黑客改了一个字母，500万货款就这样没了-王思然-华律网

一起真实跨国商业邮件诈骗案的完整复盘

这是我们团队几年前亲自处理过的一个案子。

买卖双方都是有一定规模的正规企业，交易流程没有任何异常，合同、订单、付款指令一切照常推进。最后，60万美元就这样消失了，骗局的全部手段，只是改动了银行账号里的一个英文字母。

骗局是怎么发生的

国内某上市公司向巴西买方出口原材料，双方通过电子邮件确认订单和收款账号，流程规范，合作顺畅。

然而，黑客早已悄悄潜入某上市公司的邮箱，监控着每一封往来邮件。在发现付款指令的关键时刻，他们出手了：将邮件中的银行账号英文字母篡改，同时在伦敦汇丰银行注册了一个"外观高度相似"的银行账户，再以卖方名义把"更新后的账号"发给买方。

买方没有核验，按惯例操作，60万美元准时汇出。

钱，进了骗子在伦敦开设的账户。

卖方一直没收到货款，反复催款。买方坚称已付，卖方坚称未收。双方隔着时差来回交涉，僵持数轮，才逐渐意识到—中间出了第三个人。

这是本案谈判中分歧最大的争点。

买方已经付款，只不过钱被骗子截走了。按《联合国国际货物销售合同公约》（CISG）的规定，付款义务的履行，要求款项实际到达卖方账户。付给错误账户，在法律上不构成有效清偿，买方的付款义务在原则上并未消灭。

这意味着：买方面临"钱已经出去、还要再付一次"的双重损失困境。

当然，买方也不是毫无抗辩余地。账号篡改发生在卖方邮箱，卖方对邮件系统的安全保管负有责任，存在一定过错，双方可依诚实信用原则协商损失分担。

卖方同样是受害者—货已发出，钱没收到，邮箱是被黑客入侵的。双方都不是骗局的主动参与者，却都要为此承担代价。

BEC（商业邮件诈骗）资金的追回成功率极低。骗子通常在收款后数小时内将资金分散转至多个账户，或兑换为加密货币，彻底切断追踪链条。

本案最终也没有追回被骗款项。

理论上可以尝试的路径有：立即联系汇款银行启动SWIFT追款程序（窗口期仅24至48小时）、向英国警方及Action Fraud报案、申请紧急财产保全令—但每一步都要求在极短时间内完成，稍有延误，资金就再也找不到了。

本案最终买卖双方和解

双方有持续的商业合作，某上市公司是对方在全球范围内的重要供应商，年进货量达数千万元。经过多轮跨境谈判，最终以后续订单折扣的方式完成损失分担，买方不再二次付款，双方关系得以延续。

处理跨境BEC纠纷，法律论证是基础，但把"法律对抗"转化为"商业方案"，往往才是真正解决问题的方式。

①收到账号变更通知，必须电话核实。 无论邮件格式多么正式、多么像官方邮件，必须用此前已知的电话号码（绝非邮件中提供的联系方式）致电对方财务确认。本案的悲剧，一个电话就可以避免。

②付款前逐字符核对账号。 骗子账号仅差1个字母，肉眼极易忽略。财务人员须将账号与合同原件逐字符比对，不能依赖视觉印象。

③大额付款启动双人审批。 单笔超过一定金额的国际付款，须经两名以上人员独立审核后才能执行，任何一人发现异常都有权叫停。

BEC诈骗每年给全球企业造成的损失超过百亿美元，而它的全部手段，有时只是改动了你邮件里的1个字母。