(原标题:两公司邮箱疑被入侵 海外客户百万汇款遭骗子“截胡”)
据扬子晚报消息,南京的张女士最近遇到一件烦心事:她的公司原本可以收到一笔11万美元的货款,却在邮件交流过程中被“移花接木”,钱款不翼而飞。位于浙江宁波市的一家公司也遇到了这样的“乾坤大挪移”,损失了4万多美元,两家公司合计损失了上百万元人民币。扬子晚报紫牛新闻记者调查发现,两家公司都是在与国外客户进行收付货款交易中被骗走了钱,并且在与客户沟通中都使用了263付费邮箱。张女士猜测,是“黑客”利用了邮件交易之间的时间差,拦截了邮件,又通过复制邮件、高仿客户邮箱、全英文交流等“狡猾”操作完成了“截胡”……
损失惨重
疑似“黑客”截胡,两公司损失百万货款
张女士做国际贸易已有20多年了,辛辛苦苦把公司一点点做大,逐渐积累了一些欧洲客户,业务相对稳定。近日,张女士却遇到了烦心事,她的公司发了两集装箱货到欧洲,本应收到近11万美元的货款,交易之前与客户用邮件沟通过,但到收货的时候,货款却迟迟打不到银行账户上。“我从今年6月中下旬开始,邮箱就开始收不到邮件了。”张女士说,只有自己的属下还能收到邮件。
张女士和客户核对了信息,怀疑有人在自己与客户沟通的邮件上做了手脚,用“黑客”技术截断了他们邮箱中和客户交流的邮件,同时冒用了张女士公司的名义,给了客户新的银行账号要求对方付款。为了行骗逼真,骗子还附上了假冒张女士公司的授权书。客户因此把钱打进了骗子的账号。
巧合的是,张女士公司原先的银行账户确实出现过问题,中间更换过收款银行。因为更改,欧洲客户第一次付款给银行时,曾被原先的银行退回了。
在和欧洲客户沟通后,张女士才得知因为邮箱的问题,自己的信息可能被“黑客”截住,货款遭“截胡”。
就在张女士为这一笔被骗的款项四处奔波时,她意外接到了位于浙江宁波的一家名为荣某国际贸易公司的电话,对方直接质问她为何“骗走”该公司4万多美元的货款。跟对方一沟通,张女士发现荣某公司和她一样,也被人以同样的套路骗走了4万多美元。只不过,骗子在发给荣某公司合作客户的授权书上,留下了张女士公司的电话,这才让该公司找上门来。两家公司最终发现都被同一伙人给骗了,两家损失加起来高达人民币百万元。
高仿客户邮箱,全程英文以假乱真
紫牛新闻记者调查发现,攻克张女士公司邮箱的“黑客”在与张女士客户的交流中,全程使用英文,以假乱真,直接骗过了国外客户。
“目前还不知道‘黑客’是如何掌控我们公司邮箱密码的,他们先选择在南京高淳区某处登录我们的邮箱,然后更改默认登录地为中国香港,这样异地登录就不会再有提醒了。”张女士说,“黑客”频繁登录自己公司的电子邮箱,同时拦截双方往来的邮件。
紫牛新闻记者从这些往来邮件中发现,“黑客”控制了张女士公司的邮箱,然后冒充该公司,给国外的客户发邮件。张女士称,“黑客”侵入邮箱后,肯定浏览并研究了之前她公司的历史邮箱,并模仿公司的“口吻”发电子邮件给国外客户,同时附上了第一批货物的发票。不过,这张发票上面的银行信息是属于“黑客”的,跟张女士公司提供给国外客户的银行信息完全不一致。
虽然国外客户对此产生了疑问,并回发邮件以确认银行信息。但因该邮件被黑客拦截,张女士看不到。而“黑客”再次模仿张女士公司的名义,发邮件确认银行信息,同时附上一份假冒的授权书。
这张电子版授权书显示张女士公司同意客户付款到“黑客”所列的银行账户上,且授权书上还被“黑客”冒用了中英文公章及公司员工的签名,顺利骗取了5万美元。紧接着,“黑客”如法炮制,再次骗得5万多美元货款。
张女士告诉紫牛新闻记者,“黑客”冒充客户发邮件给她属下索要购物发票时,因无法破解客户的邮箱密码,最后是“炮制”了一个跟他们欧洲客户邮箱高度相似的新邮箱。“由此可见‘黑客’的狡猾,他冒充我们客户的邮箱地址,后缀只有一个字母的区别,即将‘B’改为了‘T’。”张女士的属下告诉紫牛新闻记者,邮件地址后缀隐藏起来了,只显示了客户的名字,跟以往几乎一模一样,她没有点开邮箱地址细看,疏忽了。
而浙江宁波荣某公司的邮箱主人吕小姐也向紫牛新闻记者证实,“黑客”用了几乎一样的行骗方法骗到了他们公司的钱,从授权书上留下张女士公司的电话号码来看,这两次诈骗极可能是同一伙人所为。
警方调查
追踪钱款流向,指向两家香港公司
张女士发现被骗后就报了案,由南京市鼓楼区中央门派出所介入调查。警方追踪被骗资金的流向,最后指向两家名称均为英文的公司。紫牛新闻记者查询发现,这两家涉嫌诈骗的公司注册地都在中国香港。
张女士的货款经查询是被转入香港一家中资银行设立的分行。另一家被骗的宁波公司的钱被转入了香港当地一家银行。
“警方联系了上述中资银行的香港分行,但因种种原因,受到不同的限制,最终还是无法冻结。”张女士说,仅她一家公司就损失七八十万元人民币,因此不能让这类骗子继续猖獗,一定要站出来、说出来,以引起同行们的关注。
“公司业务方面的收款付款,尤其涉及到原先银行账户的变更,实在不能面谈,一定要电话沟通核实,在确认无误后再付款。邮件虽然方便,但骗子利用其中一些不被注意的漏洞实施诈骗,有时防不胜防,只有电话核实才能有效避免被骗。”张女士说。
邮箱疑云
被骗公司用的都是付费263企业邮箱
紫牛新闻记者注意到,两家被骗的公司使用的都是需要付费的263企业邮箱。
“我一年付费1000元,263提供了多个邮箱供我们使用,包括一个管理员邮箱及多个子邮箱。”张女士告诉紫牛新闻记者,她查过了,应该不会存在泄露邮箱密码的可能。而在事发后,该邮箱的提供方李某打来电话告诉她,骗子曾于6月6日晚上7点通过“IP:117.89.14.203”(南京高淳电信)登录了该公司管理员的邮箱,并更改权限。后又于当晚7点21分通过“IP:58.153.11.236”登录该公司的邮箱拦截国外客户的邮件。
“正常来说,在南京高淳登录,因还属于南京,不属于异地,不会有提醒。而在更改权限默认在香港登录后,骗子再在香港登录该邮箱,就不会有提醒,并且随时掌握了我们的动态。”张女士说。
宁波的吕小姐所在的公司被骗,亦属同一套路,她也表示不可能自己所有邮箱的密码都被泄露。
同样都是收款,同样都是国外客户,同样都是英文邮件交流给付款,结果均因邮箱问题被骗。
南京一位网络技术专业人士杨先生告诉紫牛新闻记者,一般来说,这有两种可能,一是邮箱密码泄露或者被破译,二是邮箱的服务器被攻克,部分邮箱资料被窃取。
服务商:未发现“被攻击”,会配合警方调查
那么,263企业邮箱对此有什么说法呢?紫牛新闻记者查询发现,263网络通信是国内较早开始推广专业企业邮箱服务的电子邮箱服务商之一。在南京负责该邮箱的一名李姓工作人员告诉紫牛新闻记者,他并不清楚是否存在邮箱服务器被“黑客”攻击过的可能,相关情况需要跟北京总部联系。
紫牛新闻记者拨打了该公司北京总部的电话,一直无人接听。随后,记者联系上了该邮箱的售后服务,一名工作人员回复记者称,只可能是客户自己把密码泄露了。“点击钓鱼邮件,或者电脑中有病毒,都有可能被盗。”该工作人员称他们的服务器是很安全的,不可能被“黑客”攻击。
对于南京和宁波两地公司使用该公司付费邮箱出现了同样的异常情况,该工作人员表示,可以请警方联系他们,他们会配合警方调查。他也希望记者联系他们总部的工作人员,但无法提供总部电话。
7月12日,紫牛新闻记者通过邮件联系上了263邮箱的客服,一名工作人员回复记者,是否是公司的邮箱系统被“黑客”攻击,还需要做进一步的调查才能回复。7月15日,紫牛新闻记者再次发邮件至263客服邮箱并留下电话,下午5点多,一名刘姓负责人联系记者,告知目前没有发现邮件服务器有被攻击的迹象,他建议用户通过警方来调取相关的登录日志,他们会配合调查。