پرداخت به هکر به‌جای تأمین‌کننده؛ اشتباهی که هر واردکننده ممکن است مرتکب شود!

۱۱ مرداد ۱۴۰۴

modir

کلاهبرداری ایمیلی در تجارت چین

«ناهید» از تیم مالی شرکت «آراد صنعت تبریز»، فاکتور را به‌دقت بررسی کرد. ایمیل از طرف همان آدرس همیشگی آمده بود:

sales8@guangdongdcoolers.cn

وقتی فاکتور درست است، اما حساب بانکی مال یکی دیگه است!…

ناهید از تیم مالی، فاکتور نهایی را طبق روال چک کرد — همان آدرس ایمیل، همان لوگو، همان قالب آشنا. فقط یک تفاوت کوچک بود: شماره‌حساب مقصد، حالا در بانک هنگ‌کنگی ثبت شده بود. او پرداخت را انجام داد، بی‌آنکه بداند ایمیل از سوی چه کسی ارسال شده… چهار روز بعد، پیام کوتاه فروشنده واقعی، همه چیز را فرو ریخت.

موضوع ایمیل:

مرحلهٔ نهایی Proforma Invoice – Payment before shipment

مبلغ دقیق بود. شماره سفارش درست. شماره‌حساب هم شبیه دفعات قبل بود – تنها با این تفاوت که بانک مقصد، به‌جای ICBC، حالا یک بانک هنگ‌کنگی بود.

ناهید تردید کوتاهی کرد. ولی تأمین‌کننده در چت علی‌بابا هم گفته بود «Please confirm new account». همه چیز طبیعی به نظر می‌رسید.

او PDF را پرینت گرفت، امضا گرفت، و حواله را به دایره مالی فرستاد. و دایره مالی هم حساب را مستقیم به صرافی مورد اعتماد ارسال کرد.

چهار روز بعد، وقتی تیم خرید پیگیر سند BL شد، پیام فروشنده واقعی در “وی چت” ترسی در دل ناهید انداخت :

“We haven’t received any payment. Where did you send it? On the swift, this is not our bank account!”

درست مثل ناهید، ده‌ها تاجر دیگر هم بدون هشدار قبلی، در دام همان روش افتاده‌اند. درست حدث زدید، ناهید ۳۵۰۰۰ دلار پول ناقابل را به حساب هکرهای اینترنی زده بود!

شرکت «آراد صنعت …..» دچار یکی از خطرناک‌ترین سناریوهای تجارت خارجی شده بود:

چرا استعلام چندمنبعی از شرکت‌های چینی یک ضرورت است؟ تجربه‌ای که همه واردکنندگان باید بدانند

💣 پرداخت به حساب جعلی پس از نفوذ به ایمیل‌های رسمی فروشنده/خریدار

در این روش پیچیده، هکرها با دسترسی به ایمیل‌های سازمانی تأمین‌کنندگان، نسخه‌ای جعلی از فاکتور نهایی را به مشتری می‌فرستند. اطلاعات فنی و سفارش دقیق است، اما شماره حساب بانکی تغییر کد –—و خریدار، بدون آگاهی، مبلغ را به کلاهبردار پرداخت می‌کند.

گزارش FBI IC3 (2023) نشان می‌دهد که :

“در سال ۲۰۲۲، بیش از ۲.۷ میلیارد دلار از طریق حملات BEC در معاملات B2B از دست رفته است. یکی از رایج‌ترین سناریوها: تغییر اطلاعات بانکی در فاکتورهای نهایی.”

در گزارشی از PwC Global Economic Crime Survey (2022) آمده است:

۴۲٪ از شرکت‌های کوچک و متوسط در حوزه واردات، حداقل یک‌بار قربانی فاکتورهای جعلی و پرداخت اشتباه شده‌اند.

در گزارشی از Alibaba Trade Assurance Guidelines (2023) نیز هشدار آمده:

“خریداران نباید اطلاعات پرداختی را صرفاً از طریق ایمیل دریافت کنند. همیشه باید صحت حساب مقصد، تلفنی یا از طریق پنل رسمی علی‌بابا تأیید شود.”

این داده‌ها به‌روشنی می‌گویند:
فریب از ایمیل‌های جعلی، فقط با دقت عملیاتی و زیرساخت‌های تأیید مضاعف قابل پیشگیری است.

اجرای پروتکل “تأیید دومرحله‌ای اطلاعات بانکی” پیش از هر پرداخت بین‌المللی

هیچ پرداختی—مخصوصاً پرداخت نهایی—نباید تنها بر اساس فایل PDF یا ایمیل انجام شود.

راه‌حل اصلی:
ایجاد یک فرآیند رسمی تأیید اطلاعات بانکی از طریق چند کانال مستقل، شامل:

تأیید حساب بانکی از طریق تماس تلفنی با شماره ثبت‌شده شرکت (نه شماره داخل ایمیل)

بررسی اطلاعات بانکی با داده‌های ثبت‌شده در سایت‌های دولتی یا پلتفرم‌های اعتبارسنجی

ثبت حساب‌های بانکی مجاز در فهرست داخلی “حساب‌های تأییدشده”

کراس چک کردن شکاره حساب حداقل از دو کانال.

ناهید، بعد از آن فاجعه مالی، با دستور مستقیم مدیرعامل، اقداماتی فوری انجام داد:

بررسی تمام دامنه‌های ایمیل فروشندگان: مشخص شد دامنه ایمیلی که فاکتور از آن آمده بود، مشابه بود ولی از زیر دامنه متفاوتی استفاده می‌کرد (sales8@guangdong-coolers.cn به‌جای sales8@guangdongcoolers.cn).
استعلام شماره حساب‌ها: با بررسی در پلتفرم اعتبارسنجی و تماس با بانک مقصد، مشخص شد حساب ثبت‌شده مربوط به یک شخص حقیقی در هنگ‌کنگ بوده.
برنامه‌ریزی سیستم تأیید داخلی:
- ایجاد فهرست سفید حساب‌های مجاز تأمین‌کنندگان در ERP ( در بخش CRM)
- الزام به تأیید تماس تلفنی رسمی قبل از هر پرداخت جدید.
- استفاده از سرویس‌های اعتبارسنجی بانکی برای تطابق نام، شرکت و حساب مقصد.
- کراس چک ( تائید حساب از طریق حداقل دو کانال- ایمیل و وی چت) و هر دو باید یک شماره حساب را تائید کنند.
آموزش تیم مالی و خرید: تمامی اعضای درگیر یاد بگیرند «PDF، پایان ماجرا نیست»—بلکه آغاز مرحله‌ای دقیق از تأیید حساب مشتری است.

مدتی بعد، مدیرعامل در جلسه‌ای گفت:

«کاش آن پرداخت اشتباه نمی‌شد، اما حالا دست‌کم هیچ پرداخت اشتباهی دیگر نباید تکرار شود.»

سه گام ضروری برای جلوگیری از پرداخت به حساب‌های جعلی در واردات از چین

گام اول — بررسی دامنه و اصالت ایمیل‌ها
هیچ‌وقت تنها به ظاهر آدرس ایمیل اعتماد نکنید. هکرها معمولاً با تغییرات جزئی (زیر دامنه یا یک خط فاصله) ایمیل جعلی می‌سازند. همه ایمیل‌های مالی باید با دامنه رسمی ثبت‌شده شرکت چینی (قابل‌بررسی در Tianyancha و Qichacha) مطابقت داشته باشند.

گام دوم — تأیید دومرحله‌ای حساب بانکی پیش از پرداخت
هیچ حساب جدیدی را بدون تماس تلفنی با شماره ثبت‌شده رسمی شرکت و بررسی در پلتفرم‌های اعتبارسنجی بانکی تأیید نکنید. فهرست حساب‌های بانکی معتبر باید در ERP یا CRM داخلی ثبت و قفل شود.

گام سوم — قرارداد و آموزش تیم مالی
در قرارداد ذکر کنید که فروشنده اجازه معرفی حساب جدید را ندارد مگر با توافق محضری. به تیم مالی بیاموزید که «PDF پایان ماجرا نیست»، بلکه باید از دو کانال مستقل (ایمیل + تماس/وی‌چت رسمی) شماره حساب تأیید شود.

پرداخت به حساب جعلی – چین‌بین

«خودم که نیستم! یکی هست اونجاست؛ چین‌بین اونجاست.»

ناهید تصور می‌کرد فاکتور نهایی درست است، اما تنها تغییر کوچک در شماره حساب بود که باعث شد سی و پنج هزار دلار به حساب جعلی کلاهبردان برود. این همان ترفند رایج هکرها با دسترسی به ایمیل‌های رسمی است. راه‌حل ساده اما حیاتی است: تأیید دومرحله‌ای حساب بانکی، تماس تلفنی رسمی و ثبت حساب‌های مجاز در سیستم داخلی. چین‌بین این لایه‌های امنیتی را برای شما اجرا می‌کند تا دیگر هیچ پرداختی گم نشود.

درخواست گزارش اعتبار

ارتباط از طریق واتساپ

+۹۸۹۳۵۴۲۱۲۲۲۰

نکات آموختنی این تجربه از “چین‌بین”

۱. طبق گزارش FBI IC3 مربوط به سال ۲۰۲۲، حملات کسب‌وکار ایمیلی یا BEC منجر به حداقل ۲.۷ میلیارد دلار ضرر مالی شده است، که بخش بزرگی از آنها ناشی از تغییر حساب بانکی در فاکتورهای جعلی بوده است WIRED+3Abnormal AI+3Abnormal AI+3. این دقیقاً همان سناریوی داستان ناهید را تایید می‌کند.

۲. طبق PwC Global Economic Crime Survey 2022، حدود ۳۵٪ سازمان‌ها در دو سال گذشته با نوعی کلاهبرداری مالی مواجه شده‌اند و ۴۰٪ این موارد مرتبط با «کلاهبرداری پلتفرمی» بوده که شامل فاکتورهای جعلی هم می‌شود PwC. این آمار لزوم پروتکل جدی را نشان می‌دهد.

۳. طبق دستورالعمل‌های رسمی Alibaba Trade Assurance (راهنمای رسمی)، پرداخت باید فقط از طریق پلتفرم و حساب ثبت‌شده داخل علی‌بابا انجام شود. اگر پرداخت از طریق ایمیل یا لینک خارجی باشد، پوشش Trade Assurance از بین می‌رود

۴.کاربران Reddit تجربه‌های متعددی را گزارش کرده‌اند مبنی بر اینکه اگر اطلاعات بانکی خارج از سیستم رسمی علی‌بابا تأیید نشود، حتی با وجود نماد Trade Assurance، خریدار از حمایت مالی محروم می‌ماند:
“Alibaba Trade Assurance does not pick and choose countries… All money has to be paid and exchanged through Alibaba or you get no trade assurance protection.”

۵. در چین، مؤسسات رسمی مانند China Payment & Clearing Association (CPCA) و بانک‌های دولتی، اطلاعات شناسایی هویت و حساب بانکی شرکت‌ها را مدیریت و منتشر می‌کنند. استفاده از سرویس‌های اعتبارسنجی بانکی چینی (مثل CNAPS یا خدمات مشابه) ضمن تطابق نام شرکت و شماره حساب، نقش کلیدی در جلوگیری از پرداخت به حساب‌های جعلی ایفا می‌کند. این اعتبارسنجی رسمی در چین اهمیت ویژه‌ای دارد زیرا اطلاعات ارائه‌شده با داده‌های دولتی همخوانی دارد.

۶. استفاده از خدمات اعتبارسنجی در ایران نظیر ” خدمات اعتبارسنجی چین بین” با گوزد کردن این نکات و بررسی شماره حساب فروشنده به عنوان کنترل عامل کنترل ثالث، یم تواند تا حد زیادی از چنین خطاهایی پرهیز شود.

نقش چین‌بین

وب‌سایتی مانند «چین‌بین» با ترکیب اعتبارسنجی جامع، تحلیل اسناد رسمی، و ارائه قراردادهای سفارشی‌شده، حلقه گم‌شده‌ای است که بسیاری از واردکنندگان بدون آن، وارد معامله‌ای پرخطر می‌شوند.

مشاهده مزایای جانبی اعتبارسنجی؟

خلاصه جدول دروس آموخته

خلاصه نکته	لینک منبع معتبر
حملات BEC در سال ۲۰۲۲ بیش از ۲.۷ میلیارد دلار خسارت مالی ایجاد کرده‌اند.	۲۰۲۲ FBI IC3 Report on BEC Losses
حدود ۴۰٪ موارد کلاهبرداری پلتفرمی در PwC 2022 مرتبط با حملات فاکتور جعلی است.	PwC Global Economic Crime Survey ۲۰۲۲
پرداخت از طریق ایمیل یا لینک خارجی تضمین Trade Assurance را لغو می‌کند.	Alibaba Trade Assurance Guide
تجربیات کاربران Reddit نشان می‌دهد، پرداخت خارج از پلتفرم علی‌بابا پشتیبانی مالی را حذف می‌کند.	Reddit: Trade Assurance requires on-platform payment
اعتبارسنجی حساب بانکی رسمی چین (مثل CNAPS) نقش کلیدی در جلوگیری از پرداخت به حساب جعلی دارد.	China Payment & Clearing Association (CPCA)