數天前,香港發生了一宗涉及2億港元的騙案。騙徒假冒一間跨國公司海外總部的CFO,要求分行財務人員參加一場機密會議,騙徒透過深偽技術生成虛擬短片,在「視像會議」上向職員作出「投資」指示,要求轉賬大額金錢至不同戶口,其中更不以正面對答的形式,令受害人無法確認。受害人因為這個指示,真的執行了涉及2億港元的轉帳,之後與英國總部同事溝通時,發現受騙後報警。
Deepfake的出現,令以往我們常說的「P圖」變成更防不勝防。昔日有些相片因為能夠使用Photoshop去做幾可亂真的修改,令圖片往往給人一種並不可靠,不能成為佐證的感覺。而短片除了荷李活的級數外,普通人又真的相對不容易使用那些真假難辨的技術。
但到了現在,隨着科技的進步。網速的進步、電腦性能過剩、疫情後大家接受了網上會議,令駭客能使用的騙術靈活性大大的增加,亦令員工被騙的機會多了,防御困難了。
筆者這裡並不特別詳談Deepfake技術的破綻或者如何識辨,因為隨着科技的進步,只能說越來越難分別這種一如電影Matrix那種變身。也覺得有人建議指名會議參與者做一些動作去辨別是很困難。(試想想一個小職員在一些高管面前,說句話的機會可能也沒有,還要求高管先做些動作來看看?是不想幹了嗎?)
而這次的騙局,也明顯不是漁翁撒網式的釣魚詐騙,而是明顯衝着那個受害人而去的。而接觸到那位受害人的方式,告訴他是機密會議而發送會議連結等等。會否也能從收到的電郵、登入會議的人的ID等等看到一些端倪?
但其實在這個騙局的背後,是否有一些非技術可以防止這個結果的發生?
筆者暫時還沒找到受害人的公司是否已經有跟既定程序的去轉帳,但一般來說,不論金額多少在批准轉帳時都一定要做一些批准,這就是在審計上的一些權限、內控去看。某個金額可以少一些人簽名,超過某個金額就要多一些人簽名。而且更應該盡量使用親筆簽名,以確定並不是被騎劫的情況(以往就有些個客是高管電郵被駭而批准了請款)。如果是海外總部批准的,至少也要使用一些像Docusign的電子簽名方案,以確保每個程序都不是因一個人的失誤而造成損失。
在內控或者風險管理角度,這次情況我是奇怪一個人能動用的款項竟然是這樣如入無人之境。趟若這個崗位的人不是被騙局所騙也好,他自己一時神智不清是否也可以將款項胡亂發到其他人的帳戶。這情況就不是有沒有騙局找上門的問題,而是企業風險管理沒有做好,令企業的員工的權限沒有有效的規管。
筆者以前工作過的一些企業個案,可以訂到1000港元以上都要由CEO/CFO/COO至少一個簽名才能請款。或許是有點嚴荷但卻降低了公司所面對的風險。
