概览
尽管支付欺诈事件已经屡见不鲜,但远程工作导致对公司的欺诈攻击增加。而通过提高认识、谨慎行事和接受培训,可以让那些意图造成经济损失的欺诈者无所遁形。
银行欺诈趋势
复活节周末之前的一个傍晚,一家制造公司的应付账款文员正准备下班,突然在电子邮箱收到一份标有“紧急:须当天汇款”的发票。该发票据称来自与该公司合作的供应商,看起来是真的。就连该文员的上司,也就是刚好在休假的公司财务主管,也被抄送了这一邮件。
这封电子邮件的发件人地址似乎是该供应商的发票开具部门,银行转账信息看上去也一致。然而,粗略一看,账号中的一个数字位置不对。由于是在这个周末前的傍晚,这名文员拨打了电话,但无人接听,因为急着下班,他将11.9万美元汇给了一个他认为是真实的供应商。公司财务主管回来后,才发现付款申请是一场骗局。
这是发生在美国的一个真实的欺诈案例。案件本身是一个相对较小的欺诈案例,因为每年都会有公司受害,损失金额达数百万美元。在2023 AFP发布的《2023年支付欺诈和控制调查报告》(2023 Payments Fraud and Control Survey Report)调查报告中,65%的受访者表示,他们的组织在2022年遭遇了企图作出欺诈或实际欺诈的行为。虽然调查显示近年来支付欺诈呈下降趋势,但令人担忧的是,三分之二的公司仍受到欺诈攻击。
报告还指出,商业电子邮件犯罪(BEC)骗局非常普遍,是大多数组织遭遇支付欺诈的根本原因。报告显示,2022年有71%的公司通过电子邮件遭遇了支付欺诈或企图欺诈的行为,其中大型企业最容易遭受BEC骗局。BEC骗局试图使用的支付方式包括电汇和ACH借记付款,其中使用ACH借记付款的情况越来越多。
当然,人们对BEC骗局的认识已经提高,我们发现企业已经开始加强防范。然而,网络犯罪分子也在不断改变策略,从众所周知的冒充公司高管要求付款的形式,转变为更复杂的以供应商名义实施的BEC骗局,如上述案例研究的情况
在以供应商名义实施的BEC骗局中(占所有BEC案件的大多数),攻击者会冒充现有供应商。攻击者不再需要说服受害者需要付款,因为公司已经在向现有供应商定期付款。相反,欺诈者只需要发送更新的付款信息。这种骗局之所以有效,是因为欺诈者并不是发起新的对话,而是利用现有的电子邮件交流。
支票欺诈
支票欺诈仍然是最常受到攻击的支付方式。常见的情况是,一个组织的账户收到一张并非由该组织签发的支票或收款人信息被篡改的支票。这类欺诈对犯罪者来说成本很低,因此非常有吸引力。其后果是给支票签发者造成经济损失和业务中断,因为必须开立一个新账户,并将更新的账户信息发送给客户和供应商。
要保护组织的营业账户,强有力的防欺诈措施必不可少。一直以来,欺诈预防和保护措施对保护企业免受支付欺诈至关重要,现在更是如此。提高认识、谨慎行事和坚持采取以下步骤,有助于降低攻击成功的可能性:
打击支付欺诈的最佳做法
- 纳入验证付款申请的流程:对于新的付款指示一定要进行确认,最好是通过面谈或拨打已知的电话号码进行确认
- 双重审批:每当需要添加新收款人或更改现有付款信息时,使用审批/核对流程。双重控制大大提高了识别欺诈行为的机会
- 确认发件人身份:除了回电之外,还可以通过在电子邮件中将鼠标悬停在发件人的姓名上以显示其真实地址,从而快速检查电子邮件发件人的真实性
- 实施银行控制:利用银行的防欺诈和检测工具,包括自动清算系统(ACH)借记阻止和过滤器,以及带收款人姓名验证功能的Positive Pay。
- 利用电子支付方式:鉴于支票欺诈风险的高发性,可以考虑采用电子或自动付款方式,如ACH或电汇来优化您的应付账款业务
- 独立银行账户:由于欺诈的主要来源与付款流程有关,因此将应付账款和应收账款账户分开有助于保护组织的进账资金。应收账款账户可以设置限制,禁止从账户中划出款项,也禁止从账户中进行ACH借记划款
- 持续交流和培训:认识和理解当前的欺诈趋势是识别潜在欺诈的基础。例如,企业可以订阅美国财政部监察长办公室的欺诈警报,以了解最新情况
如果您的企业已遭到欺诈,我们建议您联系执法部门、保险公司和您的银行报案。