亲身经历黑客改变工厂银行账号的骗局，客户和工厂拉锯战还在继续

他乡之客 · 发表于 2017-11-2 11:48:00

按道理来说，这个骗局并不新鲜，几年前就有很多人爆出来过。谁想到现如今，居然被我碰到了。
为了把事情前因后果说清楚，先弄清楚各方角色：
客户：以色列买家，用A代替，是这个骗局的最主要受害人
我本人：作为以色列客户的采购助理（没有价格以及供应商选择的决定权），买卖双方所有邮件全部抄送给我。需要的情况下居中协调，产品细节讨论并不介入。买家有支付采购额的一个点的佣金给我。
工厂：销售员C，跟单员V。
背景：该买家去年购买了200万人民币左右的货物，中间出现一些小问题，不过都解决了。今年下半年开始进行第二个订单，金额在100人民币左右。支付定金的时候客户只支付了30%，按照合同，应该支付一半，于是工厂要求客户继续支付剩下的20%。诈骗由此展开。
有一天客户打电话给我说：“工厂发生了一些很奇怪的事情，他们一会说收到了20%的定金，一会说没收到，到底是怎么回事？我已经支付了20%，他们还要我再给20000美金，支援他们的现金流”。
我也很奇怪，因为我并没有收到客户支付了20%的水单（抄送），也没有收到工厂要求再给20000美金的邮件。于是我让客户把过往邮件全部以附件形式发给我。一一查看之后，发现了这个骗局，但为时已晚。核心要素如下：
1. 黑客注册了非常接近的公司域名，用伪造的客户企业邮箱发邮件给工厂，用伪造的工厂企业邮箱发给客户。
2. 在支付定金的前后，产品细节的讨论和修改，一直都在进行。黑客会把客户发来的回复截留（客户已经把伪造的工厂信箱当做真实的工厂），用他伪造的信箱发邮件给工厂，内容完全契合；工厂发给黑客的回复，黑客会用他伪造的工厂邮箱发给客户，内容也完全契合。这样几个来回以后，双方都没有发现沟通已经中断了。
3. 黑客提供了和工厂名字非常相似的新的银行账号，要求支付剩下的20%定金。客户此时犯了重大错误，没有电话核实就支付了。导致客户掉以轻心的重要原因之一，双方在产品细节沟通上一直没有停顿，互动非常及时，并不是突然间一封邮件过来要求换账号的，让他丧失了警惕。
4.所有的邮件往来，要抄送给很多人，客户，客户的秘书，客户的工程师，我，工厂跟单，工厂销售。黑客连我的邮箱也伪造了，在抄送的时候，貌似抄送给了我，实际上抄送给了黑客的邮箱，所以自始至终，我，客户，客户的工程师，工厂跟单，我们四个人都没有收到。因为邮箱都是假的。
5.很奇葩的一点来了，所有诈骗的邮件，居然全部都抄送给了工厂销售员C的真实邮箱！这意味着整个诈骗过程，销售员收到了所有的邮件，如果她早一点介入，这个骗局完全可以避免！
那为什么工厂销售员C没有这么做呢？因为她根本没收到邮件！所有相关的邮件都会“自动”删除了！也就是说，有黑客进入了她的邮箱，设置了“收信规则”，让她貌似收到了相关的邮件，实际上却看不到所有相关的邮件！
诈骗过程就是这样的，剩下的问题就是，怎么办？黑客肯定找不到，付的钱肯定也拿不回来。那么责任谁来付？
客户主张工厂承担全部责任，后退让到一人一半，再退让到，工厂承担损失的5000 USD
工厂主张完全不承担责任，后退让到扣除销售员C的提成，700USD+，再退让到承担3000USD
我夹在中间，虽然不需要直接担负经济损失，但是被客户捏着鼻子要求两次三番去工厂找老板面谈，再不断发邮件敦促对方提高赔偿金额。
针对这个问题，我共计发了两封敦促邮件给工厂，两次驱车一个半小时去工厂面谈。
第一封：
You have made your position quite clear.
However we cannot accept this term: sharing only 745 USD from your side.
It‘s not reasonable and not fair either, that we have to pay for all the damage. 745 USD is far from enough.
I am sure your company will benefit a lot more than 30000 USD doing business with us in the long run. Mr. XXX redecorates hotel rooms every year regularly. Besides XXX hotels, I also have customers from Australia and Malaysia who will need furniture for resturants. I need to know that I can count on you at difficult times so that I would be more confident to bring more customers to you. Think twice about your proposal, please.
The best way to move forward is to share the damage half/half. I am coming again to your office tomorrow to finalize this. Hopefully I will not be disappointed.
Thank you.
第二封：
Attached is a simulation of two hotels that we are building in the coming six months
Hopefully this will help you to establish a better vision for the business that we are going to do together. It is important for both of us to work hard in order to keep this relationship up. It is true that we prefer not to switch to other suppliers because we have done business with your company and spent quite a lot of time understanding each other. But I am sure it will take you a lot of more time and resources, such as significant money on advertisement online, attending fairs overseas to get another customer like us, who has been loyal to you and actually have a lot of projects to do. When you can spend less money keeping your old customers, why risk losing them and choose to spend more looking for new ones? We request you to work on your proposal again, thank you.
我为客户的损失感到惋惜，为工厂的处境感到无奈，但是却无可奈何。回顾整个过程，我觉得自己无法避免这个事情发生，没有任何预警。
希望各位吸取我的教训，跟客户建立一个机制，如果银行账号有所变动，要通过邮件以外的途径再次确认。
千万不要有“邮箱地址再接近，也不一样，自己发现不了，活该”这种想法。没有任何人能够常年保持一级戒备状态。黑客处心积虑，而你只是以日常状态工作，一旦有黑客进入，被骗的几率比你想象的高。
[ 本帖最后由他乡之客于 2017-11-2 11:53 编辑 ]

QQ群 80828006 各种工厂资源，欢迎加入，时时会有采购需求

ronwangwb · 发表于 2017-11-2 12:18:00

所以说公司业务邮箱一定要绑定微信，绑定电脑的物理地址。还有邮箱禁止pop客户端收件

:lol

Oilfield Chemicals

2481439975 · 发表于 2017-11-2 13:06:00

学习了一切软件应用安保措施也应该做足了才能提高安全性

源头中韩/中澳证/CO,FE,FF,FR,FM,印尼FE/发票/价格单,使馆认证加签/木制品商检，买单报关！CIQ：品质证/健康证/熏蒸/植检/兽医卫生/装运前等证书

皇德耀世2017 · 发表于 2017-11-2 13:26:00

这个帖应该顶上去

他乡之客 · 发表于 2017-11-2 14:24:00

这一点的确可以避免本文的案例。核心还是银行账号变动，必须打电话。
我一直在纳闷黑客为什么留下一个真实的邮箱呢？既然篡改，为什么不全部篡改？难道是让事发之后让受害人与工厂争吵？

QQ群 80828006 各种工厂资源，欢迎加入，时时会有采购需求

hong0249 · 发表于 2017-11-2 15:38:00

黑客真是牛哦

★★★ www.changan-mold.com，长安优质模房，寻外贸SOHO合作

moses9922 · 发表于 2017-11-2 15:41:00

黑客这钱挣得不容易

单证行 · 发表于 2017-11-2 15:54:00

黑客太可恶了，顶起

Bestmwj · 发表于 2017-11-2 16:04:00

高智商国际犯罪

GRRL · 发表于 2017-11-2 16:16:00

过度预防
会对业务的能动性造成很大影响
心里防范比物理防范更重要！
只是引入银行账户变动的电话通知机制h还远远不够
公司邮箱要定期更改密码
客户来信要定期归档
设置成客户端接收处理了之后不在网络服务器上面备份
来信分类规则也要经常检查
及时发现问题避免更大损失
[ 本帖最后由 GRRL 于 2017-11-2 16:21 编辑 ]

beyondbill · 发表于 2017-11-2 18:52:00

楼主，泄露你们交易细节的源头是 “工厂销售员C”的邮箱，因此除了黑客之外，工厂应当负主要责任！
黑客首先通过工厂销售员C的邮箱获取了你们双方所有交易信息，包括邮箱地址、域名，以便于伪造。
入侵邮箱账号一般是3个途径：
1. 黑掉网站，通过网站漏洞（常见的是文件上传漏洞，SQL注入漏洞等）拿到网站数据库里的所有网站管理员用户账号和密码。有的网站数据里会包括邮箱账号密码信息。
2. 猜邮箱密码。如果密码很短比较简单，可能被猜出来。现在邮箱都强制要求输入强密码，不能输入弱密码。现在这种情况也不多见了。
3. 撞库。这种入侵途径最常见。假如你用同样的邮箱账号密码注册了另外一个网站，碰巧这个网站安全性不高，被人黑掉了网站用户数据库和密码，这样对方就拿到了你在这个网站上注册的账号和密码。接着对方就在网上搜索你在其它网站上注册的痕迹，例如paypal, ebay, taobao, alipay, gmail等大网站上你注册过的痕迹，对方用你在前面被黑掉的网站上的用户名和数据库去尝试登陆你的paypal, ebay, taobao, alipay,gmail等账号，如果你在这些网站上用的是同样的账号密码，则被入侵的可能性很大。以前爆出过类似的事件，例如天涯网等被爆过用户数据库被黑。没被爆出来的被黑网站更多。

所以日常账号密码安全防范，就是alipay, wechat pay等这类支付密码用1个密码（不用在任何其他网站上），taobao, jd， ebay等这类电商网站用1个密码（不和前面的密码重复），其它社交网站或者其它小网站用1个密码（不和前面的密码重复）。重要的邮箱密码单独设置1个密码。有条件的话，每1个网站用1个不同的密码最保险。或者过个一年半载修改一次密码。防范于未然。

www.export.cn b2b网站建设中，欢迎大家提出建议。感谢。

天高地厚 · 发表于 2017-11-3 09:05:00

我的企业邮箱密码改的连我自己都不知道每次网页登录都需要翻本子大小写字母+数字结合

酒不醉人人自醉！

wqx979 · 发表于 2017-11-3 09:57:00

身边还真有类似的事情发生过
真担心万一某天发生在自己身上，就倒霉了，平时就是普通的工作，谁会365天*24小时保持一级戒备
说实话，发生了损失，那责任找谁负责都负责不起，现在卖方的利润都不会很高，不赚钱事少，要无端端被赔钱，叫谁都不甘心，买方也倒霉，钱白被骗了去，有冤无路诉。
马克，继续关注事情的发展

东莞实木/木皮家具

ssjjtj · 发表于 2017-11-3 10:28:00

过程应该是黑客黑掉了工厂业务员C的邮箱。然后看了邮件后觉得可以试试中间人攻击，于是注册了相近的域名然后架设邮箱，这个过程很快，而且免费。
只篡改了关键信息其余的全部复制发送。
只所以抄送C的邮箱，是为了取得信任，也是为了避免进入垃圾箱，毕竟他用的免费邮箱。
工厂业务员邮箱被黑是起点，我觉得客人提出让他们负担50%损失是合理的。
多和客人建立其他沟通渠道。警惕手机收信，手机屏幕小发信地址和方式往往显示不全，有的邮件伪造的也看不出来。

vip · 发表于 2017-11-3 10:38:00

如果C早来看过案例或许就能防范
许多案例，并非那么复杂，黑客黑掉邮箱的我还真没听说过，都是发一个钓鱼链接，业务员以为是客户，头脑一热就输入了自己的邮箱帐号和密码，这种业务员到今天还大量存在，懂点外贸，但对网络安全许多都是空白的。
外贸新人入职，我个人认为老板应该先教育提防外贸钓鱼，学习网络安全,但实际上许多老板自己都不知道。这个事情，其实那些没事成天找老板的b2b销售可以做，自己先学会了去企业做点实事。
http://waimaoluntan.com/forum-168-1.html

最重要的事情说三遍右上角搜索帮你快速找到需要的

		自动登录	找回密码
密码			立即注册