来自内部威胁的演变

ACAMS 与信用行业欺诈防范组织 (Cifas)近期联合发布简报《内部威胁：日益凸显的隐患》^1,2，梳理了公共和私营机构所面临的内部人员风险的格局变化。

内部威胁曾一度被狭义地定义为流氓交易员或心怀不满的员工，如今其定义已扩展至更广泛的风险范畴，包括与外部威胁行为主体（如有组织犯罪团伙）的勾结、长期潜伏的“内鬼”（有时由国家行为主体安插），以及导致重大金融犯罪或网络安全管控失效的内部自满与懈怠。本文通过剖析若干近期案例，揭示了由内部人员参与的欺诈、洗钱、网络犯罪及其他恶意犯罪计划所具有的广泛性、复杂性和跨行业特征，深入探讨了这一令人担忧的现象。

ACAMS 与信用行业欺诈防范组织 (Cifas) 指出了一个关键趋势：内部威胁不再局限于孤立事件，而是日益成为复杂欺诈和地缘政治洗钱计划的一部分。内部人员有意或无意地成为协助者、推动者或守门人，这使得内部监督至关重要，但实施起来困难重重。在审查的所有案例中，内部人员既是犯罪成功的关键推手，也是规避现有管控的核心力量。

所有案例均涉及多种环境因素，应结合其独特特征（如上游犯罪、组织特征及管控框架）进行综合考量。

案例分析

1.肯尼亚近期发生的一起案例揭示了内部人员可能给单一金融机构 (FI) 造成的潜在风险规模。³Equity Bank 的审计发现，在 90 天内发生了一起涉及 1,160 万美元（15 亿肯尼亚先令）的内部欺诈案。一名高级薪资经理的 IT 密钥凭证遭窃后，不法分子通过薪资系统和移动钱包向外部账户实施了 40 余笔非法转账。涉案人员遍及各级部门，包括高管和基层职员——部分人员因直接参与共谋或因未及时上报可疑活动而受到牵连。最终，该行在内部整肃行动中解雇或裁撤了逾 1,200 名员工。

该欺诈案涉及多种手段：移动支付转账的错误导向、未经授权的跨行转账（含离岸转账）以及收受客户“小费”或贿赂。此次大规模整肃暴露出内部管控体系、企业文化、反欺诈人员配置及常规法务审计中的系统性治理缺陷。该案例揭示了内部人员风险如何渗透看似常规的交易流程，凸显了主动监控员工行为的必要性。

2.2024 年 5 月，美国国务院某前预算分析师对从雇主处挪用逾 65 万美元公款的犯罪行为供认不讳。⁴ 她利用财务主管职务之便，滥用内部信任，篡改供应商记录并提交虚假付款授权。这是“特权职位风险”的典型案例——系统访问权限与职责分离不足、交易监督缺失相结合，助长了持续性欺诈的气焰。该案例表明，内部流程漏洞可能会放大机构层面的重大风险。采购与供应商付款环节增强尽职调查和异常检测的重要性不亚于客户层面的监控。

3.2025 年 6 月，美国金融教育机构特许金融分析师协会 (CFA) 一名高管被曝通过虚假报销和伪造供应商付款挪用数百万美元资金。⁵

该欺诈行为持续数年之久，涉及伪造文件滥用及监管失职。

该案例揭示了若干典型的“内部人员”危险信号：

• 无法解释的生活方式变化
• 抵制审计审查
• 拒绝休假或授权（典型的“关键人物风险”）

此案例凸显了行为分析的必要性——定期生活方式核查、举报人赋权机制及异常检测工具（如重复发票或整数金额支付）同样不可或缺。

4.在另一起令人不安的勾结案例中，四名男子（包括一名内部人员）因通过行贿操纵苏格兰国民保健服务计划 (NHS) 的采购而被判入狱。⁶ 该内部人员收受回扣，以此作为向特定公司授予合同的条件，不时涉及虚高或非必要服务。采购欺诈（尤其在公共资助部门）会衍生出洗钱链条，包括设立空壳供应商、虚增发票金额以及通过合法支付渠道融合资金。

推荐的控制措施包括：

• 采购权限分离
• 定期供应商审计
• 合同异常模式分析

5.2025 年 5 月，有消息称黑客通过贿赂和招募品行不端的客服人员成功入侵了 Coinbase 内部系统。⁷ 黑客通过网络接触到这些内部人员后，以现金为交换条件，让他们提供账户凭证或协助建立后门访问权限。该案例融合了网络安全与内部威胁的特征，形成“外部招募的内部人员”这一混合型威胁。这印证了业界警示：外部行为主体（如网络犯罪集团与有组织犯罪团伙）正日益将金融机构及科技平台的内部人员作为攻击目标。

当数字资产公司被用作进入金融体系的工具时，单个员工的行为可能导致系统性反洗钱 (AML) 举措和阻止制裁规避的举措失效，潜在风险包括但不限于转移与受制裁政权或大规模杀伤性武器扩散融资相关的加密资产。

6.美国司法部一份民事没收文件披露，朝鲜关联人员通过空壳公司网络、被入侵的数字货币交易所以及虚假身份洗钱逾 774 万美元。⁸ 值得注意的是，部分洗钱活动依赖数字交易所内部人员或区域银行内部协助者。无论自愿还是被迫，内部人员已成为地缘政治洗钱活动的重要一环。通过远程办公、伪造职位、盗用供应商身份等手段，受制裁人员得以渗透到金融工作流程之中。

《华尔街日报》近期一篇报道⁹ 揭露了类似的事件：数千名朝鲜 IT 人员通过远程工作渗透西方企业——通常使用的手法是虚假身份或与招聘人员勾结。这些工作者的行为一举两得，既为朝鲜政权赚取了外汇，又能接触到敏感系统。风险不仅限于支付欺诈，更涉及恶意访问——内部人员可篡改代码、创建后门或窃取数据。反洗钱与内部欺诈团队应将招聘尽职调查和供应商管理纳入控制框架。

跨领域发展趋势与可在实际行动中借鉴的要点

1. 内部人员与外部威胁的勾结                              

上述所有案例均涉及某种个人动机，使个体易受所谓冤屈、国家行为主体、犯罪网络或腐败供应商的影响。反洗钱、反网络犯罪及反欺诈专业人员必须拓展客户尽职调查的定义，将员工和第三方合作伙伴纳入调查范围。

2. 控制失效助长长期危害

内部人员活动可能持续数年之久。审计职能薄弱、企业文化漏洞以及数据分析能力不足为入侵提供了可能性。机构应部署：

• 行为生物测定学技术
• 休假与轮岗政策
• 员工财务状况及访问行为实时监控

3. 不同的风险领域盘根错节

内部威胁已不再孤立存在，而是与网络风险、地缘政治风险、规避制裁、采购欺诈及加密货币洗钱计划相互交织。

对防范金融犯罪专业人士的建议

1. 建立内部威胁类型库：根据内部角色特定风险定制检测模型，如采购专员、IT 管理员、人力资源专员。
2. 红队演练：通过模拟内部入侵测试系统，识别最薄弱的访问点。
3. 多部门协作：内部威胁存在于人力资源、网络安全、反洗钱及合规部门的交汇点。跨学科检测团队至关重要。
4. 整合员工风险评分：基于访问权限、财务压力及行为异常对员工进行风险评分，类似于反洗钱中的客户风险评分。
5. 强化举报人保护机制：内部威胁往往通过内部渠道揭露。安全且匿名的举报渠道可加速问题上报。

结论

内部威胁已构成欺诈与金融犯罪威胁格局的核心要素。应对之道则是重构机构对内部风险的监控、侦测与响应机制。这些涵盖政府部门到金融科技企业的近期案例并非特例，而是昭示着更广泛的漏洞的警告信号。反洗钱、网络安全或反欺诈专业人士应调整防控重点，将内部威胁视为金融犯罪风险管理的核心环节，而不仅是人事问题。

Joby Carpenter，ACAMS 新兴威胁与非法金融领域专家， jcarpenter@acams.org,

1. 《来自内部的威胁：日益凸显的隐患》，ACAMS、信用行业欺诈防范组织 (Cifas)，2025 年 5 月，https://www.acams.org/en/media/document/39113
2. 信用行业欺诈防范组织 (Cifas) 是一家总部位于英国的非营利性机构，提供欺诈防范服务，致力于促进银行、零售、保险、电信行业成员间的信息与情报共享。
3. Adonijah Ndege，“Kenya’s Equity Group fires 1,200 staff after internal $15.4 million fraud probe,”TechCabal,2025 年 5 月 30 日，https://techcabal.com/2025/05/30/equity-group-ceo-fires-1200-fraud/
4. “Former State Department Budget Analyst Pleads Guilty to Embezzling More than $650,000,”美国检察官办公室，2025 年 4 月 30 日，https://www.justice.gov/usao-dc/pr/former-state-department-budget-analyst-pleads-guilty-embezzling-more-650000
5. Anika Arora Seth，“Ex-CFA Institute Executive Charged With Embezzling Millions,”彭博社，2025 年 6 月 23 日，https://www.bloomberg.com/news/articles/2025-06-23/ex-cfa-institute-executive-charged-with-embezzling-millions
6. “Four men jailed for £6m bribery and corruption against NHS Scotland,”NHS Counter Fraud Authority（反欺诈管理局），2025 年 6 月 5 日，https://cfa.nhs.uk/about-nhscfa/latest-news/four-men-jailed-for-bribery-against-NHS-scotland
7. Tom Gerken，“Leading crypto firm Coinbase faces up to $400m hit from cyber attack,”BBC，2025 年 5 月 15 日，https://www.bbc.co.uk/news/articles/c80k5plpx8do
8. “Department Files Civil Forfeiture Complaint Against Over $7.74M Laundered on Behalf of the North Korean Government,”美国司法部，2025 年 6 月 5 日，https://www.justice.gov/opa/pr/department-files-civil-forfeiture-complaint-against-over-774m-laundered-behalf-north-korean
9. Robert McMillan and Dustin Volz, “North Korea Infiltrates U.S. Remote Jobs―With the Help of Everyday Americans,”《华尔街日报》，2025 年 5 月 27 日，https://www.wsj.com/business/north-korea-remote-jobs-e4daa727om/business/north-korea-remote-jobs-e4daa727