商业电子邮件诈骗(BEC):诈骗者如何针对企业下手
商业电子邮件诈骗(BEC)是代价最高的诈骗类型之一,每年造成数十亿美元的损失。诈骗者冒充高管、操纵员工并利用公司关系来窃取钱财和数据。了解这些手法有助于您的机构加以防范。
什么是商业电子邮件诈骗?
商业电子邮件诈骗是一种精密的欺诈攻击,犯罪分子发送看似来自公司高管、可信供应商或商业伙伴的电子邮件。这些邮件要求紧急转账、索取敏感数据或更改凭据。这些请求看起来合法,且来自公司“内部”,使员工放松警惕。
BEC 与网络钓鱼有何不同
标准的网络钓鱼攻击使用带有明显破绽(语法差、通用问候语)的群发邮件。BEC 攻击则高度针对性且十分精密。诈骗者研究公司结构、了解商业关系,并精心撰写完美模仿高管沟通风格的邮件。
常见的 BEC 攻击类型
CEO 诈骗(鲸钓)
一封邮件看似来自 CEO 或高管,要求紧急电汇。邮件强调时间紧迫:“务必在下班前完成”“收购所需”或“机密——请勿与他人讨论”。员工往往不通过正常渠道核实便迅速照办。
发票操纵
诈骗者拦截或冒充供应商,发送要求付款的虚假发票。发票看起来合法,包含公司标识,并与供应商的格式一致。会计部门未经额外核实便支付发票。
供应商冒充
诈骗者发送看似来自可信供应商的邮件,要求支付发票。他们创建与真实供应商几乎相同的电子邮件地址(用 vemdor.com 代替 vendor.com)。员工支付了从未存在过的发票。
W-2 网络钓鱼
一封邮件看似来自人力资源部或 CEO,要求提供所有员工的 W-2 信息(社会安全号码、薪资信息)。诈骗者利用这些信息提交虚假纳税申报或实施身份盗用。
电汇诈骗
邮件要求向新账户或境外银行进行紧急电汇。这种紧迫感和权威性(看似来自高管)迫使员工绕过核实程序。
凭据收集
一封邮件看似来自 IT 部门或服务提供商,以“系统更新”或“安全验证”为由索取账户凭据。一旦得手,诈骗者便可访问公司系统、窃取数据或实施进一步诈骗。
账户接管
诈骗者通过网络钓鱼或密码攻击攻陷员工或高管的电子邮件账户。一旦进入,他们便向同事、供应商和合作伙伴发送看起来完全合法的虚假邮件。
诈骗者如何研究您的机构
BEC 攻击者十分周密。他们在攻击之前会对您的公司进行深入研究:
- • 查阅您的网站以了解公司结构、高管和部门
- • 在 LinkedIn 上查找员工信息和组织层级
- • 监控社交媒体上的高管公告和公司新闻
- • 研究您的供应商和商业伙伴
- • 查阅公开的财务文件和 SEC 备案
- • 监控关于合并、收购和合作的新闻稿
- • 查阅电子邮件目录和泄露的密码数据库
- • 研究从网上泄露邮件中获取的高管沟通模式
BEC 邮件的警示信号
发件人地址异常
- 邮件来自外部域名而非公司邮箱
- 拼写相似但略有不同(用 ceo-name@company-name.com 代替 @company.com)
- “高管”使用免费电子邮件地址(Gmail、Yahoo)
- 看似来自已知联系人的伪造邮件
邮件内容的警示信号
- 异常的紧迫感或时间压力
- 要求保密:“请勿提及此事”“仅限你我之间”
- 在通常属于例行交易中提出异常请求
- 要求向陌生银行账户电汇
- 索取敏感信息(密码、凭据、W-2 数据)
- 高管语气与其惯常风格不同
- 语法或拼写差(尽管精密的 BEC 攻击会避免这一点)
流程上的警示信号
- 请求绕过正常的审批流程
- 要求跳过供应商核实程序
- 指示立即处理付款而不进行审查
- 要求使用异常的付款方式
- 已知供应商提供了新的账户信息
预防政策与最佳实践
实施多重身份验证(MFA)
对所有电子邮件账户强制使用 MFA,尤其是高管和财务人员的账户。即使密码被盗,这也能阻止攻击者访问账户。
建立核实程序
对于任何财务请求,务必使用已知的电话号码(而非邮件中的号码)回拨给请求者进行核实。切勿使用邮件本身提供的联系信息。对于供应商付款,请通过单独的沟通渠道核实新的账户信息。
分离财务职责
切勿让一个人同时审批和处理付款。至少需要两个人:一人审批,一人执行。这可防止单个被攻陷的员工造成损失。
使用电子邮件身份验证协议
实施 SPF(发件人策略框架)、DKIM(域名密钥识别邮件)和 DMARC(基于域名的邮件认证)以防止邮件伪造。这些措施让攻击者更难冒充您的公司。
培训员工识别 BEC 威胁
定期的安全培训有助于员工识别 BEC 攻击。教育员工了解他们面临的具体风险以及公司使用的核实程序。
建立欺诈举报系统
为员工建立一个简单的可疑欺诈举报流程。让举报安全且匿名,使员工能够放心地向管理层报告威胁。
监控邮件中的警示信号
使用邮件过滤软件标记可疑邮件(伪造地址、要求付款的外部发件人等)。这可自动拦截许多攻击。
实施账户限制
限制被攻陷账户可执行的操作。例如,临时限制邮件转发规则、禁用自动回复,并标记异常的账户活动。
如果您怀疑遭遇 BEC 攻击该怎么办
停下并核实
如果您收到要求付款、索取凭据或敏感信息的可疑邮件,请立即停下。使用您确认无误的号码(来自公司通讯录或网站,而非邮件)致电对方核实该请求。
向 IT 和安全部门报告
立即通知您的 IT 部门和安全团队。如果账户已被攻陷,他们需要将其保护起来。如果已进行电汇,他们需要立即联系银行,尝试追回资金。
重置被攻陷的账户
如果员工的账户被攻陷,请立即重置其密码,并强制其退出所有会话。要求其更改共用同一密码的其他账户的密码。
立即联系您的银行
如果资金已被转出,请立即联系您的银行或金融机构。许多欺诈性转账如果举报得足够及时,是可以被拦截或撤销的。
向执法机构报告
请通过 ic3.gov 向 FBI 的互联网犯罪投诉中心(IC3)举报 BEC 攻击。提供有关攻击、损失的资金以及所用邮件地址/账户的详细信息。
关键要点
商业电子邮件诈骗精密且具有针对性。您最好的防御是将技术控制(MFA、邮件身份验证、过滤)与人员意识(核实程序、员工培训)相结合。当异常的财务或敏感数据请求通过邮件到达时,请放慢脚步,通过另一种沟通渠道进行核实。核实所花的几分钟,可能为您的机构省下数十万美元。
下一步做什么?
如需详细的机构安全指导,请咨询网络安全专业人士或联系 FBI 网络犯罪部门。
