两公司邮箱被入侵 海外客户百万汇款进了骗子账户

日期:07-16
邮箱密码

原标题:[紫牛新闻]两公司邮箱被“入侵”,海外客户百万元汇款进了骗子账户

办公地点设在南京市中央北路的张女士最近遇到一件烦心事,她原本可以收到一笔11万美元的货款,却在邮件交流过程中被“移花接木”,钱款不翼而飞。

位于浙江宁波市的一家公司也遇到了这样神不知鬼不觉的“乾坤大挪移”,损失了4万多美元,两家公司合计损失了上百万元人民币。

骗子到底是怎么把钱款悄悄地转移走的呢?扬子晚报紫牛新闻记者进行了调查,发现被骗的两家公司同样都是在与国外客户进行收付货款交易中被骗走了钱,并且同样都是使用了付费邮箱与客户进行了往来沟通。

被骗公司的张女士猜测,是“黑客”利用了邮件交易之间的时间差,拦截了邮件,又通过复制邮件、高仿客户邮箱、全英文交流等狡猾操作,进行了一场精心策划的骗局……

疑似黑客“移花接木”

两公司损失人民币百万元

张女士做国际贸易已有20多年了,公司一点点做大,逐渐积累了一些欧洲的客户,且都有十几年的合作关系,业务相对稳定,打拼至今非常不容易。近日,张女士却遇到了烦心事。张女士告诉紫牛新闻记者,自己公司发了两集装箱的货到欧洲,本应收到近11万美元的货款,交易之前与客户用邮件沟通过,但到收货的时候,货款却迟迟打不到银行账户上。“我从今年6月中下旬开始,邮箱就开始收不到邮件了。”张女士说,只有自己的属下,还能收到邮件。

后来,张女士和客户核对了信息,怀疑是有人对自己与客户沟通的邮件做了手脚,诈骗团伙利用“黑客”技术截断了张女士和属下的邮箱中和客户交流的邮件,同时冒用了张女士公司的名义,给了客户新的银行账户要求对方付款,为了行骗逼真,还附上了假冒的张女士公司的授权书。客户因此把钱打进了骗子的账号里。

张女士说,巧合的是,自己公司原先的银行账户确实出现了问题,因此中间更换了收款银行。因为更改,欧洲客户第一次付款给银行时,被原先的银行退回了。

张女士接受采访

张女士接受采访

如此一来,张女士两箱本应收的货款近11万美元,就这样被“移花接木”,转到了“黑客”设立公司的账户上。而当张女士向客户索要货款时,得手的“黑客”已经撤离,她通过电话沟通,这才得知因为邮箱的问题,自己的信息被“黑客”截住,上当受骗了。

就在张女士为这一笔被骗的款项四处奔波时,她意外接到了位于浙江宁波的一家名为荣某国际贸易公司的电话,对方直接质问她为何“骗走”该公司4万多美元的货款。此时,作为被害者的张女士跟对方一沟通,才发现荣某公司和她一样,也被人以同样的套路骗走了4万多美元。只不过,骗子在发给荣某公司合作客户的授权书上,粗心地留下了张女士公司的电话,这才让该公司找上门来,并最终发现两家公司被同一伙人实施了诈骗,两家公司加起来损失高达人民币百万元。

黑客的狡猾:

复制邮件,高仿客户邮箱

紫牛新闻记者调查发现,攻克了张女士公司邮箱的“黑客”在与张女士客户的交流中,全程使用英文,以假乱真,直接骗过了国外客户。

“目前还不知道‘黑客’是如何掌控了我们公司邮箱的密码,他们先选择在南京高淳区某处登录我们的邮箱,然后更改了默认登录地为香港,这样异地登录就不会再有提醒了。”张女士对紫牛新闻记者说,“黑客”频繁登录自己公司的电子邮箱,并在两者之同时拦截双方往来的邮件。

紫牛新闻记者从这些往来邮件中发现,“黑客”控制了张女士的邮箱,然后冒充该公司,给国外的客户发邮件。张女士称,“黑客”侵入邮箱后,肯定浏览并研究了之前她公司的历史邮箱,并模仿公司的“口吻”发电子邮件给国外客户,同时附上了第一批货物的发票。不过,这张发票上面的银行信息是属于“黑客”的,跟张女士公司提供给国外客户的银行信息完全不一致。

此时,虽然国外客户对此产生了疑问,并回发邮件以确认银行信息。但因该邮件被黑客拦截了,张女士并不能看到。而“黑客”再次模仿张女士公司的名义,发邮件确认银行信息,同时附上一份假冒的授权书。

紫牛新闻记者发现,这张电子版的授权书上,显示张女士公司同意客户付款到“黑客”所列的银行账户上,且授权书上还被“黑客”冒用了中英文公章及公司员工的签名,顺利骗取了5万美元。紧接着,“黑客”如法炮制第二次,再次骗得5万多美元货款。

两公司邮箱被入侵 海外客户百万汇款进了骗子账户

骗子发给客户的邮件

更换银行账户

“当然,这其中也有我们的疏忽,只是对方是合作十多年的老客户,麻痹大意了。”张女士告诉紫牛新闻记者,“黑客”冒充客户发邮件给她属下索发购物发票时,因无法破解客户的邮箱密码,他“炮制”了高度近似客户邮箱的新邮箱,复制了此前跟客户交流的所有邮件内容,让人相信这是客户“回复邮件”的操作。

“由此可见‘黑客’的狡猾,他冒充我们客户的邮箱地址,后缀只有一个字母的区别,即将‘B’改为了‘T’。”张女士的属下告诉紫牛新闻记者,邮件地址后缀隐藏起来了,只显示了客户的名字,跟以往几乎一模一样,她没有点开邮箱地址细看,疏忽了。

而浙江宁波荣某公司的邮箱主人吕小姐也向紫牛新闻记者证实,“黑客”也是用了几乎一样的行骗方法骗到了他们公司的钱,从授权书留下张女士公司的电话号码来看,这两次诈骗极大可能是同一伙人。

追踪钱款流向:

两家诈骗公司设立在香港

张女士告诉紫牛新闻记者,她发现被骗后就报了案,由南京市鼓楼区中央门派出所介入调查。警方追踪被骗资金的流向,显示了两家名称均为英文的公司。紫牛新闻记者通过一家为离岸公司做注册的公司查询,发现这两家涉嫌诈骗的公司注册地在香港。

紫牛新闻记者采访得知,张女士的货款经查询是被转入香港一家中资银行设立的分行。另一家被骗的宁波公司的钱也是被转入了香港当地一家银行。

“警方做过了努力,联系了该中资银行的香港分行,但因种种原因,受到不同的限制,最终还是无法冻结。”张女士说,仅她一家公司就损失七八十万元人民币,因此不能让这类骗子继续猖獗,一定要站出来、说出来,以引起同行们的关注。

“公司业务方面的收款付款,尤其涉及到原先银行账户的变更,实在不能面谈,一定要电话沟通核实,在确认无误后再付款。邮件虽然方便,但骗子利用这其中一些不被注意的漏洞实施诈骗,有时防不胜防,只有电话核实才能有效避免被骗。”张女士对紫牛新闻记者说道。

两公司使用的

均为付费企业邮箱

紫牛新闻记者调查发现,这两家公司使用的并非免费邮箱,而是需要付费的263企业邮箱。

“我一年付费1000元,263提供了多个邮箱供我们使用,包括一个管理员邮箱及多个子邮箱。”张女士告诉紫牛新闻记者,她查过了,应该不会存在泄露邮箱密码的可能。而在事发后,该邮箱的提供方李某打来电话告诉她,骗子曾于6月6日晚上7点通过“IP:117.89.14.203”(南京高淳电信)登录了该公司管理员的邮箱,并更改权限。后又于当晚7点21分通过“IP:58.153.11.236”登录该公司的邮箱拦截国外客户的邮件。“正常来说,在南京高淳登录,因还属于南京,不属于异地,不会有提醒。而在更改权限默认在香港登录后,骗子再在香港登录该邮箱,就不会有提醒,并且随时掌握了我们的动态。”张女士说。

宁波的吕小姐所在的公司被骗,亦属同一套路,她也表示不可能自己所有邮箱的密码都被泄露。

同样都有付收款项,同样都是国外客户,同样都是英文邮件交流给付款,结果均因邮箱问题而被骗。

南京一位网络技术专业人士杨先生告诉紫牛新闻记者,一般来说,这有两种可能,一是邮箱密码泄露或者被破译,二是邮箱的服务器被攻克,部分邮箱资料被窃取。

邮箱服务商:未发现服务器被攻击

会配合警方进行调查

那么,263企业邮箱对此又有什么说法呢?紫牛新闻记者查询发现,263网络通信是国内较早开始推广专业企业邮箱服务的电信级电子邮箱服务商之一。在南京负责该邮箱的一名李姓工作人员告诉紫牛新闻记者,他并不清楚是否存在邮箱服务器被“黑客”攻击过的可能,相关情况需要跟北京总部联系。

紫牛新闻记者随后拨打了北京总部的电话,一直无人接听。随后,记者又联系上了该邮箱的售后服务,一名工作人员回复记者称,只有可能是客户自己把密码泄露了。

“点击钓鱼邮件,或者电脑中有病毒,都有可能被盗。”该工作人员称他们的服务器是很安全的,不可能被“黑客”攻击。而当紫牛新闻记者指出6月份同时有两地两家公司使用该公司付费邮箱同样出现异常情况时,且同属于有应收货款,为何有如此巧合?该工作人员称可以请警方联系他们,他们会配合警方的调查。他也希望记者联系他们总部的工作人员,但无法提供总部电话。

随后,7月12日,紫牛新闻记者通过邮件联系上了263邮箱的客服,一名工作人员回复记者,是否是公司的邮箱系统被“黑客”攻击,还需要做进一步的调查才能回复。

7月15日,紫牛新闻记者再次发邮件至263客服邮箱并留下电话,下午5点多,一名刘姓负责人联系记者,告知他们目前并没有发现自己邮件服务器有被攻击的迹象,他建议用户可以通过警方来调取相关的登录日志,他们会配合调查。

南京一家长年负责企业纠纷诉讼的专业律师告诉紫牛新闻记者,在本案中,公安机关对案件的定性至关重要,其一,263邮箱是否存在问题,如果确因付费而使用了不安全的邮箱造成了损失,对方肯定要承担相应的赔偿责任。其二,企业本身是否存在泄露邮箱密码的可能,如果这方面存在问题,那损失可能要由自己承担了。

紫牛新闻记者|梅建明

责任编辑:赵明

“贾君鹏你妈妈喊你回家吃饭” 这句话十周年了 广东一男子欲自杀 手碰裸露高压线瞬间着火
相关阅读: