內部威脅的演變

公認反洗錢師協會 (ACAMS) 與 Cifas ¹ 近期聯合發布簡報《內部威脅：日益凸顯的隱患》²，梳理了公共和私營機構所面臨的內部人員風險局勢變化。

內部威脅過去僅限於惡意交易員或心懷不滿的員工，如今其定義已延伸至更廣泛的風險範疇，即包括與外部威脅行為主體（如有組織犯罪集團）的勾結、長期潛伏的「內鬼」（有時由國家行為主體安插）以及導致重大金融犯罪或網路安全管控失效的內部懈怠。本文透過剖析若干近期案例，揭示了由內部人員參與的詐欺、洗錢、網路犯罪及其他惡意計劃所具有的廣泛性、複雜性和跨行業特徵，深入探討這一令人擔憂的現象。

ACAMS 與 Cifas 指出了一個關鍵趨勢：內部威脅不再局限於孤立事件，而是日益成為複雜詐欺和地緣政治洗錢計劃的一部分。內部人員可能有意或無意地成為協助者、推動者或守門人，使得內部監督至關重要卻難以實施。在所有審查案例中，內部人員既是犯罪成功的關鍵推手，也是規避現有管控的核心力量。

所有案例均涉及多種環境因素，應結合其獨特特徵（如前置犯罪、組織特徵及管控框架）進行綜合考量。

案例分析：

1. 肯亞近期發生的一起案例揭示了內部人員可能給單一金融機構 (FI) 造成的潛在風險規模。³ Equity Bank 的稽核發現，在 90 天內發生了一起涉及 1,160 萬美元（15 億肯尼亞先令）的內部詐欺案。一名高階薪資經理的 IT 憑證遭竊後，不法分子透過薪資系統和行動錢包向外部帳戶進行 40 餘筆未經授權的轉帳。涉案人員遍及各級部門，包括高階主管和基層職員——部分人員因直接參與共謀或因未及時上報可疑活動而受到牽連。最終，該行在內部整肅行動中解雇或裁撤了逾 1,200 名員工。

該詐欺案涉及多種手段：行動支付轉帳方向錯誤、未經授權的跨行轉帳（含離岸轉帳）以及收受客戶「小費」或賄賂。此次大規模整肅暴露了內部控制體系、企業文化、反詐欺人員及常規法務稽核中的系統性治理缺陷。該案例揭示了內部人員風險如何滲透看似例行交易的流程，凸顯了主動監督員工行為的必要性。

2. 2024 年 5 月，美國國務院前預算分析師對從雇主處挪用逾 65 萬美元公款的犯罪行為供認不諱。⁴ 她利用財務主管職務之便，篡改供應商記錄並提交虛假付款授權。這是「特權職位風險」的典型案例——系統存取權限與職責分離不足、交易監督缺失相結合，助長了持續性詐欺的氣焰。該案表明，內部流程漏洞可能會加劇跨機構間的重大風險。採購與供應商付款環節增強盡職調查和異常檢測的重要性不亞於客戶層面的監督。

3. 2025 年 6 月，美國金融教育機構特許金融分析師協會 (CFA) 一名高階主管被曝透過虛假報銷和偽造供應商付款挪用數百萬美元資金。⁵  該詐欺行為持續數年之久，涉及濫用偽造文件及監管失職。

該案揭示了若干典型的「內部人員」紅旗警訊：

• 無法解釋的生活方式變化
• 排斥稽核審查
• 拒絕休假或分權（典型「關鍵人物風險」）

此案凸顯了行為分析的必要性——定期生活方式核查、加強舉報人機制及異常檢測工具（如重複發票或整數金額支付）同樣不可或缺。

4. 在另一起令人不安的勾結案例中，四名男子（包括一名內部人員）因利用行賄操縱蘇格蘭國民保健服務計劃 (NHS) 的採購而被判入獄。⁶ 該內部人員跟特定公司簽約收受回扣，不時涉及誇大或非必要服務。採購詐欺（尤其在公帑資助部門）會衍生連鎖洗錢反應，包括設立空殼供應商、虛增發票金額以及透過合法支付管道整合資金。

控制建議包括：

• 採購權限分離
• 定期稽核供應商
• 合約異常模式分析

5. 2025 年 5 月，有消息稱駭客經由賄賂和招募不法客服人員成功入侵了 Coinbase 內部系統。⁷ 經由網路接觸的內部人員，會以現金為交換條件提供了帳戶憑證或協助建立後門存取權限。該案例融合了網路安全與內部威脅的特徵，形成「外部招募的內部人員」這一混合型威脅態樣。這印證了業界警示：外部行為主體（如網路犯罪集團與有組織犯罪集團）正日益將金融機構及科技平臺的內部人員作為攻擊目標。

當數位資產公司被當作進入金融體系的切入點時，單一員工的行為可能導致系統性防制洗錢 (AML) 和制裁規避失敗，潛在風險包括但不限於加密資產轉移涉及受制裁政權或資助大規模殺傷性武器擴散。

6. 美國司法部一份民事沒收文件披露，北韓關聯人員透過空殼公司網路、遭入侵的交易所以及虛假身分，洗錢逾 774 萬美元。⁸ 值得注意的是，部分洗錢活動依賴數位交易所內部人員或區域銀行內部協助者。無論自願還是被迫，內部人員已成為地緣政治洗錢活動的重要一環。透過遠距辦公、偽造職位、盜用供應商身分等手段，受制裁人員得以潛入金融工作流程。

《華爾街日報》近期一篇報導⁹ 同樣揭露了數千名北韓 IT 人員如何透過遠距工作滲透西方企業——他們常使用虛假身分或與招聘人員勾結。這些工作者既為北韓政權賺取外匯，又能接觸到敏感系統。風險不僅限於支付詐欺，更涉及惡意存取——內部人員可篡改程式碼、建立後門或竊取資料。防制洗錢與內部詐欺團隊應將招聘盡職調查和供應商管理納入控制框架。

跨領域趨勢與可行要點

1.  內部人員與外部威脅的勾結

所有案例均涉及某種個人動機，使個體易受所謂冤屈、國家行為主體、犯罪網路或腐敗供應商的影響。防制洗錢、反網路犯罪及反詐欺專業人士必須擴大客戶盡職調查的定義，將員工和第三方合作夥伴納入調查範圍。

2. 控制失效助長長期危害

內部人員活動可能持續數年之久。稽核職能薄弱、容易規避管控的企業文化以及資料分析能力不足，為此類入侵提供了可能性。機構應部署：

• 行為生物識別技術
• 休假與輪調政策
• 員工財務狀況及存取行為即時監督

3. 相互關聯的風險領域

內部威脅已不再孤立存在，而是與網路風險、地緣政治風險、規避制裁、採購詐欺及加密貨幣洗錢計劃相互交織。

對防範金融犯罪專業人士的建議

1. 建立內部威脅態樣分類庫：根據內部角色特定風險定制檢測模型，如採購專員、IT 管理員、人力資源專員。
2. 紅隊演練：透過模擬內部入侵測試系統，識別最薄弱的存取點。
3. 跨部門協作：內部威脅存在於人力資源、網路安全、防制洗錢及法規遵循部門的交匯點。跨領域偵測團隊至關重要。
4. 整合員工風險評分：基於存取權限、財務壓力及行為異常對員工進行風險評分，類似防制洗錢中的客戶風險評分。
5. 強化舉報人保護機制：內部威脅往往可透過內部管道揭露。安全匿名的舉報管道可加速問題上報。

結論

內部威脅已成為詐欺與金融犯罪威脅局勢的核心要素。應對之道則是重建機構對內部風險的監控、偵測與回應機制。近期發生於政府部門和金融科技公司的案件並非單一案例，而是更廣泛的系統漏洞警訊。防制洗錢、網路安全或反詐欺專業人士應調整防控重點，將內部威脅視為金融犯罪風險管理的核心環節，而不僅是人事問題。

Joby Carpenter，ACAMS 新興威脅與非法金融領域專家， jcarpenter@acams.org,

1. “The Threat from Within: A Growing Concern”（內部威脅：日益凸顯的隱患），ACAMS，Cifas，2025 年 5 月，https://www.acams.org/en/media/document/39113
2. Cifas 是一家總部位於英國的非營利機構，提供詐欺防範服務，致力於促進銀行、零售、保險、電信行業成員間的資訊與情報共享。
3. Adonijah Ndege，“Kenya’s Equity Group fires 1,200 staff after internal $15.4 million fraud probe”（肯亞 Equity 集團因內部 1,540 萬美元詐欺調查解雇 1,200 名員工），TechCabal，2025 年 5 月 30 日，https://techcabal.com/2025/05/30/equity-group-ceo-fires-1200-fraud/
4. “Former State Department Budget Analyst Pleads Guilty to Embezzling More than $650,000”（前國務院預算分析師對挪用逾 65 萬美元公款的犯罪行為供認不諱），美國檢察官辦公室，2025 年 4 月 30 日，https://www.justice.gov/usao-dc/pr/former-state-department-budget-analyst-pleads-guilty-embezzling-more-650000
5. Anika Arora Seth，“Ex-CFA Institute Executive Charged With Embezzling Millions”（CFA 前高階主管被控侵吞數百萬美元資金），彭博社，2025 年 6 月 23 日，https://www.bloomberg.com/news/articles/2025-06-23/ex-cfa-institute-executive-charged-with-embezzling-millions
6. “Four men jailed for £6m bribery and corruption against NHS Scotland”（四人因向蘇格蘭國民保健服務計劃行賄 600 萬英鎊獲判刑），NHS Counter Fraud Authority，2025 年 6 月 5 日，https://cfa.nhs.uk/about-nhscfa/latest-news/four-men-jailed-for-bribery-against-NHS-scotland
7. Tom Gerken，“Leading crypto firm Coinbase faces up to $400m hit from cyber attack”（加密巨頭 Coinbase 遭遇網路攻擊，損失或達 4 億美元），BBC，2025 年 5 月 15 日，https://www.bbc.co.uk/news/articles/c80k5plpx8do
8. “Department Files Civil Forfeiture Complaint Against Over $7.74M Laundered on Behalf of the North Korean Government”（司法部就北韓政府洗錢案提起民事沒收訴訟，涉案金額逾 774 萬美元），美國司法部，2025 年 6 月 5 日，https://www.justice.gov/opa/pr/department-files-civil-forfeiture-complaint-against-over-774m-laundered-behalf-north-korean
9. Robert McMillan 和 Dustin Volz，“North Korea Infiltrates U.S. Remote Jobs—With the Help of Everyday Americans”（北韓駭客偽裝「美籍遠距工作者」滲透美國企業），《華爾街日報》，2025 年 5 月 27 日，https://www.wsj.com/business/north-korea-remote-jobs-e4daa727