黑客如何通过电汇诈骗
Frank Krasovec拥有Dash Brands,该公司拥有达美乐披萨在中国的特许经营权。他出差回来后发现黑客入侵了自己的电子邮箱。图片来源:BRENT HUMPHREYS FOR THE WALL STREET JOURNAL
2018年,Frank Krasovec从PlainsCapital Bank获得了100万美元的个人信贷额度。几个月后,他出差去了。当他回来时,45万美元不翼而飞。
Krasovec称,他很快知道有人操控了他的电子邮件,并让他的助理将钱汇到了一个香港账户。Krasovec是Dash Brands Ltd的董事长,该公司拥有达美乐披萨(Domino's Pizza Inc., DPZ)在中国的特许经营权。
通过这种将复杂的黑客技术和电汇相结合的作案手段,诈骗者每年窃取了数十亿美元。银行和执法官员正努力控制这一问题,但像Krasovec这样的受害者称,他们发现钱几乎不可能被追回。电汇是一种老式但高效的将资金转移到海外的方式。
几年前,银行只需要担心现实生活中的抢劫犯。现在,电汇骗局把银行置于一个艰难境地。客户一方面希望银行能为合法交易迅速转移资金,另一方面又希望银行能防范渗入到客户内部的黑客。
美国银行家协会(American Bankers Association)的数据显示,大型银行最有可能成为电汇诈骗渠道。但社区银行也容易被利用,因为这些银行没有太多技术方面的预算来建立自身防御机制。
美国联邦调查局(Federal Bureau Of Investigation, 简称FBI)收到的报告显示,此类诈骗在2019年造成了近18亿美元损失,高于此前一年的约13亿美元。FBI估计,2016年6月-2019年7月,包含那些未向FBI报告的损失,全球此类损失总额为260亿美元。FBI称,这些汇款主要流入香港和中国大陆的一些银行,在当地追回这些资金的希望非常渺茫。
FBI的督导特别探员Zacharia Baldwin在一次采访中称,诈骗案的受害者包括老人、大学生、非营利组织、宗教组织、知名人士、公司的首席执行长,任何人都有可能成为受害者。
黑客可能通过尝试以前数据泄露事件中被公开的密码来入侵被攻击目标的电子邮件。他们也可能使用网络钓鱼手段,比如针对政治活动和商业间谍活动的网络钓鱼计划。然后,黑客会盗用一个帐户,冒充受害者的身份,要求助手或同事电汇资金。
今年76岁的Krasovec不确定自己的电子邮件是如何被盗的。Krasovec表示,他相信这些骗子一进入他的服务器后就跟踪了他的行程计划,并等到他离开办公室后才给他的助手发信息。
这位高管说,黑客通过他的电子邮件账户给他的助手发邮件称:“Carol…请汇15万美元”。他说,那是上海当地时间晚上11点半左右,Krasovec数小时前抵达上海,当时睡得正香。
不像那些用蹩脚英语要钱的低级骗局,这封电子邮件看起来就像是Krasovec发的。他表示,一份带有转帐说明的附件说明发件人对他的帐户了如指掌。
这位助理让PlainsCapital Bank电汇这笔资金。他称,这家位于达拉斯的社区银行经过数月的努力才拉来了Krasovec的业务,此前该行从富国银行(Wells Fargo & Co., WFC)挖走了长期为Krasovec服务的银行家。
PlainsCapital致电该助理进行确认后实施了转账。该行未予置评。
与此同时,在中国的Krasovec每天工作14个小时,没有察觉到有什么不对劲的地方。这家披萨连锁公司在中国的发展势头迅猛,此前该公司改用了包括海鲜配料在内的当地口味菜单。
据Krasovec称,首笔转账过后三天,黑客在当地时间晚上10:26要求其助理再汇30万美元。据技术顾问Kyle Camp称,黑客改了Krasovec电子邮件的设置,导致他们的通信很快就被删除。该顾问就针对Krasovec的黑客攻击进行了调查。
几天后,Krasovec飞回位于奥斯汀的家。在可以俯瞰Lady Bird湖的办公室,Krasovec碰到了他的助手,他的助手提到她处理好了电汇事宜。
他回忆自己问道:“什么电汇?”
在他的助手解释后,他说他感觉自己崩溃了。
Krasovec相信这些骗子一进入他的服务器后就跟踪了他的行程计划,并等到他离开办公室后才给他的助手发信息。图片来源:BRENT HUMPHREYS FOR THE WALL STREET JOURNAL
他现在正在起诉PlainsCapital,认为他不应该偿还这笔被窃取的钱,因为该银行没有采取适当的反欺诈控制措施。
PlainsCapital Bank在一份法庭文件中称,毫无疑问,该损失归咎于Krasovec本人未能采取适当的内控措施来防范其公司及员工成为第三方诈骗的受害者。该银行在文件中称,Krasovec必须连本带息偿还这笔钱。
此案仍在得克萨斯州法院系统内继续审理中。
根据数十年前颁布的消费者保护法规定,客户通常有权要求归还未经授权而发生的费用。但根据美国银行家协会的说法,此条款通常不适用于客户遭到黑客诈骗后的电汇操作情形。
处理这些案件的调查人员Don Vilfer说,有时,识破电汇欺诈骗局的客户可以立即致电其银行,阻止汇款。但并不一定总能如此:法院文件显示,一家律师事务所曾在诈骗电汇请求发出约一小时后致电美国银行(Bank of America Co., BAC),但仍损失了50万美元。美国银行不予置评。
一些银行试图通过致电客户确认大额电汇请求来防止欺诈。Krasovec称,PlainsCapital Bank本应打电话给他本人,而不仅仅打给他的助理。该行对其提交给法院的文件以外的内容不予置评。
技术顾问Camp表示,Krasovec已经设置了更复杂的密码和双因素认证。本已蒙受相当大损失的他还要支付30万美元的法律费用,他也担心自己的声誉。
他谈及这场骗局时说:“这让我看起来像个傻瓜。”
Rachel Louise Ensign
(本文版权归道琼斯公司所有,未经许可不得翻译或转载。)
更多阅读:
道琼斯公司(Dow Jones)创建于1882年,旗下有道琼斯指数、Barron's、WSJ、MarketWatch、Factiva、VentureSource、Risk & Compliance等品牌。“道琼斯风险合规”是全球风险与合规服务品牌。本公众号由道琼斯风险合规中国团队运营。欢迎您关注或咨询:Johnson.Ma@dowjones.com