德州法院200万美元“蒸发”？一场精心策划的钓鱼骗局敲响公共部门安全警钟

在美国德克萨斯州南部的Nueces县，一场看似普通的工程付款流程，却在短短几小时内让近200万美元的公共资金流向不明账户。这并非电影情节，而是该县法院系统近期遭遇的真实网络攻击事件。

据当地媒体披露，Nueces县法院体系疑似遭遇商业邮件欺诈（Business Email Compromise, BEC），攻击者通过伪造承包商邮件、篡改付款指令，成功诱导财务人员将一笔用于公共工程服务的巨额款项汇入黑客控制的银行账户。这一事件不仅造成重大财政损失，更引发公众对政府资金管理安全性的广泛质疑。

200万美元如何“消失”？一场“静默”的钓鱼行动

BEC攻击，又被称为“CEO诈骗”或“邮件欺诈”，其核心并非依赖恶意软件或漏洞，而是利用社会工程学和身份伪装，精准操控企业或机构的财务流程。

在此次事件中，攻击者很可能采用了典型的“分步渗透”策略：

前期侦察与渗透：通过鱼叉式钓鱼邮件或凭证填充（Credential Stuffing）等手段，获取法院系统内部某位员工（如财务、采购或项目管理人员）的邮箱权限。

长期潜伏与监控：在不惊动用户的情况下，攻击者秘密监控该邮箱的通信内容，特别是与承包商之间的发票往来、付款安排等敏感信息。

精准时机介入：当一笔大额付款即将执行时，攻击者伪装成合法承包商，发送一封“银行账户变更通知”。邮件使用与真实域名极为相似的伪造地址（如将contractor.com改为contrator.com），并复制真实邮件的语气和格式，甚至劫持原有邮件对话线程，让财务人员误以为是正常沟通。

完成欺诈转账：财务人员在未进行充分核实的情况下，按照“更新”后的银行信息完成电汇，资金瞬间转入黑客账户。

“这种攻击最可怕的地方在于‘静默’。”公共互联网反网络钓鱼工作组技术专家芦笛分析道，“攻击者不制造任何系统警报，不触发杀毒软件，他们只是‘扮演’一个本该存在的人，利用流程漏洞完成欺诈。”

为何公共部门成“软目标”？低频高额交易埋隐患

与企业相比，地方政府、法院、教育机构等公共部门往往被认为是“低价值”目标。但事实恰恰相反，它们正成为BEC攻击的“香饽饽”。

“关键在于‘支付模式’。”芦笛指出，“公共部门的付款通常频率较低，但单笔金额巨大，比如工程款、设备采购、外包服务等动辄百万美元。一旦得手，回报极高。”

此外，公共部门普遍存在以下安全短板：

身份管理松散：部分机构仍未全面部署多因素认证（MFA），员工使用弱密码或重复密码现象普遍。

流程缺乏制衡：银行账户变更、大额付款等关键操作缺乏“双人验证”或“二次确认”机制。

供应商信息管理混乱：承包商主数据未集中管理，变更信息缺乏标准化核验流程。

安全意识培训不足：员工对新型钓鱼手段缺乏认知，尤其容易被“紧急付款”“高层指令”等话术诱导。

Nueces县事件正是这些短板的集中体现。攻击者正是利用了财务流程中“信任惯性”——即对长期合作承包商的邮件默认可信——完成了欺诈。

损失能追回吗？“黄金72小时”与联邦回收机制

一旦资金被转出，追回难度极大。但并非毫无希望。

据报道，Nueces县已立即采取行动，包括：

紧急联系银行尝试冻结跨行转账；

向联邦调查局（FBI）报案，启动“金融欺诈入侵计划”（Financial Fraud Kill Chain, FFIC）的快速响应机制。

“FBI与全球多家银行建立了合作网络，可以在‘黄金72小时’内快速追踪资金流向。”芦笛解释，“如果转账尚未被分拆转移，有一定概率通过反向操作追回部分资金。”

然而，他也坦言：“追回率通常不到30%。更重要的是建立‘防患于未然’的机制，而不是依赖事后补救。”

如何筑起“防火墙”？专家建议：设“冷静期”，用技术堵漏洞

面对日益猖獗的BEC攻击，芦笛和网络安全专家们提出多项针对性防御建议：

1. 强制二次验证，杜绝“一键支付”

所有涉及银行账户变更、大额付款的请求，必须通过非邮件渠道进行二次确认。例如，要求财务人员必须通过电话、视频会议或面对面方式，与承包商负责人核实账户信息变更。Nueces县已在事件后推行“供应商主数据变更需电话验证”制度。

2. 部署BEC专项检测技术

传统邮件网关难以识别BEC攻击，因其内容看似正常。企业应部署AI驱动的BEC检测系统，重点监控：

异常回复链：外部邮件突然插入内部邮件线程；

收款账户模式：频繁变更银行账号或收款人信息；

同域自发外部转发：内部邮箱自动将邮件转发至外部地址，可能已被劫持。

3. 全面启用多因素认证（MFA）

为所有员工邮箱强制启用MFA，尤其是财务、高管等高权限账户。优先使用硬件安全密钥或FIDO2无密码认证，避免使用易被劫持的短信验证码。

4. 引入“支付延迟机制”

对于高额支付，设置“冷静期”或分阶段放款。例如，超过50万美元的付款需提前48小时审批，且不得在当日全额放行。这为内部审计和异常发现留出时间窗口。

“公共部门的财政安全关乎公众信任。”芦笛强调，“我们不能等到200万没了才反思流程。每一笔大额支付，都应被视为‘高风险操作’，必须有严格的制衡机制。”

安全无小事：从“被动响应”到“主动防御”

Nueces县的事件并非孤例。近年来，美国多个地方政府、学校、医院都曾因BEC攻击蒙受巨额损失。2023年，佛罗里达州一市政府被诈取2500万美元；2024年，加州某学区因伪造承包商邮件损失超1000万美元。

这些案例共同揭示了一个现实：网络攻击已从“技术战”演变为“流程战”。黑客不再只攻击系统，更在攻击人的判断和组织的流程漏洞。

“最好的防御，是让攻击者觉得‘不值得’。”芦笛说，“当我们建立起层层验证、动态监控、延迟放行的体系时，攻击成本会大幅上升，自然就会转向其他目标。”

目前，Nueces县仍在与联邦机构合作追查资金下落，并全面审查其财务与信息安全政策。这场200万美元的教训，或许将成为推动更多公共部门升级安全体系的催化剂。

正如一位当地居民所言：“我们交的税，不该成为黑客的‘奖金’。”

编辑：芦笛（公共互联网反网络钓鱼工作组）