Yahoo奇摩新聞 華爾街日報》駭客用你的信箱要求匯款!神鬼不知的電匯詐騙讓美國年損逾500億元
2018年,克拉索維茨(Frank Krasovec)從美國德州的PlainsCapital Bank獲得了100萬美元的個人信貸額度。幾個月後,他出了趟差。當他回來時,45萬美元已經不翼而飛。
克拉索維茨說,他很快就知道有人操控了他的電子郵件,並讓他的助理把錢匯到了一個香港帳戶。克拉索維茨是Dash Brands Ltd的董事長,該公司擁有達美樂披薩(Domino's Pizza Inc.)在中國的特許經營權。
透過這種結合複雜的駭客技術和電匯的作案手段,詐騙者每年竊取了數十億美元。銀行和執法官員正努力控制這個問題,但像克拉索維茨這樣的受害者稱,他們發現錢幾乎不可能被追回。要將資金轉移到海外,電匯是一種老派但效率很高的方式。
幾年前,銀行只需要擔心現實生活中的搶劫犯。現在,電匯騙局把銀行置於一個艱難境地。客戶一方面希望銀行能替合法交易迅速轉移資金,另一方面又希望銀行能防範滲入到客戶內部的駭客。
本文為風傳媒與華爾街日報正式合作授權轉載。欲看更多華爾街日報全文報導,請訂閱特別版華爾街日報VVIP方案,本方案僅風傳媒讀者專屬,以低於原價3折以下之全球最優惠價,即可無限暢讀中英日文全版本之華爾街日報全部內容。
美國銀行家協會(American Bankers Association)數據顯示,最大的銀行最有可能成為電匯詐騙渠管道。但社區銀行也容易被利用,因為這些銀行沒有太多技術預算來建立自身防禦機制。
美國聯邦調查局(FBI)收到的報告顯示,此類詐騙在2019年造成了近18億美元(約台幣547億)損失,高於前一年約13億美元的紀錄。FBI估計,2016年6月至2019年7月,包含那些沒有向FBI報告的案件損失,全球此類損失總額為260億美元。FBI稱,這些匯款主要流入香港和中國大陸的某些銀行,在當地追回這些資金的希望非常渺茫。
FBI督導特別探員鮑德溫(Zacharia Baldwin)在一次採訪中稱,詐騙案的受害者包括老人、大學生、非營利組織、宗教組織、知名人士、公司的首席執行長,任何人都有可能成為受害者。
駭客可能嘗試使用過去資訊洩露事件中被公開的密碼,來入侵被攻擊目標的電子郵件。他們也可能使用網路釣魚手段,比如針對政治活動和商業間諜活動的網絡釣魚計劃。然後,駭客會盜用一個帳戶,冒充受害者的身份,要求助手或同事電匯資金。
今年76歲的克拉索維茨不確定自己的電子郵件如何被盜的。克拉索維茨表示,他相信這些騙子一進入他的伺服器後就追蹤了他的行程計劃,等到他離開辦公室後才向他的助手發訊息。
這位高層主管說,駭客從他的電子郵件帳戶向他的助手發郵件:「Carol…請匯15萬美元」。他說,那是上海當地時間晚上11點半左右,克拉索維茨數小時前才抵達上海,當時睡得正香。
不像那些用蹩腳英語要錢的低級騙局,這封郵件看起來就像是克拉索維茨發的。他表示,一份帶有轉帳說明的附件,顯示出寄信人對他的帳戶瞭如指掌。
這位助理要求PlainsCapital Bank電匯了這筆資金。他稱,這家位於達拉斯的社區銀行經過好幾個月的努力才拉到克拉索維茨的業務,先前,該行從富國銀行(Wells Fargo & Co.)挖走了長期為克拉索維茨服務的銀行家。
PlainsCapital致電該助理進行確認後就轉帳了。該銀行對此不予置評。
同時,在中國的克拉索維茨每天工作14個小時,沒有察覺到什麼不對勁的地方。這家披薩連鎖公司在中國的發展勢頭快速強勁,先前,該公司改用了包括海鮮配料在內的當地口味菜單。
據克拉索維茨稱,首筆轉帳過後三天,駭客在當地時間晚上10:26要求助理再匯30萬美元。技術顧問坎普(Kyle Camp)稱,駭客改了克拉索維茨電子郵件的設定,導致他們的通信很快就被刪除。該顧問就針對克拉索維茨的駭客攻擊進行了調查。
幾天後,克拉索維茨飛回位於奧斯汀的家。在可以俯瞰伯德夫人湖(Lady Bird Lake)的辦公室,克拉索維茨碰到了他的助手,助手說她處理好了電匯事宜。
他回憶自己問道:「什麼電匯?」
助手解釋後,他說他感覺自己崩潰了。
克拉索維茨相信這些騙子一進入他的服務器後就追蹤了他的行事曆,並等到他離開辦公室後才向他的助手發資訊。(圖/BRENT HUMPHREYS FOR THE WALL STREET JOURNAL)
他瘋狂地打電話給PlainsCapital Bank為他服務的銀行經理,這位銀行經理稱,該行無能為力。克拉索維茨表示,後來這家銀行就不再回他的電話了。
他現在正在起訴PlainsCapital,認為他不應該償還這筆被竊取的錢,因為該銀行沒有採取適當的反詐欺控制措施。
PlainsCapital Bank在一份法庭文件中稱,毫無疑問,該損失歸咎於克拉索維茨本人,他未能採取適當的內控措施來防範其公司及員工成為第三方詐騙的受害者。該銀行在文件中稱,克拉索維茨必須連本帶息償還這筆錢。
此案仍在德州法院系統內繼續審理中。
根據數十年前頒布的消費者保護法規定,客戶通常有權要求歸還未經授權而發生的費用。但根據美國銀行家協會的說法,此條款通常不適用於客戶遭駭客詐騙後的電匯操作情形。
處理這些案件的調查人員維爾佛(Don Vilfer)說,有時,識破電匯詐欺的客戶可以立刻打電話至銀行阻止匯款。但不一定總能如此:法院文件顯示,一家律師事務所曾在詐騙電匯請求發出約一小時後致電美國銀行(Bank of America Co.),但仍損失了50萬美元。美國銀行不予置評。
有些銀行試圖致電客戶確認大額電匯請求以便防止詐欺。克拉索維茨稱,PlainsCapital Bank應該打電話給他本人,而不只是打給他的助理。該銀行對他們提交給法院的文件以外的內容不予置評。
技術顧問坎普表示,克拉索維茨已經設定了更複雜的密碼和雙重認證。本已蒙受相當大損失的他,現在還要支付30萬美元的法律費用,他也擔心自己的聲譽。
他談及這場騙局時說:「這讓我看起來像個傻瓜。」
文/Rachel Louise Ensign
更多風傳媒報導
相關報導》 華爾街日報》「為什麼是蘇格蘭?」酒香小鎮在歐美貿易戰首當其衝
相關報導》 華爾街日報》通用電氣2019年裁員約7.8萬人,員工數回到70年前水準
