为什么你的清关行邮箱现在是 CBSA 清关中最薄弱的环节
针对货代和清关行的钓鱼攻击已经不是理论风险。攻击者冒充发货人或 CBSA,可以在货物到港前改道运输、篡改 CAD 申报或窃取 CARM Client Portal 登录凭证。
要点速览
- 钓鱼攻击现在瞄准清关行和货代,目的是在货物抵达前截取货物、篡改 CAD 申报或窃取 CARM Client Portal 凭证。
- 一条虚假的 release prior to payment 指令可以把货转到第三方仓库,在进口商发现货物已清关前就消失。
- CBSA 不会通过邮件要求你的 CARM 登录信息;任何索要 portal 访问权限的邮件都是钓鱼。
- CARM Client Portal 账户多因素认证和与清关行锁定的沟通协议已经不是可选项。
核心要点
- 钓鱼攻击现在瞄准清关行和货代,目的是在货物抵达前截取货物、篡改 CAD 申报或窃取 CARM Client Portal 凭证。
- 一条虚假的 release prior to payment 指令可以把货转到第三方仓库,在进口商发现货物已清关前就消失。
- CBSA 不会通过邮件要求你的 CARM 登录信息;任何索要 portal 访问权限的邮件都是钓鱼。
- CARM Client Portal 账户多因素认证和与清关行锁定的沟通协议已经不是可选项。
这种盗窃从不碰仓库大门
以前货物盗窃靠断线钳和一辆失踪的拖车。现在是从一封邮件开始,看起来和你货代每周发的一模一样,只是要求小改一下进境货物的送货地址或收货人名字。
研究人员最近实时观察了一个货物盗窃团伙 30 天。他们记录下的东西应该让行内每个清关行、承运商和进口商警觉。攻击者没有闯入任何场地。他们冒充发货人,对合法货盘提交虚假投标,用伪造的邮件线程和耐心改道货物。
加拿大清关行正坐在同样的漏洞中心。我们控制 CAD 申报、release prior to payment 指令、CARM Client Portal 权限,以及每月数千票货物的收货人信息。如果攻击者攻破我们的邮箱或伪造我们的域名,他们可以在进口商知道货物已清关前改货物走向、改关税支付路径或提交虚假申报。
CBSA 清关的攻击面在哪
每一票进加拿大的商业进口都要经过几个数字关卡。CARM Client Portal 在 2024 年 10 月取代了旧的 Customs Commercial System,此后提交的每个 CAD(Commercial Accounting Declaration)都在一条记录里带着进口商的 business number、清关行的凭证和收货人的交货指令。
如果攻击者拿到清关行的 CARM 登录,他们可以提交或修改 CAD,用现有 RPP bond 申请放行,或改通知方,不会触发明显红旗。CBSA 不会打电话确认小改动。如果 HS 税号、货值和原产国看着合理,系统就放货。
我们常见冒充 CBSA 验证请求的钓鱼邮件,让清关行通过克隆 portal 页面登录,或回复扫描的发票和装箱单。CBSA 网站发布官方 D-memoranda 和通知,但攻击者指望清关行在旺季时快速行动,先点再说。
第二种常见手法是邮件线程劫持。攻击者监控进口商、清关行和承运商之间的合法邮件链,然后插入一条带更新交货指令的消息。清关行用新收货人地址申报 CAD。承运商送到那个地址。货物消失。等进口商打电话问货在哪,别人三天前已经签收了。
被篡改的 CAD 申报长什么样
虚假 CAD 通常不会虚报税号或原产国。那些错误会触发 CBSA 风险评分,延误放行。攻击者改的是收货人名字、送货地址或通知方邮箱。货物正常在进口商的 RPP bond 下清关,承运商送到记录上的地址。
如果虚假收货人在合法商业地点经营(转运场里的租赁单元、保税仓库的短期租约,甚至是 sufferance warehouse),司机没理由质疑交货。货物签收、卸货、消失,真进口商还没察觉。
我们处理过的案子里,唯一差异是 CAD 上收货人 business number 的一位数字笔误。CBSA 放货了,因为申报其他部分和以往进口记录吻合。承运商送到清关行提供的地址。进口商发现欺诈是因为下游客户打电话问订单在哪。
锁定的沟通协议比政策 PDF 重要
大多数进口商有网络安全政策。但和清关行有锁定沟通协议的少。如果你的清关行通过邮件接受货物指令、收货人变更或 CAD 修改,不电话确认,你就有漏洞。
我们要求任何活跃 CAD 上收货人名字、送货地址或付款路径的变更都要语音确认。这让清关慢 15 分钟。但过去半年拦下了三次改道企图。
CARM Client Portal 账户的多因素认证在 2024 年 5 月的 CBSA 政策下还不强制,但启用它是你能实施的最简单控制。如果你清关行的 CARM 登录需要第二因素,攻击者钓到密码也无法申报 CAD 或申请放行。
同样原则适用于货运代理和短驳交接。如果你的承运商从你从未用过的邮箱收到更新的交货指令,他们该打给你。如果你的仓库在 PARS 放行的货上收到最后一刻的收货人变更,他们该打给清关行。一个电话比提交盗窃报告和撤销虚假 RPP 索赔便宜。
CBSA 验证请求真正长什么样
CBSA 确实根据 Customs Act 进行放行后验证,这些请求可能通过邮寄、CARM Client Portal 消息中心送达,或偶尔通过 cbsa-asfc.gc.ca 域名的邮件。CBSA 绝不会要你的 CARM 登录凭证,要求你点链接”验证账户”,或发带附件的主动邮件让你确认货物细节。
如果你收到声称是 CBSA 验证请求的邮件,里面有登录链接、要求你提供 business number 和 portal 密码,或者附件文件名像”CBSA_Verification_Form.exe”,删掉它。真的 CBSA 验证信会引用具体的 CAD 交易编号,包含官员姓名和分机号,要求通过邮寄或安全 portal 上传文档。
拿不准时,打 CBSA 官网上发布的 Border Information Service 电话,引用邮件里的交易编号,问验证请求是否真实。如果是真的,官员会确认。如果是钓鱼,你省下了一个被盗凭证和一份欺诈报告。
CARM 审计轨迹里看不见的欺诈
基于邮件的攻击的一个挑战是 CARM Client Portal 审计日志不会显示任何异常。如果攻击者用偷来的凭证,或说服清关行用虚假细节申报 CAD,portal 记录的是授权用户的正常申报。没有登录失败,没有异常 IP,没有红旗。
唯一的信号是下游不匹配:进口商没收到货,承运商送到进口商不认识的地址,送货证明上的收货人和采购订单不符。等这些点连起来,货早没了。
这就是为什么关务合规现在包括通信安全,不只是税号准确性和 CUSMA 原产地文档。如果你的清关行允许开放式邮件指令,如果你的承运商不确认就接受收货人变更,或者你的仓库仅凭转发邮件就放货,你离损失只差一封伪造邮件。
明天就能锁的东西
在你的 CARM Client Portal 账户上启用多因素认证,要求你的清关行也这样做。大多数清关行内部已经用 MFA,但如果你的不用,把它写进合同。
建立 CAD 修改和收货人更新的变更控制协议。任何要求改送货地址、通知方或付款指令的邮件都需要用先前验证的电话号码语音确认。没有例外,即使旺季也不行。
审查你的 RPP bond 条款,确保你的清关行有覆盖虚假放行的错误与遗漏保险。如果攻击者用你清关行的凭证申报 CAD,你的货放给了错误方,bond 发行人可能辩称放行在清关行登录下是授权的,拒绝索赔。
如果你运营自己的仓库或用第三方设施,给收货员工讲收货人验证。最后一刻改提货联系人、收货人名字和提前发货通知不符,或司机拿不出参考编号,都该在放货前打给清关行。
最后,如果你清关行的邮箱被攻破,或你怀疑虚假 CAD 已经提交,立即通知 CBSA 执法部门,冻结所有待处理的放行指令。你越快标记欺诈,在货离开承运商监管前拦下或追回的机会越大。
如果你现在的清关行没有锁定的沟通协议,或解释不清他们如何保护 CARM Client Portal 访问权限,这个缺口值得补上。我们在每个文件上执行这些控制,可以讲解活跃 CAD 申报的变更管理是什么样。联系我们。
常见问题
钓鱼攻击如何针对加拿大的清关行?
攻击者冒充发货人、承运商或 CBSA 官员,要求改道、修改 CAD 或索取 CARM Client Portal 凭证。一旦进入清关行的邮箱或 portal,他们可以改货物走向、改关税支付指令,或提交虚假的 release prior to payment 申请。
什么是 CAD,攻击者如何篡改它?
CAD(Commercial Accounting Declaration)是 CARM 时代取代旧 B3 表格的申报单,2024 年 10 月 CARM Phase 2 Release 3 后强制用于所有商业进口。如果攻击者拿到你清关行的 CARM Client Portal 权限,他们可以提交或修改 CAD,虚报货值、税号或收货人,让货物放行给欺诈方。
CBSA 会通过邮件要我的 CARM 登录信息吗?
不会。CBSA 绝不会通过邮件索要 CARM Client Portal 用户名、密码或安全问题。任何声称来自 CBSA 要登录信息的邮件都是钓鱼。CBSA 只在 cbsa-asfc.gc.ca 发布官方通知和 D-memoranda。
虚假的 release prior to payment 能改道我的货吗?
能。如果攻击者伪造进口商邮件,给清关行发新的交货指令,承运商可能在真进口商察觉前就把货放到别的仓库。我们见过货物用有效 RPP bond 清关,但被第三方用伪造收货人文件提走的案子。
怎么确认 CBSA 验证请求是真的?
CBSA 验证请求通过挂号信或 CARM Client Portal 消息中心送达,绝不会用带附件的普通邮件。仔细检查发件域名(cbsa-asfc.gc.ca,不是相似域名),在回复任何要文件或付款的请求前,用已知电话直接联系你的清关行确认。
如果我清关行的邮箱被攻破了怎么办?
立即通知清关行,冻结所有待处理的 CAD 申报和放行指令。通过电话确认每票货的收货人、送货地址和付款路径。如果货已经放了,联系 CBSA 执法部门,向当地警方报案商业盗窃,保住你 RPP bond 的索赔权。
CARM Client Portal 必须用多因素认证吗?
截至 2024 年 5 月,CBSA 强烈建议所有 CARM Client Portal 账户启用 MFA,但对进口商和清关行还没强制。考虑到凭证钓鱼量上升,在你的 portal 账户和清关行账户上启用 MFA 是防止未授权 CAD 申报最简单的办法。
来源: The Loadstar
常见问题
钓鱼攻击如何针对加拿大的清关行?
攻击者冒充发货人、承运商或 CBSA 官员,要求改道、修改 CAD 或索取 CARM Client Portal 凭证。一旦进入清关行的邮箱或 portal,他们可以改货物走向、改关税支付指令,或提交虚假的 release prior to payment 申请。
什么是 CAD,攻击者如何篡改它?
CAD(Commercial Accounting Declaration)是 CARM 时代取代旧 B3 表格的申报单,2024 年 10 月 CARM Phase 2 Release 3 后强制用于所有商业进口。如果攻击者拿到你清关行的 CARM Client Portal 权限,他们可以提交或修改 CAD,虚报货值、税号或收货人,让货物放行给欺诈方。
CBSA 会通过邮件要我的 CARM 登录信息吗?
不会。CBSA 绝不会通过邮件索要 CARM Client Portal 用户名、密码或安全问题。任何声称来自 CBSA 要登录信息的邮件都是钓鱼。CBSA 只在 [cbsa-asfc.gc.ca](https://www.cbsa-asfc.gc.ca/) 发布官方通知和 D-memoranda。
虚假的 release prior to payment 能改道我的货吗?
能。如果攻击者伪造进口商邮件,给清关行发新的交货指令,承运商可能在真进口商察觉前就把货放到别的仓库。我们见过货物用有效 RPP bond 清关,但被第三方用伪造收货人文件提走的案子。
怎么确认 CBSA 验证请求是真的?
CBSA 验证请求通过挂号信或 CARM Client Portal 消息中心送达,绝不会用带附件的普通邮件。仔细检查发件域名(cbsa-asfc.gc.ca,不是相似域名),在回复任何要文件或付款的请求前,用已知电话直接联系你的清关行确认。
如果我清关行的邮箱被攻破了怎么办?
立即通知清关行,冻结所有待处理的 CAD 申报和放行指令。通过电话确认每票货的收货人、送货地址和付款路径。如果货已经放了,联系 CBSA 执法部门,向当地警方报案商业盗窃,保住你 RPP bond 的索赔权。
CARM Client Portal 必须用多因素认证吗?
截至 2024 年 5 月,CBSA 强烈建议所有 CARM Client Portal 账户启用 MFA,但对进口商和清关行还没强制。考虑到凭证钓鱼量上升,在你的 portal 账户和清关行账户上启用 MFA 是防止未授权 CAD 申报最简单的办法。