上个月，Hitender Sharma 驾车从多伦多前往温莎时，接到了私家侦探的电话，要求他掉头返车。

调查人员告诉夏尔马，他的控股公司已被诈骗分子劫持，这些诈骗分子企图获得夏尔马公司在密西沙加拥有的免抵押商业地产。他们的目的是什么？通过融资或出售土地，套现数百万美元的股权。

“这太令人震惊了，”夏尔马说。“我们在这里投入了所有的资金，[这处房产]价值可能超过 1200 万加元，而这一切却会消失。”

第二天，夏尔马拿出了他的控股公司的安大略省公司记录副本，证实有人在 11 月份更改了公司的董事和地址。

事实证明，他的公司并不是唯一的目标。 

据给夏尔马打电话的私家侦探布莱恩·金 (Brian King) 称，他的地块是多伦多地区 (GTA) 的五处商业地产之一，这些地产由一个集团向私人贷款人推销，以获得融资或购买，该集团于去年年底接管了拥有这些地产的公司。

在 King 的公司正在处理的其中一起案件中，他说该团伙在合法所有者不知情的情况下，以近 500 万美元的价格将 Caledon 的一处房产卖给了毫无戒心的贷款人。对于 Sharma 的房产，该团伙希望获得 500 万元的抵押贷款，但未能如愿。

“我怀疑还有更多，”专门从事白领犯罪的金国际咨询集团总裁兼首席执行官金说。“我们正在仔细研究我们现在可以访问的某些记录，我确实怀疑我们会找到更多[财产]。”

产权记录显示，夏尔马的房产仍然无抵押且尚未出售 - 但他仍在努力重新获得对其控股公司的控制权。

图：布莱恩·金 (Brian King) 是 King International Advisory Group 的总裁兼首席执行官，也是安大略省列治文山的一名私家侦探。 （肯·汤森）

加拿大广播公司多伦多分台曾广泛报道过类似的针对住宅物业的诈骗案。在这些案件中，诈骗者冒充房主以获得抵押贷款或出售房屋。

尽管该计划的目的同样是利用房产权益，但所涉及的步骤引发了人们对安大略省商业登记处的安全性的新疑问和担忧。

“有了安全措施，就不应该有人能够进入并更改某人的公司记录，”金说。“在我看来，这是我们政府系统目前的一个小缺陷，需要修复。”

2021 年企业登记实现数字化

大约四年前，省政府推出了全新的数字化安大略商业注册系统，允许企业主全天候在线更改和提交公司文件， 让“生活变得更轻松” 。

该系统还创建了一项名为“公司密钥”的新安全功能。每个密钥都是分配给企业的唯一数字和字符序列，可像 PIN 一样用于提交文件和更改公司记录。自 2021 年 10 月起，新公司在成立后会自动获得密钥，但老企业必须申请密钥，然后将其邮寄到其注册办公地址或电子邮件地址。 

针对商业地产业主的数百万美元诈骗计划

加拿大广播公司多伦多分部获悉，大多伦多地区至少有五起企业主成为诈骗分子的目标，这些诈骗分子成功劫持了他们的公司。他们的目标是从这些房产中套取现金或直接出售这些房产。

夏尔马的公司成立于 2014 年，因此直到 2024 年 4 月，他才获得公司钥匙，当时他的会计代表他的公司向公共和商业服务交付和采购部申请了钥匙，以更改公司办公地址。   

公开信息、用于验证的其他来源 

目前尚不清楚，参与劫持夏尔马控股公司的诈骗者是如何获得其公司密钥并于 11 月更改公司记录的。

加拿大广播公司多伦多频道询问该部，请求者需要提供哪些信息来验证他们有权获取公司的公司密钥。

一位发言人在一份声明中表示，如果密钥是最新的，则会发送到企业的官方邮寄地址或电子邮件地址，但如果不是，则还有其他方式。

该部发言人杰弗里·斯廷森 (Jeffrey Stinson) 表示：“申请公司密钥的人必须结合使用公共记录中的信息以及来自其他内部和外部来源的信息来证明他们与企业的联系。”

“出于安全考虑，该部无法提供要求申请人提供的额外信息的详细信息。在发放公司密钥之前，该部会审查这些请求的准确性。”

但根据该部 11 月发布的有关如何申请公司密钥的分步指南，如果个人声称与公司有法律关系，他们可以请求将公司密钥发送到新的电子邮件地址。他们可以通过提供代表公司提交最后一份文件的人的信息以及提交该文件的年份和月份来做到这一点，这些信息是公开的。

“我与许多律师、各种律师事务所以及房地产和企业领域的人士进行了交谈，他们中的许多人告诉我，获取企业 PIN 码非常容易，”金说。“对他们来说，这几乎是可笑的。”

卫生部称其不对记录的准确性负责 

夏尔马向皮尔区警察局报告了此事。他还联系了该部门，希望了解这些变化是如何在他不知情的情况下发生的，并寻求帮助重新控制他的生意。

在上周的一封信中，该部告知夏尔马，他的公司 11 月提交的变更申请是由一家名为 Dye & Durham 的私营服务提供商提交的，并建议他们联系该公司，以便采取适当的行动。 

“我们注意到，商务部没有立法权力更改公司提交的任何信息，”商务部商业注册服务部门的一位经理在信中写道。 

“公司有责任确保向部长提交的信息准确无误，并通过提交变更通知来更正公共记录中的任何不准确信息。”

图：安大略省密西沙加的这处商业地产归 Hitender Sharma 于 2014 年成立的一家编号公司所有。他目前将其用作其物流业务的停车场，但他担心自己可能会被赶出这里，因为他在不知情的情况下被解除了编号公司董事的职务。 （Nicole Brockbank/CBC）

但当 Sharma 联系 Dye & Durham 时，他说他们告诉他核实的责任在于该部。据 Sharma 说，Dye & Durham 告诉他，他们的公司是一家在线服务提供商，任何拥有公司密钥的人都可以更改公司记录。

“我们乐意接受任何形式的欺诈行为，而且没有补救措施，”夏尔马在收到该部的信件并联系 Dye & Durham 后表示。“需要有人来把关，最终这个把关人必须是该部。”

CBC 多伦多分台联系了 Dye & Durham，希望了解其与注册局的关系，但该公司拒绝置评。

该部给夏尔马的信还说，他可以使用公司密钥更新公司的公共记录，以更正董事和地址信息，并可以出于安全目的重新生成新密钥。 

但夏尔马仍不确定他现在是否可以这样做，并表示他的律师已致函 Dye & Durham 律师事务所，指示他们撤销通过他们的系统对他的公司记录所做的更改。 

利用弱验证

一位高级网络安全顾问告诉加拿大广播公司多伦多分台，这看起来像是一个团体利用弱验证的典型案例。

多伦多城市大学罗杰斯网络安全催化剂中心的迈克·格罗普 (Mike Gropp) 表示：“这有点像锁门，然后把钥匙放在垫子下面。” 

他说，邮寄公司密钥是个好计划，因为它类似于双重身份验证，个人必须使用辅助设备确认身份，例如通过提交发送到手机的代码。但问题在于该部验证试图在该系统之外获取密钥的人的方法——使用包含公共记录中答案的安全问题。

图：Mike Gropp 是多伦多都会大学 Rogers Cybersecure Catalyst 的高级网络安全顾问。 （作者：Mike Gropp）

“安全问题往往是最薄弱的环节，”格罗普说。“我们一直在平衡安全性和可用性，而这两者总是相互矛盾的。某些东西越安全，通常就越不实用，就越不方便用户使用。”

他建议该省做出三项改变，以提高其商业注册的安全性：放弃安全问题，改用多因素身份验证；如果公司记录信息发生变化，则发送实时警报；并实施变更延迟（例如公司董事职位的变化），以便在欺诈者采取行动之前有时间修复它们。

考虑到政府掌握的敏感信息量，格罗普还希望政府能够与医院、银行等其他机构遵守相同的安全标准。 

与此同时，夏尔马担心其他人可能会受到类似欺诈的影响。

他说：“除非他们做出一些改变，否则这将对许多其他家庭或企业主造成毁灭性打击。”