编者按：

随着深度伪造技术和生成AI的发展，金融欺诈手段愈加复杂，企业面临前所未有的风险。数字化时代，传统的网络安全措施已难以应对新型威胁。越来越多的犯罪分子利用AI工具发起低成本、高效能的攻击，特别是针对财务部门。

这不仅仅是技术问题，还关乎每个员工、每个企业的存亡。如何应对这一新型威胁？从加强员工培训，到更新安全策略，每一步都至关重要。想要了解如何保护自己和公司免受伪造和金融欺诈的侵害？请阅读全文，了解更多。

打击金融欺诈

英国工程集团Arup在去年5月损失了约2500万美元（1900万英镑），因该公司香港办公室的一名财务工作人员被深层伪造技术欺骗。欺诈者在视频会议中伪装成公司首席财务官，造成资金被转移给了骗子。

同月，《卫报》报道了全球最大广告集团WPP的负责人成为了一场复杂的伪造骗局的目标，该骗局涉及语音克隆、虚假的WhatsApp账户以及在虚拟会议中使用YouTube视频。

前澳大利亚国家网络犯罪部门负责人奥利·高尔（Ollie Gower）表示，网络欺诈的数量和复杂性已经达到了全新的水平。

目前高尔就职于FTI咨询公司，他表示：“问题在于网络欺诈的规模已经变得极为庞大，并逐渐成为公司生死存亡的威胁，我们必须立刻采取行动。”

犯罪规模

2024年，英国企业报告了778万次网络攻击，而软件公司Medius对财务专业人士的调查发现，53%的美国和英国企业曾经成为伪造骗局的目标。随着犯罪分子利用越来越先进且价格适中的生成型AI进行欺诈，针对企业财务部门成员的攻击有可能在未来几年激增，因为财务人员在公司中处于特权地位。

高尔表示，犯罪分子在暗网租用越来越复杂的AI诈骗软件，这些软件的租用费用最低为每周2000美元。

高尔解释道：“AI可以根据互联网上关于首席财务官的所有数据创建非常个性化的内容，然后自动将其放入定制的钓鱼邮件中，甚至还可以生成一份虚假的发票，其中会利用大部分真实数据，只是更改了银行账户。”

人性的弱点

根据Thistle Initiatives公司金融犯罪高级经理詹姆斯·多兹沃思（James Dodsworth）的说法，商业电子邮件泄露是最大的威胁，除了一项其他因素，那就是人类本身。

多兹沃思表示：“很多商业电子邮件泄露本可以通过检查电子邮件地址或通过质疑被要求做的事情来发现。”

培训至关重要，多兹沃思建议公司在网络安全基础培训之外，为“财务和董事会等高风险部门”增加个性化培训。

他补充道：“培训应该是间歇但持续进行的。”

高层管理的责任

在战略层面，首席财务官和财务领导者需要为这一问题负责，因为根据欧盟的《数字运营弹性法案》（DORA），董事会应对未能充分预防或管理的网络攻击和网络欺诈负责。

高尔表示：“高层管理团队必须承担责任，他们必须制定一个涵盖企业所有主要业务的战略，考虑所有新规章制度，并考虑到供应链。”

他说：“可能是你的供应商发送了被犯罪分子篡改的发票，或者如果他们因收到你系统发出的恶意邮件而遭受损失，他们会起诉你。”

管理远程威胁

《福布斯》近期的一项研究显示，40%的英国员工以远程或混合方式工作。那么，雇主如何确保数据的安全性呢？

应用安全软件服务公司Indusface的创始人兼总裁文基·桑达尔（Venky Sunda）表示：“雇主不再能依赖以办公室为工作地点而设计的安全策略，数据不会仅仅在一个IT部门可监督的办公室范围内被访问。”

以下检查清单能帮助企业重新审视自己的安全策略：

• 提供公司设备

• 扫描并进行应用程序的渗透性测试

• 在公司内部使用VPN

• 部署Web应用程序防火墙

• 使用加密软件

• 严格的密码管理

• 严格的访问控制

• 为员工的远程工作做好准备并进行培训

“这个星期的网络漏洞，下一个星期可能就被完全不同的攻击类型所取代，” 他提道。

内部威胁

应对内部威胁，无论是恶意的还是无意的，关键在于企业需要通过制定出哪些个人有权进行支付，从而了解他们的风险群体，并实施量身定制的行为控制。

高尔表示：“有方法可以检测财务管理员的行为是否异常，比如他们是否突然在半夜做事，是否进行比平常更大的支付，或者支付给他们通常不合作的供应商。”

控制措施应包括职责分离，以避免将所有支付权交给一个人；要求大额交易进行双重授权，且在供应商信息发生变化时，进行回调确认。

多兹沃思说：“如果有人声称是CEO要求你将2000万英镑转出公司，那么停下来，反思一下，和别人谈谈再做决定。”

“这些是基本步骤，不需要任何技术。只需要为员工提供适当水平的培训。”

作者理查德·克朗普（Richard Crump）是一名会计和法律记者

文章来源：财务会计师公会会刊《财务会计师》（FinancialAccountant）2024年11月-12月刊，第16 - 17页