多伦多公立教育局(TDSB)近日曝出一起令人震惊的网络诈骗事件:一名诈骗者冒充长期合作的学校更新工程承包商,诱使教育局将超过100万元公共资金汇入其账户。安全专家指出,这是一起“低技术、门槛极低”的诈骗,而且骗徒手段漏洞百出,其实“完全可以预防”。
据本地英文媒体《多伦多星报》报道:诈骗者冒充的承包商是位于旺市的LCD Mechanical Inc.,该公司自2021年以来一直承接TDSB的学校更新项目,包括更换屋顶、窗户及电气系统。
诈骗者通过仿冒邮箱发送伪造发票,只是其水平实在不敢恭维,甚至把“collegiate”拼写错误。此外,法院文件显示,诈骗者还使用了“LCD Mechanics”、“LCD Mechanicals”和“LCD Mechanic Inc.”等多个公司名称混淆视听。
2024年夏,诈骗者要求教育局更新银行账户信息,指定汇入位于汉密尔顿的TD银行账户。TDSB按照要求汇出了1,080,260.65元。
转账翌日,帝银(CIBC)将该笔款项标记为“潜在诈骗事件”,教育局随即要求银行追回资金,资金目前已被冻结。TDSB也已向法院申请命令,要求TD银行披露与此次诈骗相关的全部银行信息。
这一事件凸显了公共部门在防范网络诈骗方面的薄弱环节。长期网络安全专家Claudiu Popa指出,这是一起“低技术、门槛极低”的诈骗,本可通过基本的尽职调查轻松发现。他感叹:“这只是某个几乎连字都拼不对的人发的邮件,竟然仍有人上当,实在令人震惊。”
安省前隐私专员、现任全球隐私与安全设计中心执行总监Ann Cavoukian也表示,公共部门似乎成为诈骗“容易攻击的目标”,未采取必要防范措施让人费解。
TDSB发言人Ryan Bird表示,董事会已强化内部控制,并为受影响员工提供了额外的反诈骗培训,但因诉讼正在进行,无法就案件细节作出更多评论。
值得注意的是,TDSB近年来财务压力巨大,本学年预计赤字超过3,400万元。教育局每年从省政府获得数亿元用于学校更新项目,而被骗的资金原本就是用于支付LCD Mechanical在士嘉堡Stephen Leacock Collegiate Institute的工程款。
专家警告,这类公共资金被骗事件在加拿大屡见不鲜,但通常未被公开。Popa表示:“这一案件因为尽职调查严重缺失、金额巨大,不得不被披露。对教育局而言,这应该是非常尴尬和令人羞愧的教训。”
TDSB目前正通过法院程序追回被骗资金,同时也向诈骗者提起诉讼,索赔总额超过200万元。TD银行也被列为诉状对象,但是TDSB表示,这仅为“获取法院强制披露信息”。
