回了部分款项,将近两百万的损失由公司自己承担。这件事给这家年营收不到一亿的贸易公司带来了沉重的打击,差点导致资金链断裂。
事后调查发现,犯罪分子获取信息的方式是通过公司一名销售人员的LinkedIn账号。这名销售人员在个人资料中详细列出了公司的管理层信息、财务流程和合作伙伴,犯罪分子据此构建了高度可信的诈骗场景。
这起案例在国内外企业中非常常见。根据相关统计,商业邮件诈骗造成的年损失已经达到了数百亿美元的规模。这类攻击并不需要高深的技术手段,但对受害企业的打击往往是非常巨大的,因为它直接攻击的是企业的资金账户。
防范商业邮件诈骗需要从多个层面入手。技术层面,企业应该部署邮件安全网关,对收到的邮件进行发件人身份验证,检测邮箱域名的微小变体,自动标记异常邮件。管理层面,企业需要建立强制性的资金支付复核制度,无论发件人是谁,超过一定金额的付款必须通过至少两个独立的渠道进行确认。比如邮件通知后,必须打电话向对方本人核实,并且拨打的是公司通讯录中已经留存的号码,而不是邮件里提供的号码。文化层面,企业需要定期对财务人员和全体员工进行防范社会工程学攻击的培训,让每个人都知道新型诈骗手段是什么样的,遇到可疑情况应该怎么做。
老李在这件事后受到了公司的处分,但他更加后悔的是自己二十多年的谨慎,就败在了一次疏忽上。做企业财务的人,任何时候都不能凭经验判断,任何一笔转账都值得多花几分钟确认一下。
