可能很多人都没有注意到，我们平常用word写文章、文件的时候，在文档属性里留有作者名，也就是最初的文档创建者。

这一回，word文档的这项标记，成了破案关键。

据Bleepingcomputer报道，Hicham Kabbaj于2015年5月开始担任美国纽约营销公司Rakuten Marketing的运营总监，并于2018年5月至2019年8月之间担任技术运营和工程高级副总裁。

图源：bleepingcomputer

精于“以权谋私”的他创办了名为Interactive Systems的空壳公司，并以新公司的名义向Rakuten Marketing输送IT设备。

负责公司数据中心的工作使他可以在被雇用四个月后向自己发送发票，并开始自己的盗用计划，要求为从未交付的防火墙设备，服务器和服务付款。

就这样，他顺风顺水地做了4年左手倒右手的生意，牟利600万美元(约合4182万)。

更确切地说，在2015年8月至2019年4月之间，Kabbaj的Interactive Systems空壳公司向其雇主提交了大约52张发票。

不过，公司走账是需要票据的，Kabbaj就是在这里暴露的。

调查人员发现，有几张发票上对应的硬件序列号对应的是已购老设备，更甚的是，其中几张发票还是用Word伪造的，这些原始Word文档显示为Kabbaj的副本。

事情败露地如此彻底，Kabbaj承认的罪行。他不仅需要吐出侵吞的600万美元不义之财，还面临20年牢狱之灾。

可能微软也不曾想过word的设备标记功能竟然会干这么一件大事，只能说天网恢恢疏而不漏。

文章来源：安全圈，转载请标明出处，如有侵权请联系删除。