騙徒冒充總裁、商業夥伴、供應商或公司職員,通過遭破解或以假亂真的僞造電郵,要求受害者將貨款或薪資轉賬到指定的銀行戶頭,導致受害者蒙受錢財損失。
據警方統計,從今年1月至9月,警方接到276起商業電郵詐騙案的報案,受害者共損失至少3200萬元。
在這些案件中,受害者都會接到商業夥伴或職員發出的電郵要求,但這些電郵其實早已被騙徒破解,或是以假亂真的僞造電郵(spoofed email)地址。用于收款的戶頭也不屬于真正的商業夥伴或職員。
與真正的電郵地址相比,僞造電郵通常會出現一些字符的錯誤拼寫,受害者若不仔細觀察,難以辨識真僞,譬如將數字“1”替換爲英文字母“l”;有的會缺少某個字母,如將“deshipping”替換爲“deshpping”;有的則將英文句號“.”替換爲“-”。
爲了欺騙受害者,騙徒也可能使用同樣的公司標志、公司網站的鏈接或常用電郵格式,也會附上含有職員名字的銀行存折複印件,讓受害者誤以爲收到了職員的真實轉賬請求。只有在供貨商或職員通知受害者尚未收到款項時,受害者才驚覺上當。
警方籲業者提高警惕,避免受騙。若遇到新的或突然更改的付款指示,應使用已知的電話號碼而非電郵中提供的電話號碼,撥電向電郵發件人核實。
警方也提醒職員(尤其是采購或人事部職員)注意這類騙局,使用較強的密碼並定期更換、並盡可能啓用雙重認證(two-factor authentication,簡稱2FA)功能,以避免電郵賬戶被破解;使用免費電郵驗證工具及免費域名系統(Domain Name System,簡稱DNS)保護服務,安裝防毒軟件、在電腦上安裝防火牆,並及時更新防毒軟件。若公司已遭遇上述騙局,應立即撥電給銀行追回款項。