·
Facebook跟Google遭商業郵件詐騙約1億元,這樣的網路詐騙案例是因為公司有什麼內控缺失呢?
以下節錄並整理科技報橘之新聞內文,以說明事件發生經過:
美國科技巨頭谷歌和 Facebook 雙雙成為一個網絡詐騙案件裡的受害者,兩年內被騙金額達 1 億美元。
犯罪者裡馬索斯卡斯在立陶宛註冊了一家與廣達電腦公司同名的公司,並以這個假廣達的名義在立陶宛和塞浦路斯開設銀行帳戶。由於廣達是谷歌和 Facebook 的供應商,裡馬索斯卡斯就假冒廣達的名義向這兩家美國公司的財務部門發送釣魚式電子郵件, 要求它們把欠廣達的貨款匯入假廣達的銀行帳戶。 這些電子郵件發自偽造的廣達公司電子郵箱,看上去像是廣達員工發送的,因此成功騙取了谷歌和臉書員工的信任。
審核供應商資料變更之程序不嚴謹
當今天供應商要求更改匯款帳戶時,你們公司的作業流程是什麼?採購人員回覆道:沒問題!就進系統直接修改資料了嗎?
絕對不是!
通常會有的控制點舉例如下:
- 取得相關的佐證資料,例如說請對方提供銀行存摺封面影本,畫面要包含公司戶名及帳號,這樣才可以判斷新的匯款帳戶真的是供應商所擁有的。
- 與供應商窗口電話聯繫,以確定真有改變匯款帳戶的需求,而不是商業信件詐騙(BEC)
- 請供應商出具蓋有公司印鑑的行文,以確保是公司方提出的需求,提防對方窗口舞弊的風險
除此之外,有一些不是那麼直接有效,但有相關的控制程序。
- 變更供應商資料要填寫表單申請,經權責主管核准後執行。員工可能經驗不足無法判斷供應商要求變更匯款帳戶的風險在哪裡,經由權責主管的確認,可以避免這個情形
- 限制變更供應商基本資料的權限。通常系統可以限制不同使用者可以執行的動作或者是存取的模組,若修改供應商基本資料的權限只限定由部分人員擁有(例如說採購部門的資深員工A跟主管B),就可以避免訓練不足的新手因不熟悉規定而於系統修改供應商資料
最後有一個重點,公司的內控程序不要隨意洩漏給外人得知。
像是不可能的任務,不論各個系列,都會對任務有足夠了解之後才會擬定計畫去執行,如果今天不知道金庫前有沒有紅外線感應機制,那他們怎麼可能成功執行任務?又或者是今天去參加一場不知道考題類型跟考試範圍的考試,要怎麼獲取高分?
當今天對方對您公司的制度了解越少,他能得手的機率就越低,就越不可能貿然出手。
當然以上的評論還太表面了,畢竟每家公司的作業流程不同,存在的內控缺失也會不一樣,但在此還是希望能經由一些簡單的剖析,讓大家了解內控應該注意的地方。
若公司想要做個內控健檢,了解有無潛在的風險,也歡迎與我們聯繫喔!
