釣魚攻擊很多時針對的不是專業的 IT 員工,而是銷售、人力資源等安全意識較低的部門,所以即使是著名的科技公司也有機會被釣魚電郵騙財。日前有報導稱,有不法分子冒充電腦零件供應商發電郵給 Facebook 和 Google,成功騙取 1 億美元。
今年三月美國司法部起訴一個立陶宛籍男子 Evaldas Rimasauskas,涉嫌在 2013 年起偽冒一間亞洲電腦零件供應商,並透過電郵在兩年間騙取兩間科技公司 1 億美元。不過案情僅指兩個受害者為「跨國網絡服務公司」和「跨國社交媒體公司」,並未透露真實的身分。
但根據《財富》調查,該兩個受害者就是大名鼎鼎的 Google 和 Facebook;至於被冒充的電腦零件供應商則為台灣的廣達,他較早前已承認身分遭盜用。
報導指出,廣達一直與 Google 和 Facebook 有生意來往,Rimasauskas 看中這點便偽造廣達的電郵、發據和公司印章,兩年間欺騙 Google 和 Facebook 的會計員工匯款 1 億美元給他,成事後便馬上存入款項至多個東歐的銀行戶口。
Google 和 Facebook 接受查詢後均承認事件,可幸的是他們已取回大部分被騙款項。不過由於疑犯 Rimasauskas 擔心不公平審訊,現時仍在立陶宛未被引渡至美國。
雖然 Google、Facebook 經常強調網絡安全,但未必每個員工都具備足夠的電腦知識應對網絡威脅。事實上,很多惡意電郵都專門針對銷售、人力資源等安全意識較低的部門,例如勒索軟件 Petya 就會偽裝成屨歷表,誘導人力資源部員工打開惡意附件來入侵。
Source : Fortune