商业电邮诈骗国内报案平均每周至少两起，企业通常已遭入侵半年以上，一旦遭骗需把握黄金72小时

多年来，锁定企业秘书、财务人员的网络攻击与诈骗不断，只要企业与国际合作伙伴一方遭入侵，骇客就可掌握双方公司往来资讯，并伺机假冒一方名义诈骗，近期刑事警察局公布相关的统计数字，他们表示，近五年受理的商务电子邮件诈骗（BEC），每年都有超过1百个案件，且每年遭到诈骗的金额，都在2亿元以上。

根据刑事警察局提供的最新统计资讯来看，商业电子邮件诈骗在2016年有112件，2017年有168件，2018年有163件，2019年有158件，2020年有142件，平均算起来，大约每周都有2到3家企业报案。

由于这类威胁已持续多年，但多数中小企业而言，可能仍然不了解这种手法，因此警方持续透过公布案例，希望唤起企业老板与财务人员的注意。

例如，今年6月台北市某科技公司秘书，因收到一封假冒公司首席财务官发来的电子邮件，因此依照指示汇款700万美元至指定账户，之后才发现问题报案。

去年12月，警方也曾公布另一起BEC诈骗案例，当中揭露更多细节。起因是台北市一家贸易公司向外国厂商进货，收到骇客假冒上游厂商发送电子邮件，信中谎称原收款账户因税务检查暂时停用，要求将货款改汇到新账户，因此贸易公司职员依对方指示汇款，但该职员并未注意到，原本联络对象的Email是“…group@…com”，但这封变更汇款的邮件，其实是来自“…qroup@…com”，已非原寄件者。

一方的邮件系统被入侵，攻击者就能掌握交易资讯伺机诈骗

为了解更多BEC的威胁现况，我们洽询刑事警察局。国际刑警科秘书林明俊表示，以他们单位受理的案件而言，每年案件呈现微幅增加的情形，近年受理的案件几乎都是中小企业，发生的主因在于这些业者对于资安较不重视，当中也有国内两家上市科技大厂替下游厂商报案。

对于这类网络犯罪该有的认知，林明俊提到三大重点。

首先，发生BEC诈骗的事件，通常企业早就被骇客入侵半年以上，因此，网络犯罪者才能知道双方公司之间的交易采购情形，再伺机以假冒电子邮件要求变更汇款。

其次，BEC防不胜防的原因在于，只要一方被骇客入侵，就可以被网络犯罪者掌握了资讯。因此，资安界与警方不断呼吁企业老板重视，须强化资安防护，并要提醒员工，遇到对方突然表示要变更汇款账户，或改用不常汇款的账户，都应提高警觉，务必透过其他管道与对方确认。

第三，受害企业需在黄金72小时内报案，执法与金融单位才有机会从金流端拦阻，启动银行圈存作业。例如，在今年1月，遭遇BEC的台湾企业因为及时报案而幸免于难──该公司将钱汇到美国，由于美国FBI在台有派驻人员，透过双方合作，因此能在72小时内通报到美国，最后这笔汇款在美国那边顺利被拦阻下来。过去刑事警察局也不调强调这一点。

BEC诈骗与洗钱人头账户息息相关

至于警方能否抓到背后犯罪组织？林明俊表示，破案并不容易，但他们过去也曾揪出协助洗钱的嫌犯。例如，国际刑警科在2014年3月破获一起违反洗钱防制法的刑事案件，就与商业电子邮件诈骗案有关，而且今年该案又再曝光于社会新闻版面，关键原因在于：其中一位协助汇款的犯罪者，是知名连锁早餐店“红橘子”创始人蔡思庭。

这起事件后来虽未逮到背后跨国组织成员，但国内协助洗钱的4名共犯，在2016年12月、2018年1月与2020年8月已受到司法判决。而这起案件在2021年3月又有消息，因为其中3人再次上诉，再遭最高法院驳回，全案判决确定。

根据判决书内容指出，刑事局当时接获国际刑警组织情资，查到跨国诈骗集团有2名台湾人：陈震欧、陈震堂，该集团先是买通了蔡思庭、邢光智与黄建添，除了提供人头账户，并找了杨正平提供合茂公司作为跨国汇款的人头账户，该组织则骇入了加拿大商Berezan Management Ltd.首席执行官的电子邮件信箱，再冒用其名义，发信给财务经理指示转账34万元加币（约926.4万元），转到邢光智的外币账户，之后依骇客诈骗集团指示，取得各自的报酬，并将诈骗金钱存入合茂公司，以三角贸易汇出至境外账户。

林明俊表示，这起案件是外国厂商发现上当，金钱汇到台湾账户，追查金流下，发现台湾有不肖分子担任车手的角色，为赚取抽成费用而提供人头账户。他指出，这种网络犯罪的人头账户，一定都是该人头知情的情况下进行，而且，由于都是很大的金流转移，因此都会需要设立公司账户。

此外，这类网络犯罪的裁罚状况，也值得关注。以这次判决而言，协助BEC诈骗洗钱的4人，除没收犯罪所得，也处以5到10个月的有期徒刑，以及6万到30万罚金，林明俊表示，由于BEC诈骗的金额不小，上述这起案件就诈骗近千万元，有些案件甚至上亿元，若判罚太低，可能引诱人犯罪。

附带一提的是，这类网络犯罪受理案件统计数据，似乎有今昔之别。早年我们向刑事警察局取得资料显示，2016年是61件，2017年是54件，而这样的数量，与该单位现在提供的数量并不同，因此我们也进一步询问原因，但刑事警察局并未透露。我们推测，可能这类案件有多个受理单位，以及后续案件类型整并的关系，所以造成数量上的差异。

近年台湾警方也曾破获协助BEC诈骗的车手，经多次司法判决，今年最高法院驳回上诉后，该案判决确定。根据判决书的内容，这起案件，跨国骇客诈骗组织以不详方式骇入加拿大商Berezan Management Ltd首席执行官的电子邮件信箱，再冒用其名义，寄送电子邮件指示财务经理转账加拿大币34万元，到台湾邢犯的玉山银行外币账户，之后这些共犯再前往银行办理结汇，并存入由杨犯开设的合茂公司玉山银行账户，再以三角贸易汇出款名义，分别汇往大陆与背后骇客组织所指定的境外账户。