多年來,鎖定企業秘書、財務人員的網路攻擊與詐騙不斷,只要企業與國際合作夥伴一方遭入侵,駭客就可掌握雙方公司往來資訊,並伺機假冒一方名義詐騙,近期刑事警察局公布相關的統計數字,他們表示,近五年受理的商務電子郵件詐騙(BEC),每年都有超過1百個案件,且每年遭到詐騙的金額,都在2億元以上。

根據刑事警察局提供的最新統計資訊來看,商業電子郵件詐騙在2016年有112件,2017年有168件,2018年有163件,2019年有158件,2020年有142件,平均算起來,大約每週都有2到3家企業報案。

由於這類威脅已持續多年,但多數中小企業而言,可能仍然不了解這種手法,因此警方持續透過公布案例,希望喚起企業老闆與財務人員的注意。

例如,今年6月臺北市某科技公司秘書,因收到一封假冒公司財務長發來的電子郵件,因此依照指示匯款700萬美元至指定帳戶,之後才發現問題報案。

去年12月,警方也曾公布另一起BEC詐騙案例,當中揭露更多細節。起因是臺北市一家貿易公司向外國廠商進貨,收到駭客假冒上游廠商發送電子郵件,信中謊稱原收款帳戶因稅務檢查暫時停用,要求將貨款改匯到新帳戶,因此貿易公司職員依對方指示匯款,但該職員並未注意到,原本聯絡對象的Email是「…group@…com」,但這封變更匯款的郵件,其實是來自「…qroup@…com」,已非原寄件者。

一方的郵件系統被入侵,攻擊者就能掌握交易資訊伺機詐騙

為瞭解更多BEC的威脅現況,我們洽詢刑事警察局。國際刑警科秘書林明俊表示,以他們單位受理的案件而言,每年案件呈現微幅增加的情形,近年受理的案件幾乎都是中小企業,發生的主因在於這些業者對於資安較不重視,當中也有國內兩家上市科技大廠替下游廠商報案。

對於這類網路犯罪該有的認知,林明俊提到三大重點。

首先,發生BEC詐騙的事件,通常企業早就被駭客入侵半年以上,因此,網路犯罪者才能知道雙方公司之間的交易採購情形,再伺機以假冒電子郵件要求變更匯款。

其次,BEC防不勝防的原因在於,只要一方被駭客入侵,就可以被網路犯罪者掌握了資訊。因此,資安界與警方不斷呼籲企業老闆重視,須強化資安防護,並要提醒員工,遇到對方突然表示要變更匯款帳戶,或改用不常匯款的帳戶,都應提高警覺,務必透過其他管道與對方確認。

第三,受害企業需在黃金72小時內報案,執法與金融單位才有機會從金流端攔阻,啟動銀行圈存作業。例如,在今年1月,遭遇BEC的臺灣企業因為及時報案而倖免於難──該公司將錢匯到美國,由於美國FBI在臺有派駐人員,透過雙方合作,因此能在72小時內通報到美國,最後這筆匯款在美國那邊順利被攔阻下來。過去刑事警察局也不調強調這一點。

BEC詐騙與洗錢人頭帳戶息息相關

至於警方能否抓到背後犯罪組織?林明俊表示,破案並不容易,但他們過去也曾揪出協助洗錢的嫌犯。例如,國際刑警科在2014年3月破獲一起違反洗錢防制法的刑事案件,就與商業電子郵件詐騙案有關,而且今年該案又再曝光於社會新聞版面,關鍵原因在於:其中一位協助匯款的犯罪者,是知名連鎖早餐店「紅橘子」創始人蔡思庭。

這起事件後來雖未逮到背後跨國組織成員,但國內協助洗錢的4名共犯,在2016年12月、2018年1月與2020年8月已受到司法判決。而這起案件在2021年3月又有消息,因為其中3人再次上訴,再遭最高法院駁回,全案判決確定。

根據判決書內容指出,刑事局當時接獲國際刑警組織情資,查到跨國詐騙集團有2名臺灣人:陳震歐、陳震堂,該集團先是買通了蔡思庭、邢光智與黃建添,除了提供人頭帳戶,並找了楊正平提供合茂公司作為跨國匯款的人頭帳戶,該組織則駭入了加拿大商Berezan Management Ltd.執行長的電子郵件信箱,再冒用其名義,發信給財務經理指示轉帳34萬元加幣(約926.4萬元),轉到邢光智的外幣帳戶,之後依駭客詐騙集團指示,取得各自的報酬,並將詐騙金錢存入合茂公司,以三角貿易匯出至境外帳戶。

林明俊表示,這起案件是外國廠商發現上當,金錢匯到臺灣帳戶,追查金流下,發現臺灣有不肖分子擔任車手的角色,為賺取抽成費用而提供人頭帳戶。他指出,這種網路犯罪的人頭帳戶,一定都是該人頭知情的情況下進行,而且,由於都是很大的金流轉移,因此都會需要設立公司帳戶。

此外,這類網路犯罪的裁罰狀況,也值得關注。以這次判決而言,協助BEC詐騙洗錢的4人,除沒收犯罪所得,也處以5到10個月的有期徒刑,以及6萬到30萬罰金,林明俊表示,由於BEC詐騙的金額不小,上述這起案件就詐騙近千萬元,有些案件甚至上億元,若判罰太低,可能引誘人犯罪。

附帶一提的是,這類網路犯罪受理案件統計數據,似乎有今昔之別。早年我們向刑事警察局取得資料顯示,2016年是61件,2017年是54件,而這樣的數量,與該單位現在提供的數量並不同,因此我們也進一步詢問原因,但刑事警察局並未透露。我們推測,可能這類案件有多個受理單位,以及後續案件類型整併的關係,所以造成數量上的差異。

近年臺灣警方也曾破獲協助BEC詐騙的車手,經多次司法判決,今年最高法院駁回上訴後,該案判決確定。根據判決書的內容,這起案件,跨國駭客詐騙組織以不詳方式駭入加拿大商Berezan Management Ltd執行長的電子郵件信箱,再冒用其名義,寄送電子郵件指示財務經理轉帳加拿大幣34萬元,到臺灣邢犯的玉山銀行外幣帳戶,之後這些共犯再前往銀行辦理結匯,並存入由楊犯開設的合茂公司玉山銀行帳戶,再以三角貿易匯出款名義,分別匯往大陸與背後駭客組織所指定的境外帳戶。

熱門新聞

Advertisement