銀行欺詐趨勢

復活節週末之前的一個傍晚，一家製造公司的應付賬款文員正準備下班，突然在電子郵箱收到一份標有「緊急：須當天匯款」的發票。該發票據稱來自與該公司合作的供應商，看起來是真的。就連該文員的上司，也就是剛好在休假的公司財務主管，也被抄送了這一封郵件。

這封電子郵件的發件人地址似乎是該供應商的發票開具部門，銀行轉賬資料看上去也一致。然而，粗略一看，賬號中的一個數字位置不對。由於是在這個週末前的傍晚，這名文員撥打了電話，但無人接聽，因為急著下班，他將11.9萬美元匯給了一個他認為是真實的供應商。公司財務主管回來後，才發現付款申請是一場騙局。

這是發生在美國的一個真實的欺詐案例。案件本身是一個規模相對較小的欺詐案例，因為每年都會有公司受害，損失金額達數百萬美元。在2023 AFP發布的《2023年付款欺詐和控制調查報告》（2023 Payments Fraud and Control Survey Report）調查報告中，65%的受訪者表示，他們的組織在2022年曾遭遇企圖作出欺詐或實際欺詐的行為。雖然調查顯示近年來付款欺詐呈下降趨勢，但令人擔憂的是，三分之二的公司仍受到欺詐攻擊。

報告還指出，商業電子郵件犯罪（BEC）騙局非常普遍，是大多數組織遭遇付款欺詐的根本原因。報告顯示，2022年有71%的公司透過電子郵件遭遇了付款欺詐或企圖欺詐的行為，其中大型企業最容易遭受BEC騙局。BEC騙局試圖使用的支付方式包括電匯和ACH代收付款，其中使用ACH代收付款的情況越來越多。

當然，人們對BEC騙局的認識已經提高，我們發現企業已經開始加強防範。然而，網絡犯罪分子也在不斷改變策略，從眾所周知的冒充公司高級管理人員要求付款的形式，轉變為更複雜的以供應商名義實施的BEC騙局，如上述案例研究的情況

在以供應商名義進行的BEC騙局中（佔所有BEC案件的大多數），攻擊者會冒充現有供應商。攻擊者不再需要說服受害者付款的必要，因為公司已經在向現有供應商定期付款。相反，欺詐者只需要發送更新的付款資料。這種騙局之所以有效，是因為詐騙分子並不是發起新的對話，而是利用現有的電子郵件交流。

支票欺詐

支票欺詐仍然是最常受到攻擊的付款方式。常見的情況是，一個組織的賬戶收到一張並非由該組織簽發的支票或收款人資料被篡改的支票。這類欺詐對犯罪者來說成本很低，因此非常具吸引力。其後果是為支票簽發者造成經濟損失和業務中斷，因為必須開立一個新賬戶，並將更新的賬戶資料發送給客戶和供應商。

要保護組織的營業賬戶，穩健而有效的防範欺詐措施必不可少。一直以來，防範欺詐和保護措施對保護企業免受付款欺詐至關重要，現在更是如此。提高認識、謹慎行事和堅持採取以下步驟，有助降低攻擊成功的可能性：

打擊付款欺詐的最佳做法

• 納入驗證付款申請的流程：對於新的付款指示一定要進行確認，最好是透過親自會面或撥打已知的電話號碼進行確認
• 雙重審批：每當需要添加新收款人或更改現有付款資料時，使用審批／核對流程。雙重控制大大提高了識別欺詐行為的機會
• 確認發件人身份：除了回電之外，還可以透過在電子郵件中將鼠標懸停在發件人的姓名上以顯示其真實地址，從而快速檢查電子郵件發件人的真實性
• 實施銀行控制：利用銀行的防欺詐和偵測工具，包括自動清算系統（ACH）代收付款阻止和過濾器，以及具有收款人姓名驗證功能的Positive Pay
• 利用電子支付方式：鑑於支票欺詐的風險較高，可以考慮採用電子或自動付款方式，如ACH或電匯來優化您的應付賬款業務
• 獨立銀行賬戶：由於欺詐的主要來源與付款流程有關，因此將應付賬款和應收賬款賬戶分開有助於保護組織的進賬資金。應收賬款賬戶可以設置限制，禁止從賬戶中劃出款項，也禁止從賬戶中提取ACH代收付款
• 持續交流和培訓：認識和理解當前的欺詐趨勢是識別潛在欺詐的基礎。例如，企業可以訂閱美國財政部監察長辦公室的欺詐警報，以了解最新情況

如果您的企業已遭到欺詐，我們建議您聯繫執法部門、保險公司和您的銀行報案。