iT邦幫忙

0

請教各位先進大大,

不知是否有人遇過這樣的狀況?  
客戶要匯款到我們公司, 但客戶沒有收到我們提供銀行帳戶的email, 反而收到另外變造過的email提供了其他的銀行帳戶(客人收到的變造的信的寄件人是我們公司email address), 因而將貨款匯到駭客指定的銀行帳戶.  

小弟在思考可能發生的原因  

  1. 客戶的電腦/email被植入木馬,對於這類銀行訊息篩選攔截然後變造emai之後詐騙?
  2. 客戶的email密碼被盜用

類似這樣的狀況除了傳真提供銀行訊息, 有沒有可能有其他方式預防?
希望有大大可以分享指教, 謝謝ㄅ

看更多先前的討論...收起先前的討論...
正確來說是你們公司中木馬了,IT 人員要先懷疑自己,把所有狀況都處理完了,再去質疑對方
再說了,付款這種事情,再付款前雙方都必須確認,單純透過郵件也未免太不夠正式
我家業務除了郵件之外,還必須透過傳真確認雙方付款的條件與帳號,這都要經過簽認的
就算不是如此,也要經過銀行簽認,確認該帳戶就是我們公司的帳戶
沒有經過簽認的付款行為本來就不保險,只能說你們的交易流程有很嚴重的問題
Daniel iT邦新手 2 級 ‧ 2016-10-27 11:36:48 檢舉
檢查 SMTP log,看看對方為何沒有受到信件,或許會有蛛絲馬跡。
williejen iT邦新手 5 級 ‧ 2016-10-27 13:48:35 檢舉
謝謝 窮嘶發發, ss512new 二位回覆,
是的,我們還沒排除公司電腦中木馬的狀況,也正在查核中,同時也請郵件代管公司查核相關log,看是否能查出是哪個環節出問題.

付款流程是需要且可以立即改善的,謝謝提供意見, 感恩!
williejen iT邦新手 5 級 ‧ 2016-10-27 15:09:58 檢舉
TO ss512new:
剛剛收到ISP的回覆,我們的email從mail server出去到ISP的smtp以及到對方的mail server時間紀錄是都正常,也沒有異常的IP登入紀錄

但由對方今天提供他收到的相關email看來, 我們寄給他的最後一封信是請他們匯款後提供匯款證明, 這封信從寄到對方mail server的時間和對方今天提供收到的email時間落差有2個多小時, 然後再過一個多小時, 對方就收到偽造的通知更改銀行帳戶的email了, 不知道這樣是否可以判斷有可能是mail server或對方帳戶受到入侵才有這樣的時間落差? 但我們仍不排除是自家電腦有中木馬, 也還在掃描中.
Daniel iT邦新手 2 級 ‧ 2016-10-27 17:05:57 檢舉
從您的描述看來,如果可以排除人為因素,那麼這個潛入程式還懂中文,也可以解析郵件內容(截圖類病毒?)。
如果偽造的銀行帳戶也在臺灣,是否可能報警讓警方介入偵辦較為妥當。

請對方檢查偽造信件 SMTP log 的 IP 是否是你公司發出,先釐清偽造信件來源比較好查。

如果情況允許,可以做個測試,但要和對方會計協調,由貴公司再度發出類似要求匯款證明郵件,看看能否釣出偽造信件。

牽涉兩間公司,要查難度蠻高的,以上,給您參考。
williejen iT邦新手 5 級 ‧ 2016-10-28 08:50:13 檢舉
ss512new大大, 謝謝您詳細的說明,

不好意思我之前沒有說明清楚, 涉及到的email內文是英文的, 而對方是在法國的公司, 我們昨天已提供相關訊息給對方, 要等對方的回覆, 看看他們針對此事的態度為何, 不確定後續對方是否願意配合, 但我們會試試看, 感謝~
Daniel iT邦新手 2 級 ‧ 2016-10-28 09:35:24 檢舉
不客氣,希望有幫到你。
我們公司有遇過,是一名韓國客戶,有次客戶來台還特別來參觀機房(唯一一個要求看機房的)

那次是客戶的信箱被駭,他是用hotmail收發信,雖然寄件者的名稱被改成我們的業務名字,但是mail address一看就不是我們的郵件主機發出的,那次後有特別請業務要告知客戶,公司不會更改匯款帳號。(聽業務說,這客人傻傻的付了2次貨款,第2次才發現,我們這邊都沒收到貨款)
williejen iT邦新手 5 級 ‧ 2016-11-02 16:29:11 檢舉
TO 不要問我充電要多久:
謝謝您的分享,總之希望不要再遇到...
3
門神JanusLin
iT邦超人 1 級 ‧ 2016-10-27 10:13:36

郵件詐騙他的本質是什麼…

沒錯
目標就是你的錢 ^^

不管是Mail郵件詐騙
Skype詐騙
Line詐騙
電話詐騙
通通都是要你的錢

所以帳款流程要專業一點

  1. 在貴公司的網站需要優先告知,貴公司的匯款帳號不會隨便更動
  2. 在給客戶的廠商資料表再一次告知,本公司的匯款帳號不會隨便更動
  3. 在每次收發款的Mail或是傳真中,再次提醒對方,公司的匯款帳號不會隨便更動
williejen iT邦新手 5 級 ‧ 2016-10-27 14:14:26 檢舉

謝謝 門神JanusLin 提供參考資訊及回覆,我們也已向主管建議修改付款流程.

Welcome

2
做工仔人!
iT邦高手 1 級 ‧ 2016-10-27 10:23:55

上週五去上 E-mail 課程時,講師有提到:這是新的入侵方式.
基本上應該是你們或客戶的有電腦被入侵並潛伏一段期間了.了解有貨款要匯時,再利用"時差"不方便求證的情況.利用偽造的邸件通知變更匯款帳戶以截取貨款.
在SMTP的通訊協定中,要偽造寄件人帳號是一件"非常"容易的事.
目前已經是事後了.

  1. 先以亡羊補牢的方式:將電腦掃掃毒.以避免之後再發生.
  2. 與客戶及供應商協調:匯款帳戶的變更流程及驗證.如:
    A. 帳戶變更至少要10天後生效(避免駭客利用臨時變更帳戶方式截取貨款).
    B. 雙方財務人員以電話方式相互驗證-最好是撥對方的總機再轉分機的方式(駭客比較難掌控電話系統).
williejen iT邦新手 5 級 ‧ 2016-10-27 15:01:00 檢舉

謝謝分享,我們也已在做相關亡羊補牢的動作.
只是也在思考除了修改匯款交易流程,在IT方面是否有更積極的作法或工具來避免這樣的狀況? 不知您上課時講師是否有相關資訊? 感謝!

1
丹尼
iT邦研究生 4 級 ‧ 2016-10-27 11:13:26

請記得不要相信任何非本公司相關郵件或者XXXX相關訊息
如有任何疑問或者XXX問題請撥本公司電話XXXXX
交易過程中如匯錯款項,本公司一概不負責

會錯款項時,銀行那端也會很頭痛。

williejen iT邦新手 5 級 ‧ 2016-10-27 15:01:52 檢舉

感謝您的回覆及分享!

1
dslchang
iT邦新手 5 級 ‧ 2016-10-28 13:54:39

我們公司在2013年就被詐了一次.
事由是公司一位主管不查點開某不明的郵件,被植入木馬然後駭客就以他的郵件地址發給國外客戶通知某張訂單的支付帳號變更,那筆貨款就這樣飛入駭客的口袋.第一收款帳號開戶銀行竟然還是在平時收款帳號的相同城市. 也因此被忽視了是否應該再次求證.
這個事件關聯了國外客戶,我司與大陸供應商三方,經向第一收款帳號開戶行所在地的大陸公安報案後,銀行調出帳號開戶人開戶時的綠影看出是個阿三.不過早已人去樓空了.N萬美元就這樣損失.

從此事件後我們對於這種金融支付的任何變更除了郵件通知外, 還是回去使用20世紀那個時代的老方法, 雙方主管電話再確認之.

當然啦,不要隨便開啟陌生的郵件這個警示條永遠是貼在同事們的電腦銀幕旁.

williejen iT邦新手 5 級 ‧ 2016-10-28 16:01:43 檢舉

TO:dslchang
謝謝您的分享,可否跟您請教後來是如何查出主因是主管電腦被植入木馬?謝謝!

dslchang iT邦新手 5 級 ‧ 2016-11-01 13:27:13 檢舉

那是主管承認有點開那份可疑郵件. 客戶指出那段時間內有幾份郵件的發出郵件地址是我方主管的, 但是我方主管並未發出那些. 主管使用個人電腦處理業務, 他的防毒是免費版的(不知道是否因此功力不夠) 事發後他掃毒並未查出有未明程式. 被植入木馬是最終的合理認定. 此事件的重點是: 不開啟未明郵件與網路時代金融帳戶資料異動的保安方法.

williejen iT邦新手 5 級 ‧ 2016-11-02 16:23:49 檢舉

TO:dslchang
謝謝您的回覆,經過此次事件,我們正檢討整個資安架構還有教育訓練,希望不要再發生同樣的狀況.

1
humming
iT邦研究生 4 級 ‧ 2016-11-02 13:38:26

去年手上的客戶也發生一樣的事情。客戶在大陸,付款方在荷蘭,荷蘭方在收到駭客所變造的郵件後,直接將一百萬美金匯進駭客帳戶,且未向大陸方查證銀行帳戶是否有變更的問題。
期間大陸方業務一直向荷蘭方催討這筆帳款,不過荷蘭方都沒有回應,過了一個月後荷蘭方才發現出大問題,並將所有往來郵件都寄到我這邊,並指責是我這邊的EMAIL伺服器有問題,必須負責這筆費用,與他們無關。

我解析所有的郵件後發現的疑點:

  1. 對方所指稱我方發過去的郵件是被駭客入侵後所發,但查證後發現駭客所偉造的名字(中方業務主管),查EMAIL內文後發現根本不是中方的EMAIL。
  2. 駭客指定的是在美國的銀行帳戶,一個大陸的廠,完全沒有美國的業務,怎會有美國的銀行帳戶,且荷蘭方在沒有確定帳戶是否變更前,為何急於付款。
  3. 更可疑的是為何這一個月間大陸方一直向荷蘭方催這筆帳款,卻沒有任何回音。

總之後來雙方都報警了,至目前也沒有調查結果,只有駭客爽爽發三封信就拿到一百萬美金。

williejen iT邦新手 5 級 ‧ 2016-11-02 16:28:16 檢舉

TO:humming
謝謝您的分享,我想要追回款項是不可能的事
不過以我們這次所遇到的,駭客竟然能用我們公司名稱在另一個國家的銀行開戶!?不曉得那銀行是依據什麼文件來開戶,覺得也是很扯...

我要發表回答

立即登入回答