本集《防騙專家》談談商業電郵騙案的趨勢,拆解騙徒如何入侵企業的電郵通訊系統,再假冒他們的生意伙伴,靠一封虛假電郵騙走過百萬元。網絡安全專家會講解,如何識別可疑的虛假電郵,以及核實電郵寄件者身份時要注意的事項。

騙徒向公司老闆發電郵 員工按指示匯款損失過百萬

其中一宗商業電郵騙案的事主陳先生(化名),他在公司負責轉帳給有生意往來的伙伴公司。數月前,他接獲上司通知,指收到生意伙伴的電郵,提示他們支付過百萬元款項。他於是按上司指示轉帳,後來才洞悉該電郵是由騙徒假冒他們的生意伙伴發出。

「對方假扮一間與我們有生意往來的公司發出電郵,騙徒向我老闆表示,該公司已更改新轉帳戶口,更指我們有一張帳單要找數。我老闆當時沒有看清楚電郵地址,於是將電郵轉發給我,叫我根據已更新的帳戶號碼過數。」

陳先生不久便將款項轉到騙徒的戶口,他的上司及後致電騙徒假冒的公司,向對方確認是否已收款,「對方指,他們根本沒有更改轉帳戶口」,才揭發案件。

事後發現電郵地址被「做手腳」

事主其後從騙徒的電郵地址看出端倪,「與真的電郵地址很相似,只是更換了當中部份英文字母」,質疑騙徒早有部署,只是輕微改動了生意伙伴的電郵地址,似乎是「有做功課」才下手。他又說,經過今次事件之後,公司已得到教訓,日後再收到匯款指示時,對方如果突然聲稱更改了銀行戶口,就要先向該公司的職員核實。

網絡安全專家:可留意電郵用字或口吻

要有效識別可疑的虛假商業電郵,並不能夠單靠公司系統的防毒軟件。香港互聯網註冊管理公司網絡安全經理林嘉棋(Arktos)表示,商業電郵騙案一般涉及人為因素,而非系統裝置的問題。

「現時的商業騙案較多是引領化的攻擊,系統裝置是最後一道防線,但一旦當事人沒有懷疑該封電郵而墮入騙案,系統就未必能發揮作用。騙徒可能會假扮高層職員發出虛假電郵,指示職員處理緊急事件,例如過戶或金錢交易等;職員在緊急情況下沒有求證,就可能導致騙案發生。」

Arktos又指,騙徒一般較難學習公司職員的用字或句式習慣,因此提醒除了檢查寄件者的電郵地址外,亦可從內文分辨電郵真偽。「例如平時你跟同事溝通,對方發電郵給你,會用特別方法或簡稱來稱呼你;如果同事突然用很正統的格式發電郵,或者用不同的專稱,就要多加留意。」

一旦懷疑受騙 應直接致電對方公司核實

Arktos表示,如果公司職員有懷疑,應立即致電對方核實,但如果對方並非相熟的合作伙伴,就千萬不要致電電郵內提供的電話號碼,「因為假電郵中提供的電話號碼,很大機會都是假的,騙徒可能想誘使職員來電,套取更多資料」,建議在網上或循其他途徑,尋找相關公司的電話號碼。

他指,公司應定期為員工提供培訓,並多留意最新的假電郵行騙手法,亦可瀏覽香港互聯網註冊管理公司與政府資訊科技總監辦公室合辦的「Cybersec Infohub」平台,裡面會定期更新有關網絡安全的新聞,以及報告網絡安全事故。

警方網罪科:今年首5個月 電郵騙案損失金額達4億元

有別於其他騙案,過去數年的商業電郵騙案的數字呈現下降趨勢,不過涉案損失金額就仍然是科技罪案中最多。單是今年首5個月,警方網絡安全及科技罪案調查科已錄得155宗電郵騙案,損失金額約4億元,當中80%均為商業電郵騙案。

網罪科網絡安全組協作隊高級督察楊栢灝(Paul)表示,近期最大宗的電郵騙案涉及一間外資投資公司。警方今年初接獲公司一名員工報案,指去年12月收到騙徒發出的偽冒電郵,聲稱是公司的客戶,要求該名員工匯款,以購買兩個海外住宅物業。

「該名員工信以為真,先後分開4次,將合共960萬美元(折合約7500萬港元),存到騙徒指定的兩個本地銀行戶口。約一星期後,公司收到真正客戶查詢有關匯款,才發現公司受騙。」

騙徒利用黑客技術等 入侵企業系統盜取客戶資料

Paul指,騙徒一般會利用黑客技術或網絡釣魚攻擊方式,入侵企業的電郵通訊系統,窺看他們的電郵來往,之後冒充公司的生意伙伴,利用極相似的口吻和電郵,聲稱銀行戶口有改動,甚至要進行盤點等,要求企業將款項存入指定本地或海外銀行戶口。

他又說,騙徒可能會在電郵地址上「小修小改」,例如將英文字母L改為數字1,令寄出的電郵與真正的電郵非常相似。「電郵標頭(email header)亦可提供很多資訊,包括可以了解寄件者的IP地址,知道對方寄件的位置。如果發現寄件者的IP地址所屬地區有異樣,就要提高警覺。」

網罪科與香港大學早前已研發「可疑電郵偵測系統 V@nguard」,可協助中小企自動識別可疑商業電郵。警方「守網者」平台亦設有「網絡釣魚詐騙搜尋器」,市民可登入CyberDefender.hk網頁,在頁面上方的搜尋欄輸入可疑的網站或電郵地址,之後按搜尋鍵,就可核對該網站或電郵是否與「釣魚詐騙」有關。

Paul提醒,公司職員一旦懷疑受騙,應立即終止所有網上交易,盡快收集與騙徒的對話紀錄、交易轉帳紀錄,以及銀行帳戶號碼等資料,並致電警方防騙易熱線18222,反詐騙協調中心會適時跟進或協助截款。他又建議各大小企業,應建立核實機制,如果出現新銀行戶口匯款指示,應先特別審批,並直接以電郵以外的方式與對方確認;而企業的電郵系統亦應設置高強度密碼,並定期更改密碼。