Google、Facebook 乖乖把钱汇入“他的”帐户，东欧骇客“代收”广达 38 亿惊奇
https://technews.tw/2019/07/14/hacker-fraud-google-facebook-quantatw/
作者 财讯 | 发布日期 2019 年 07 月 14 日 0:00
https://i.imgur.com/pXAgnY3.jpg
这是一堂台湾公司都不能忽视的资安课。
一名东欧骇客，竟然从广达、Facebook 和 Google 3 家全球顶尖的高科技公司，
盗走超过 1 亿 2,100 万美元（约新台币 38 亿元），
整个过程有如电影《神鬼交锋》。
2019 年 3 月 21 日，一则来自纽约的司法新闻，揭开这场骗局的真相：
立陶宛男子黎玛索斯卡（Evaldas Rimasauskas），
因假冒台湾广达公司身分，替广达领取货款，
诈骗美国 Facebook 和 Google，被引渡到纽约受审。
路透报导，这一天，黎玛索斯卡在纽约曼哈顿法院认罪，
同意归还其中 4,970 万美元，
他骗走 Google 2,300 万美元、Facebook 9,800 万美元，
创下全球社交工程被骇金额新纪录，
即使人抓到了，还有 1,730 万美元不知去向。
布局多年的跨国骇客犯行曝光
《财讯》向广达求证，广达代表只表示，已进入司法程序，不便对外发言，
但公司财务并未受到影响。
一般大型公司对付款流程会层层把关，这一次总金额更超过 1 亿美元，
为什么连负责把关的财务部门、银行都被骗过？
更令人不解的是，黎玛索斯卡原本是立陶宛一家建设公司的经理，
他为何是这场案件里唯一落网的人？
▲ 广达董事长林百里。
https://i.imgur.com/Ozza4UG.jpg
美国法院文件拆解了骇客布局的过程。
2013 年时，黎玛索斯卡分别在拉脱维亚和赛普路斯，
成立了两家和广达英文名字一模一样的公司，并且开设银行帐号。
接着，他布局 2 年，想办法伪造双方来往的邮件，甚至在关键时刻，
用广达员工的名义发信给这两家公司的员工，
“要求对方把积欠的货款、服务费都还清”，
还进一步要求，更改付款方式，从原本汇到亚洲的广达帐户，
改为汇到位于赛普路斯和拉脱维亚的“假广达”帐号。
这么大笔的交易，银行理应不会轻易放行，
但黎玛索斯卡拿出 Google 和 Facebook 的收据、合约，
甚至高阶主管的签名、盖有公司章的文件，向银行证明确实有这笔交易。
一拿到钱，他马上把钱转入香港、匈牙利、爱沙尼亚等 7 个地方的帐户洗钱；
最后，黎玛索斯卡是因为实际开设帐户，在提款时被捕。
关键 1：邮件帐号被骇客监控
台湾微软资讯安全暨风险管理协理林宏嘉观察，
这种犯罪手法可视为社交工程的进阶运用，常见状况是，
犯罪者渗透进入邮件系统后，先只悄悄读取这个人的往来信件。
如果被骇的人是公司老板，当他发现被害人的信箱收到预订机票的信件，
就可能趁他在飞机上，或是没有办法回信的短暂时间，
替他发邮件向供应商“讨债”，把钱汇进他的户头。
在欧洲，甚至有一种房仲诈骗，骇客入侵房仲的邮件系统，
平常按兵不动，只默默读取房仲的邮件，等到有房子成交，
消费者要付款时，骇客就浮上水面，不但阻断真房仲发出的邮件，
还用他的身分发邮件，要消费者把买房子的钱汇到骇客指定的帐号，
在英国，许多消费者因此被骗走终身积蓄。
更可恶的是，骇客通常在英国时间星期五发动攻击，
等到钱一汇进假房仲的帐户，就立刻把钱转到亚洲等地的户头，
利用银行休假时间，创造洗钱的断点。
关键 2：真资讯加假帐号突破控管
林宏嘉分析，犯罪者要花长时间才出手，因为他们锁定有价值的对象后，
就必须完全了解双方交易的过程与节奏，甚至特定的专业术语，
“就像在上另一个班”
他形容，犯罪者必须让自己就像参与这专案的一分子。
等到时机成熟，犯罪者发出请款要求，因为专案名称是真的，
交易的过程都真实存在，而帐号资讯早透过正常程序动过手脚，
才能通过所有流程，让财会单位同意把钱付出去。
“你看过电影《神鬼交锋》吗？”
他分析，很多高明的骗局，让真讯息和假讯息糅合在一起，达成目的。
“我办过不少类似这样的攻击，其中一个案子，
受害者、诈骗者和被冒名者，来往 2,000 封信，
竟只有不到 5 封是真的，攻击者完全融入整个供应链。”
“这么高的交易金额，不用见面签约吗？”
《财讯》记者问，林宏嘉推断，骇客就是因为长时间监听，
知道付款规则、签核等程序的复杂度，所以锁定这些已经有稳定交易，
要求付款不容易被起疑的供应链交易，
再挑选一个双方最难查证的时间点发动诈骗，
这样 3 分真 5 分像的情况下，往往容易一击就成功得手。
▲ 现代企业的运作高度依赖网络，连像广达这样的高科技公司都可能受害，
货款因此被骇客拦截。
https://i.imgur.com/KSSWiAL.jpg
钱转入户头后，骇客集团最难的挑战是如何创造断点，阻绝国际警方追查。
黎玛索斯卡落网，是因为他就是扮演车手角色，
不只广达的假帐户是用他的名义开的，他也曾直接从帐户提款花用，因此被捕。
但剩下的 7,000 多万美元在哪里？
谁才是真正的主谋？
目前不得而知。
关键 3：制造断点阻绝追查
勤业众信联合会计师事务所董事万幼筠则观察，
“这种手法都经过非常精密的设计”，
这类型的犯罪，犯罪者很了解业务内容才办得到，有时，
还可能涉及企业内部舞弊，请出关键人物出场配合，让公司做出错误的判断。
《财讯》调查发现，广达绝不是唯一个案，
当骇客攻击愈来愈有规模、手法愈来愈精细，连全球大厂都难逃资安威胁。
台湾风险正在上升，一股闇黑势力正在扩散，已成为重要的国安问题。
（本文由 财讯 授权转载；首图来源：达志影像）
延伸阅读：
人工智能最聪明的两间公司 Google 和 Facebook，也被东欧男子钓鱼诈骗了 1 亿美元
https://technews.tw/2017/04/30/
facebook-and-google-were-victims-of-100m-payment-scam/