返回指南

商业电子邮件诈骗(BEC):诈骗者如何针对企业下手

商业电子邮件诈骗(BEC)是代价最高的诈骗类型之一,每年造成数十亿美元的损失。诈骗者冒充高管、操纵员工并利用公司关系来窃取钱财和数据。了解这些手法有助于您的机构加以防范。

什么是商业电子邮件诈骗?

商业电子邮件诈骗是一种精密的欺诈攻击,犯罪分子发送看似来自公司高管、可信供应商或商业伙伴的电子邮件。这些邮件要求紧急转账、索取敏感数据或更改凭据。这些请求看起来合法,且来自公司“内部”,使员工放松警惕。

BEC 与网络钓鱼有何不同

标准的网络钓鱼攻击使用带有明显破绽(语法差、通用问候语)的群发邮件。BEC 攻击则高度针对性且十分精密。诈骗者研究公司结构、了解商业关系,并精心撰写完美模仿高管沟通风格的邮件。

常见的 BEC 攻击类型

CEO 诈骗(鲸钓)

一封邮件看似来自 CEO 或高管,要求紧急电汇。邮件强调时间紧迫:“务必在下班前完成”“收购所需”或“机密——请勿与他人讨论”。员工往往不通过正常渠道核实便迅速照办。

发票操纵

诈骗者拦截或冒充供应商,发送要求付款的虚假发票。发票看起来合法,包含公司标识,并与供应商的格式一致。会计部门未经额外核实便支付发票。

供应商冒充

诈骗者发送看似来自可信供应商的邮件,要求支付发票。他们创建与真实供应商几乎相同的电子邮件地址(用 vemdor.com 代替 vendor.com)。员工支付了从未存在过的发票。

W-2 网络钓鱼

一封邮件看似来自人力资源部或 CEO,要求提供所有员工的 W-2 信息(社会安全号码、薪资信息)。诈骗者利用这些信息提交虚假纳税申报或实施身份盗用。

电汇诈骗

邮件要求向新账户或境外银行进行紧急电汇。这种紧迫感和权威性(看似来自高管)迫使员工绕过核实程序。

凭据收集

一封邮件看似来自 IT 部门或服务提供商,以“系统更新”或“安全验证”为由索取账户凭据。一旦得手,诈骗者便可访问公司系统、窃取数据或实施进一步诈骗。

账户接管

诈骗者通过网络钓鱼或密码攻击攻陷员工或高管的电子邮件账户。一旦进入,他们便向同事、供应商和合作伙伴发送看起来完全合法的虚假邮件。

诈骗者如何研究您的机构

BEC 攻击者十分周密。他们在攻击之前会对您的公司进行深入研究:

  • • 查阅您的网站以了解公司结构、高管和部门
  • • 在 LinkedIn 上查找员工信息和组织层级
  • • 监控社交媒体上的高管公告和公司新闻
  • • 研究您的供应商和商业伙伴
  • • 查阅公开的财务文件和 SEC 备案
  • • 监控关于合并、收购和合作的新闻稿
  • • 查阅电子邮件目录和泄露的密码数据库
  • • 研究从网上泄露邮件中获取的高管沟通模式

BEC 邮件的警示信号

发件人地址异常

  • 邮件来自外部域名而非公司邮箱
  • 拼写相似但略有不同(用 ceo-name@company-name.com 代替 @company.com)
  • “高管”使用免费电子邮件地址(Gmail、Yahoo)
  • 看似来自已知联系人的伪造邮件

邮件内容的警示信号

  • 异常的紧迫感或时间压力
  • 要求保密:“请勿提及此事”“仅限你我之间”
  • 在通常属于例行交易中提出异常请求
  • 要求向陌生银行账户电汇
  • 索取敏感信息(密码、凭据、W-2 数据)
  • 高管语气与其惯常风格不同
  • 语法或拼写差(尽管精密的 BEC 攻击会避免这一点)

流程上的警示信号

  • 请求绕过正常的审批流程
  • 要求跳过供应商核实程序
  • 指示立即处理付款而不进行审查
  • 要求使用异常的付款方式
  • 已知供应商提供了新的账户信息

预防政策与最佳实践

实施多重身份验证(MFA)

对所有电子邮件账户强制使用 MFA,尤其是高管和财务人员的账户。即使密码被盗,这也能阻止攻击者访问账户。

建立核实程序

对于任何财务请求,务必使用已知的电话号码(而非邮件中的号码)回拨给请求者进行核实。切勿使用邮件本身提供的联系信息。对于供应商付款,请通过单独的沟通渠道核实新的账户信息。

分离财务职责

切勿让一个人同时审批和处理付款。至少需要两个人:一人审批,一人执行。这可防止单个被攻陷的员工造成损失。

使用电子邮件身份验证协议

实施 SPF(发件人策略框架)、DKIM(域名密钥识别邮件)和 DMARC(基于域名的邮件认证)以防止邮件伪造。这些措施让攻击者更难冒充您的公司。

培训员工识别 BEC 威胁

定期的安全培训有助于员工识别 BEC 攻击。教育员工了解他们面临的具体风险以及公司使用的核实程序。

建立欺诈举报系统

为员工建立一个简单的可疑欺诈举报流程。让举报安全且匿名,使员工能够放心地向管理层报告威胁。

监控邮件中的警示信号

使用邮件过滤软件标记可疑邮件(伪造地址、要求付款的外部发件人等)。这可自动拦截许多攻击。

实施账户限制

限制被攻陷账户可执行的操作。例如,临时限制邮件转发规则、禁用自动回复,并标记异常的账户活动。

如果您怀疑遭遇 BEC 攻击该怎么办

停下并核实

如果您收到要求付款、索取凭据或敏感信息的可疑邮件,请立即停下。使用您确认无误的号码(来自公司通讯录或网站,而非邮件)致电对方核实该请求。

向 IT 和安全部门报告

立即通知您的 IT 部门和安全团队。如果账户已被攻陷,他们需要将其保护起来。如果已进行电汇,他们需要立即联系银行,尝试追回资金。

重置被攻陷的账户

如果员工的账户被攻陷,请立即重置其密码,并强制其退出所有会话。要求其更改共用同一密码的其他账户的密码。

立即联系您的银行

如果资金已被转出,请立即联系您的银行或金融机构。许多欺诈性转账如果举报得足够及时,是可以被拦截或撤销的。

向执法机构报告

请通过 ic3.gov 向 FBI 的互联网犯罪投诉中心(IC3)举报 BEC 攻击。提供有关攻击、损失的资金以及所用邮件地址/账户的详细信息。

关键要点

商业电子邮件诈骗精密且具有针对性。您最好的防御是将技术控制(MFA、邮件身份验证、过滤)与人员意识(核实程序、员工培训)相结合。当异常的财务或敏感数据请求通过邮件到达时,请放慢脚步,通过另一种沟通渠道进行核实。核实所花的几分钟,可能为您的机构省下数十万美元。

下一步做什么?

如需详细的机构安全指导,请咨询网络安全专业人士或联系 FBI 网络犯罪部门。

商业电子邮件诈骗(BEC):诈骗者如何针对企业下手 | AVASC