作者简介:郭景,荷兰注册律师、荷兰景舜律师事务所创始人(www.jinglawfirm.nl)。阿姆斯特丹大学法学博士、英国牛津大学法学硕士、荷兰莱顿大学荷兰法学士、硕士。
互联网给我们的工作生活带来了极大便利,但同时也埋下了不少安全隐患。结合律所实务工作中的经验,笔者将通过本文简要介绍一种在荷兰时有发生的利用网络窃密篡改账单从而对公司企业进行诈骗的作案手段及防范和补救措施,希望能帮助在荷兰的中资和华人企业以及与荷兰有业务往来的国内公司加强防范,避免上当受骗。
一、诈骗手段:黑客入侵,篡改账单
这种诈骗的第一步是诈骗团伙通过网络安全漏洞入侵受害公司的邮件系统,然后监控受害公司与业务伙伴(特别是供应商)之间的邮件往来。一旦发现受害公司的供应商通过电子邮件发来账单,黑客就可能会对邮件进行拦截,使受害公司无法收到账单。
拦截账单后,诈骗团伙会对账单进行篡改,将账单上的收款银行账号改为诈骗集团掌握的银行账号。对于账单的其他内容,包括收款银行账户名,诈骗团伙一般不会作出改动。
篡改账单后,诈骗团伙会以供应商的名义将假账单通过电子邮件发给受害公司。为了不引起受害公司的警觉,诈骗团伙会注册一个与供应商电子邮件域名非常类似的域名,然后用这个域名的电子邮箱来给受害公司发送篡改后的账单。例如,如果供应商叫Hercules,供应商向受害人发账单的电子邮箱是finance@hercules.nl,那么诈骗集团可能会注册一个Hercoles的域名(把字母“u”改为“o”),然后用finance@hercoles.nl的邮箱给受害公司发篡改后的账单。
由于账单只是篡改了收款银行账号,而且用来发邮件的邮箱域名与真实域名又十分相似,因此受害公司工作人员如果不仔细核对,一般很难发现账单被人做了手脚。在这种情况下,受害公司一旦按账单上标明的银行账户信息付款,资金就会被转入诈骗团伙控制的银行账户。
二、法律漏洞:只看账号,不看户名
这种诈骗手段之所以能得逞,一个重要原因就在于荷兰法律对银行接收转账的规定有一处漏洞。根据荷兰法律规定,收款银行在收到一笔转账时,原则上只需要核对转账指令中提及的收款账号是否准确,而不需要检查转账指令中提及的户名是否准确。在实务操作中,荷兰的银行一般都不会核对转账指令中的收款账号与户名是否一致,只要账号没错,收款银行原则上就会接收转账并将款项划入收款账户。这也就是为什么诈骗团伙在截获账单后只会篡改账单中的收款账号,而一般不会更改收款账户名。
三、预防措施:加强保密,仔细核查
由于这种诈骗的重要条件是必须破解受害公司的电子邮件,因此加强对公司电子邮件通信的保密和保护就是一道关键的防线。为了避免受到黑客攻击,最好定期对公司的电子邮件系统安全性进行检查,争取及时发现漏洞并进行修补。同时也需要提醒员工保持警惕,不要泄露工作邮箱密码,而且最好定期更改邮箱密码。
除做好网络技术层面的保护之外,还宜提醒公司财务部门注意这种诈骗形式,在收到账单时务必仔细核查。例如收到有长期合作关系的供应商账单时,在支付前一定要仔细核对账单中注明的银行账号与此前成功进行转账的收款银行账号是否一致。一旦发现银行账号有变更,转账前务必通过电话或其他可靠方式(但不要使用电子邮件)向供应商相关负责人核实,了解供应商是否确实变更了银行账号。如果是首次从某家供应商收到账单,则付款前最好也通过电话向其相关负责人核实账单中注明的收款银行账号是否准确。必要时可以先向账单中指定的收款银行账号转一小笔金额,如果供应商成功收到,则可以将余额转入该账户。
四、补救措施:通知银行,法律维权
如果万一遭受诈骗而误将账款转入诈骗集团控制的银行账户,则务必在第一时间立即联系付款银行和收款银行,告知遭受了篡改账单诈骗(荷兰语一般称为factuurfraude,英语一般称为invoice fraud)并提供相关证据,要求收款银行立即冻结收款账户。这一步的时效性非常关键,越早通知银行,越有可能阻止诈骗团伙将诈骗款转至其他账户。如果稍有耽误,让诈骗集团有机会转走诈骗款,那之后再想通过法律手段进行追索将会极其困难,很有可能无法追回。
通知银行后,最好尽快在荷兰当地报警。如果是国内企业遭遇了诈骗,那一般无法派人来荷兰报案,但是可以委托在荷兰的业务伙伴、律师或其他人代为报案。报案的主要目的其实并不是为了通过荷兰警方追回诈骗款。荷兰警方接到报案后是否进行侦察,这几乎完全取决于警方的自由裁量,受害方基本上无法对此施加影响。对于受害方来说,报案最实际的作用在于取得荷兰警方出具的报案笔录,以便将报案笔录提供给荷兰的收款银行,作为收款账户用于诈骗的辅助证据,而且此后为追讨诈骗款进行的诉讼中也可以将报案笔录作为证据提交法院。
除联系银行并报案外,还宜尽快联系荷兰当地律师,通过律师迅速采取法律行动以争取追回诈骗款。具体来说,律师可以代表受害方请求荷兰法院批准扣押收款账户内的资金。这一步非常重要。虽然收款银行可能会基于受害方反应的情况冻结收款账户,但并不能完全保证账户内的资金不被转走。这是因为收款账户的持有人可能还向其他人欠有债务,如果这些债权人起诉账户持有人并胜诉,那就可以基于胜诉判决强制要求银行将收款账户内的资金转给胜诉的债权人。如果受害方通过法律程序扣押住收款账户内的资金,则可以减少这一风险。
此外,在这种诈骗案中,即使诈骗资金被及时冻结,收款账户持有人一般也不会主动退回诈骗款。在没有得到账户持有人同意的情况下,收款银行原则上也不得主动向受害方退回诈骗款。在这种情况下,就需要由荷兰律师代表受害方在荷兰法院起诉收款账户持有人,请求法院判决账户持有人向受害方退回诈骗款。取得胜诉判决后,受害方就可以走强制执行程序,要求收款银行向受害方退回诈骗款。
总之,即使能及时冻结收款账户,追回诈骗款也很可能会是一个非常耗时耗力的过程,因此在荷兰的中资和华人企业和与荷兰有业务往来的国内企业还是宜重视这种篡改账单的诈骗形式,切实做好防范工作,以免蒙受损失。如果万一不幸被骗,那就务必立即采取补救措施,不要耽误冻结收款账户的时机,否则追回诈骗款的希望可能十分渺茫。