多伦多教育局（Toronto District School Board，简称TDSB）最近脸都被丢光了，一个连单词都拼不对的骗子，竟然仅用错字连篇漏洞百出的电子邮件就从教育局手里轻松骗走了超过100万加元！




这起案件简直可以称为“低技术诈骗（low-tech scam）”的典范，手法粗糙到令人尴尬，却偏偏成功了。让人不禁质疑这到底有多荒唐？！

根据《多伦多星报》报道，骗子冒充的是 TDSB 的老合作伙伴，一家叫 LCD Mechanical Inc. 的承包商。这家公司从2021年开始就帮教育局做学校翻新，比如换屋顶、窗户这些工程。

骗子的操作其实敷衍到没眼看，但却畅通无阻地一骗就是100万加元！

仿冒邮箱发假发票：用了个看起来像但仔细看又不对的邮箱地址

拼写错误很显眼：连“collegiate”这么常见的词都能拼错（这是众多学校名称的一部分啊！）

骗子冒充的公司名变来变去：一会用“LCD Mechanics”，一会用“LCD Mechanicals”，还有个“LCD Mechanic Inc.”

讲真，你们骗子团队能不能专业点，最起码先统一下口径？这么漏洞百出的诈骗，这是看不起谁啊？把人当弱智耍吗？

但，就这种水平，居然在2024年夏天成功让多伦多教育局更新了“承包商”的银行账户信息，把 1,080,260.65加元汇到了骗子在汉密尔顿道明银行（TD Bank） 的账户里。

还好，银行反应还算快！转账第二天，加拿大帝国商业银行（CIBC，应该是 教育局的账户所在行） 把这笔交易标记为“潜在诈骗事件（potential fraud incident）”。



多伦多教育局这才反应过来，赶紧要求银行追回钱款，目前这笔钱已经被冻结。

教育局已经向法院申请命令，要求 TD 银行披露所有相关信息，同时还把骗子告上法庭，索赔超过200万加元（包含损失和赔偿）。

网络安全专家看到这个案子，内心是彻底崩溃的，就这都能上当？

资深专家 Claudiu Popa 直接说，这就是个“低技术、门槛极低（low-tech, low-barrier）”的骗局，基本的尽职调查（due diligence） 就能轻松识破。

“这只是一个连字都拼不对的人发的邮件，” Popa 无奈表示，“居然还能成功，实在太让人震惊了。”

安省前隐私专员（Information and Privacy Commissioner）、现任全球隐私与安全设计中心（Global Privacy & Security by Design Centre） 执行总监 Ann Cavoukian 也吐槽，公共部门怎么老成了诈骗的“容易攻击的目标（easy target）”？该做的防范措施去哪了？



多伦多教育局的发言人 Ryan Bird 表示，他们已经加强了内部控制，还给相关员工做了额外的反诈骗培训。不过因为官司还在打，没法说太多细节。

这里插播一个背景，TDSB 最近几年财务压力一直挺大的，这学年预计赤字超过3400万加元，一度传闻连学校里给孩子们的厕纸都要抠抠搜搜地省着用……

然后，多伦多教育局每年还要从省政府拿好几亿的学校更新项目（school renewal projects） 资金来各种填坑，这次被骗的钱本来是付给承包商在士嘉堡 Stephen Leacock Collegiate Institute 的工程款……

专家警告称，这种公共资金被骗的事在加拿大并不少见，只是很多没被曝光。

Popa 说得挺直接：“这个案子是因为尽职调查严重缺失、金额又大，实在瞒不住了。对教育局来说，这应该是个非常尴尬和羞愧的教训。”

目前多伦多教育局正在努力通过法律途径追回损失。不管最后结果如何，这都已经成了一个价值百万加元的“反面教材”。

但是，这可是都纳税人的钱啊！