周三上午10点,财务总监阿米特收到一条WhatsApp消息,来自公司CEO的账号。“马上把320万卢比打到这个账户,供应商在等。”阿米特没多想,这笔钱就转出去了。半小时后,真正的CEO打电话来问:“刚才那笔转账是怎么回事?”

这个场景不是虚构,而是印度市场监管机构刚刚拉响的警报。印度证券交易委员会(SEBI)7月17日发布公开警告,称一种名为“老板诈骗”(boss scam)的网络犯罪正在快速蔓延,专门瞄准企业财务和高级管理人员。

打开网易新闻 查看精彩图片

SEBI称,这个警告是在收到印度网络犯罪协调中心(I4C)关于此类案件激增的信息后发出的。诈骗者通过电子邮件、WhatsApp、Microsoft Teams以及各类社交平台,冒充公司CEO或其他高管,直接给财务人员发指令要求转账。一旦受害者上钩,资金就会进入诈骗者控制的账户。

这套操作的手腕不光是指令转账。SEBI披露了另一种变体:诈骗者会向目标员工的设备投送恶意文件,一旦打开,这些恶意软件就能劫持WhatsApp Web会话或直接控制设备。背后的逻辑更危险——诈骗者拿到财务负责人的WhatsApp账户后,会以这个真实身份联系会计或出纳,要求立即向指定的“骡子账户”汇款。因为是同事真号发出的消息,接收方几乎不会怀疑。

整个骗局可以拆成三步。第一步,信息收集加伪装,诈骗者通过公开信息或数据泄露获取高管姓名、职衔和照片。第二步,接触与施压,用仿冒账号发出转账指令,通常会制造紧急氛围,比如“这是收购关键款”“逾期要罚款”。第三步,资金转移,利用银行系统快速分散到多个账户,追踪难度陡增。

SEBI明确要求其管辖下的所有实体,必须通知内部人员一条铁律:绝不能仅凭社交平台收到的指令就转账。即便发消息的看起来是领导本人,也必须有第二验证渠道,比如电话确认或内部审批系统。

印度并非个例。全球范围内,商业邮件诈骗(BEC)每年造成数十亿美元损失。但“老板诈骗”的可怕之处在于它同时攻击技术链和信任链——假冒身份的科技门槛越来越低,而企业内部“听领导话”的工作习惯几乎没有改变。当骗子能直接用老板的口吻在群里指挥,很多公司现有的审批流程就形同虚设了。