芭比娃娃製造商Mattel日前對外公布,在去年4月曾經發生過,有詐騙集團假冒執行長的信,要求財務主管匯款給假中國供應商且成功的案例,所幸300萬美金事後已經追回。

詐騙集團的手法越來越精密,對於被鎖定的「當事人」或「組織」掌握度甚至已經到了無孔不入的地步,像是美國聯邦調查局(FBI)在日前揭露的案例,美國芭比玩具製造商Mattel就被詐騙了300萬美元,雖然之後很幸運的追回相關的款項,但進一步分析詐騙集團所掌握的資訊,其實相當驚人。

以Mattel的案例為例,詐騙集團很清楚的知道該公司執行長Christopher Sinclair剛剛在2015年4月初上任,事件發生在同年4月下旬,執行長和財務長的確很很難在短短不到一個月的時間,培養足夠的默契。

不過,詐騙集團本身除了清楚Mattel公司經營階層的異動狀況外,甚至也清楚該公司貸款簽核金額的上限,以及核發撥款的權限與流程,因為掌握的資訊相當精準,所以,整起詐騙事件才會成功。

首先,詐騙集團便利用社交工程的手法,將網路釣魚信件發送到負責Mattel公司的財務主管手上,在財務主管點選網路釣魚信件後,趁機在財務主管的電腦中植入惡意程式,有了惡意程式作為馬前卒,想要該公司內什麼樣的資料,無不手到擒來。因此,詐騙集團知道該公司的請款流程,也知道每一個主管手中對於貸款金額的權限,以及授權放款的程序與流程。

在掌握相關的情資後,詐騙集團便假冒執行長發信給財務主管,由於Mattel公司對於大筆的款項支付審核,內部規定需要有兩位高階主管核可,而被植入木馬程式的財務主管和執行長,都具有相關的核可權限,所以,財務主管在收到執行長的匯款信件後,不疑有他,便立即將大約300萬美元的金額,轉帳給位於中國的某一間供應商。

在這個過程中,這個假的供應商必須是真實存在,只不過存在的目的是為了詐騙而不是真的做生意,而Mattel貸款給這個假供應商的金額與事由,也都必須是合理的,且符合公司既有的規定和流程才可能做到如此天衣無縫。而財務主管直到當天稍晚,口頭和執行長確認時,才發現原來遭到釣魚郵件的詐騙,才趕緊請求美國聯邦調查局協助。

當然,有許多人會覺得,怎麼可能這麼容易受騙上當,怎麼不會想說再事前確認一下。我們都不是當事人,無從對於中間的流程細節多所置喙,只能相信,每一間公司都有各自遵循以久的做事流程與標準作業程序(SOP),我們人往往都是習慣的動物,討厭異動,所有的事情只要習以為常的,就沒有改變的必要,也更容易疏忽再度確認中間所有細節的必要性。所以,詐騙集團往往只要掌握到關鍵的人,流程,以及人性,經常可以成功完成一次甚至是多次詐騙。

詐騙集團假冒臺灣客戶發信給外國客戶更改匯款帳號,至少損失10萬美金

Mattel公司的詐騙其實只是冰山一角,根據美國聯邦調查局的調查,光是這樣的網路調查信件,在過去兩年來,就已經成功詐騙23億美元(約713億元)的金額,詐騙金額之龐大,令人咋舌。

不過,或許有人認為,像是Mattel公司遇到的這種網路釣魚信件的詐騙事件,並不會發生在臺灣,可能是因為臺灣大都是以中小企業為主體的企業型態,經常不具有標準的流程,以人治為主的運作型態。因此,想要出現財務主管會因為只看了一封執行長寄來的電子郵件後,就會直接匯款給供應商。

但是,其實在臺灣,即便不會發生類似Mattel公司的這類網路釣魚詐騙案件,卻可以發現,已經有許多中小型企業,深陷另外一種網路釣魚的詐騙事件中。

聽到的案例則是,某間在南部,專做國際貿易的中小企業公司,某一天,國外客戶敲定某個產品品項的製作數量和交期後,該中小企業公司求先匯款部分款項後,才會開始製作。這間中小企業在要求匯款的信件寄出後,便遲遲等不到匯國外客戶先款進入指定的帳戶。後來,這間中小企業終於和客戶方連絡上後才發現,該名客戶老早就收到郵件的隔天,已經將相關的款項匯入臺灣公司的帳戶中。

在這個過程中,包括外國客戶以及臺灣公司都因為習慣,遲遲沒有發現中間的不合理之處,因為,外國公司有收到臺灣公司發信,更改匯款帳號的信,面對這麼大且不合理的改變,外國客戶選擇「直接相信」而不打電話確認相關的資訊,才造成這麼大的損失,如果沒記錯的話,這個臺灣中小企業的損失高達10萬美元。

而趨勢科技也曾經發表過類似的臺灣受害案件,手法基本上也和網路釣魚郵件相關,因為受害者點擊釣魚郵件中的惡意連結後,詐騙集團也趁機在受害者的電腦中植入惡意程式,不僅回傳相關受害臺灣企業公司的相關資訊,甚至於,詐騙集團發信給受害臺灣企業的外國客戶時,還可以接續兩人上一封信從哪裡中斷的地方繼續下去,假冒發信的內容已經足以亂真,才會讓人毫無所覺的直接相信這樣的改變。

事後,臺灣企業請資安公司進行調查才發現,該公司的電腦已經被植入惡意程式,難怪一舉一動,全部被詐騙集團完全掌握住。

假冒合作客戶,親自現身要求區域公司主管匯款

植入木馬程式,假冒外國客戶發信給臺灣業者,這整個過程都是一種犯罪行為,一旦被抓到,都有嚴重的罰責處分。

但是,你以為詐騙集團的手法只有如此嗎?舉例而言,日前我便曾經聽過一個案例,同樣是假冒問題,是跨國公司另外一間分公司的主管,帶著一起合作的業者出現,要求區域分公司中,權限比較大的區域公司撥款給這個要合作的業者,也要求立即匯款。而這個業者就是由詐騙集團假冒的。

基本上,這個詐騙集團知道該公司的匯款授權的權限和金額上限,甚至還親自現身,讓人沒有意料到的情況下,親自談好合作和承攬的條件,再要求區域公司撥款。後來,是該公司撥款時,發現資料有誤,進一步追查才發現,原來這個合作的業者其實是假冒的。總公司執行長獲知有發生這樣的事情後,也立即發信給全球分公司的主管,未來有任何的合作項目,都必須再度與總公司確認無誤後,才能進行撥款。

這起案件讓人意外的事件在於,原本都躲在電腦螢幕後面的的詐騙集團,已經不避諱真正現身在企業的面前,除了膽大妄為之外,也是利用人性,普遍認為,詐騙集團在怎樣都不可能現身在分公司主管面前,親自談合作、要求匯款。但事實證明,「殺頭的生意有人做」,只要有利可圖,各種可能性都會出現。

現在的詐騙集團除了透過電子郵件假冒之外,已經發展到親自現身、跟你談生意,連跨國公司都可能因為一個不小心或查證不確實而受騙上當。這也凸顯,每一個人都必須堅持各自崗位,並做好各種的基本查證工作,才能避免成為詐騙集團鎖定的對象。

本週(4/3~4/9)重要資安事件回顧:

FBI:解鎖iPhone 5c的工具不適用於5s及之後的機種

FBI:電子郵件詐騙兩年來騙走了23億美元

Flash新漏洞恐遭勒索軟體攻擊,Adobe緊急修補

菲律賓選舉網站遭駭,5500萬選民資料外洩

Ubuntu修補Linux核心漏洞

芭比玩具商Mattel遭歹徒假冒CEO騙走300萬美元,靠運氣成功追回

巴拿馬文件外洩案,律師事務所坦承郵件伺服器遭駭

另類網路攻擊!北韓發動GPS蓋臺,韓國境內導航系統失效,恐導致所有武器無法定位

韓國將調查Google是否洩露用戶資料給美國政府

強化物聯網安全,英特爾買下半導體功能安全服務商Yogitech

又一飯店疑遭駭,川普旗下連鎖飯店再傳信用卡資料外洩

WhatsApp全程加密通訊整合完成

Google釋出Nexus Android 4月份更新,一次修補近40項漏洞

iOS 9.3更新接連出包,蘋果釋出iOS 9.3.1修補瑕疵

 

 


Advertisement

更多 iThome相關內容