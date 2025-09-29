商业电子邮件泄露 (BEC) 是一种鱼叉式网络钓鱼电子邮件骗局，旨在从企业窃取金钱或敏感数据。
在 BEC 攻击中，网络罪犯（或网络犯罪团伙）向目标组织的员工发送看似来自同事、供应商、合作伙伴、客户或其他伙伴的电子邮件。这些电子邮件的目的是诱骗员工支付欺诈性发票、向虚假银行账户进行电汇或者泄露客户数据、知识产权或公司财务等敏感信息。
在更罕见的情况下，BEC 诈骗者可能会通过要求受害者打开附件或单击恶意链接来传播勒索软件或恶意软件。
为了使他们的电子邮件看起来合法，BEC 攻击者会仔细研究他们的目标员工以及他们冒充的身份。他们利用社会工程学技术，如电子邮件地址欺骗和假托，精心制作攻击电子邮件，使其看起来和读起来都像是由冒充的发件人发送的。在某些情况下，诈骗者实际上会侵入并劫持发件人的电子邮件帐户，从而使攻击电子邮件更加可信，甚至与合法电子邮件几乎无法区分。
商业电子邮件泄露攻击是代价最高的网络攻击之一。根据 IBM 2022 年数据泄露成本报告，BEC 诈骗是第二昂贵的泄露类型，平均损失达 489 万美元。根据 FBI 互联网犯罪投诉中心的《互联网犯罪报告》（PDF，链接位于 ibm.com 外部）2022 年，BEC 诈骗给美国受害者造成的损失总计 27 亿美元。
网络安全专家和 FBI 确定了六种主要的 BEC 攻击类型。
BEC 攻击者冒充与公司合作的供应商，向目标员工发送一封附带虚假发票的电子邮件；当公司支付发票时，金钱会直接流入攻击者手中。为了使这些攻击令人信服，攻击者可能会拦截真实的供应商发票，并进行修改以将付款直接发送到他们自己的银行账户。
值得注意的是，法院已经裁定（链接位于 ibm.com 外部），那些被虚假发票骗取钱财的公司仍然要承担真实发票的金额。
最大的虚假发票骗局之一是针对 Facebook 和 Google 的。从 2013 年到 2015 年，诈骗者冒充 Quanta Computer（与以上两家公司都存在合作的真实硬件制造商）从 Facebook 窃取了 9,800 万美元，从 Google 窃取了 2,300 万美元。虽然诈骗者被抓获并且两家公司都收回了大部分资金，但这种结果对于 BEC 诈骗来说比较罕见。
诈骗者冒充高管（通常是 CEO），要求员工向某处汇款，通常以达成交易、支付逾期发票、甚至为同事购买礼品卡为幌子。
CEO 欺诈阴谋经常制造一种紧迫感，要求目标迅速而鲁莽地采取行动（例如，这张发票已逾期，如果不立即付款，我们将失去相应的服务）或者要求目标保密，因此目标不会咨询同事（例如，这笔交易是保密的，所以不要告诉任何人）。
2016 年，一名冒充航空航天制造商 FACC CEO 的诈骗者利用虚假收购诱骗一名员工转移 4,700 万美元（链接位于 ibm.com 外部）。由于该骗局，公司董事会以“违反”职责为由解雇了 CFO 和 CEO。
诈骗者接管非高管员工的电子邮件帐户。他们可能会使用该帐户向其他公司发送虚假发票或欺骗其他员工共享保密信息。诈骗者经常使用 EAC 来获取更高级别帐户的凭据，然后用于诈骗 CEO。
诈骗者冒充律师，要求受害者支付发票或共享敏感信息。冒充律师的骗局依赖于很多人会与律师合作，如果律师要求保密，这并不奇怪。
俄罗斯 BEC 团伙 Cosmic Lynx 的成员经常冒充律师，以此作为双重冒名攻击的一部分（链接位于 ibm.com 外部）。首先，目标公司的 CEO 会收到一封电子邮件，向 CEO 介绍一位“律师”，协助该公司进行收购或其他业务交易。然后，假律师会向 CEO 发送电子邮件，要求电汇付款以完成交易。Cosmic Lynx 攻击平均从每个目标窃取 127 万美元。
许多 BEC 攻击以人力资源和财务员工为目标，窃取个人可标识信息 (PII) 和其他敏感数据，然后利用这些数据实施身份盗窃或未来攻击。
例如，2017 年，美国国税局 (IRS) 警告（链接位于 ibm.com 外部）存在窃取员工数据的 BEC 骗局：诈骗者冒充公司高管，要求负责薪资的员工发送员工 W-2 副本（其中包括员工的社会安全号码和其他敏感信息）。一些相同的员工收到了“跟进”电子邮件，要求向欺诈账户进行电汇。诈骗者认为，发现 W2 请求可信的目标是电汇请求的绝佳目标。
2023 年初，FBI 警告（链接位于 ibm.com 外部）存在一种新型攻击，其中诈骗者冒充企业客户从目标公司窃取产品。诈骗者利用虚假财务信息并冒充另一家公司采购部门的员工，通过赊购达成一笔大额采购交易。目标公司交付订单（通常是建筑材料或计算机硬件），但诈骗者从不付款。
严格来说，BEC 是一种鱼叉式网络钓鱼，这是一种针对特定个人或群体的网络钓鱼攻击。在鱼叉式网络钓鱼攻击中，BEC 的独特之处在于，目标是业务或组织的员工或伙伴，诈骗者会冒充目标认识或信任的其他员工或伙伴。
虽然一些 BEC 攻击是单独诈骗者所为，但其他攻击（见上文）是由 BEC 团伙发起的。这些团伙像合法企业一样运作，雇用寻找目标的潜在目标开发专家、猎寻电子邮件帐户的黑客以及确保网络钓鱼电子邮件没有错误且令人信服的专业写手。
一旦诈骗者或团伙锁定要抢劫的企业，BEC 攻击通常就会遵循相同的模式。
几乎所有企业、非营利组织或政府都是 BEC 攻击的合适目标。拥有大量资金和客户的大型组织（BEC 所利用的大量交易可能会被忽视）是明显的目标。
但全球或本地事件可能会导致 BEC 攻击者获得更具体的机会，有些机会比其他机会更明显。例如，在新冠疫情期间，FBI 警告，BEC 诈骗者冒充医疗设备和用品供应商，向医院和医疗保健机构开具发票。另一方面（但利润同样丰厚），2021 年，BEC 诈骗者利用新罕布什尔州彼得伯勒广为人知的教育和建设项目，将 230 万美元的城镇资金转入欺诈性银行账户（链接位于 ibm.com 外部）。
接下来，诈骗者开始研究目标组织及其活动，以确定将收到网络钓鱼电子邮件的员工，以及诈骗者将欺骗（假冒）的发件人的身份。
BEC 诈骗通常针对中层员工，例如财务部门或人力资源 (HR) 经理，这类员工有权发放付款或访问敏感数据，并且倾向于遵守高级经理或高管的要求。一些 BEC 攻击可能针对新员工，这类员工可能很少或根本没有接受过安全意识培训，并且对正确的付款或数据共享程序和批准了解有限。
对于发件人身份，诈骗者会选择能够令人信服地要求或影响诈骗者希望目标员工采取行动的同事或伙伴。同事身份通常是组织内的高级经理、高管或律师。外部身份可能是来自供应商或合作伙伴组织的高管，但也可能是员工目标的同行或同事，例如，与员工目标定期合作的供应商、为交易提供建议的律师或者现有或新客户。
许多诈骗者使用与合法营销和销售部专业人员所使用的相同潜在客户开发工具（LinkedIn 和其他社交媒体网络、商业和行业新闻来源、潜在客户和列表构建软件）来寻找潜在的员工目标并匹配发件人身份。
并非所有 BEC 攻击者都会采取入侵目标和发件人组织网络的步骤。但那些确实表现得像恶意软件的攻击者，在实际攻击前几周就会观察目标和发件人并积累信息和访问权限。这可使攻击者能够：
根据观察到的行为和访问权限选择最佳的员工目标和发件人身份
详细了解如何提交发票以及如何处理付款或敏感数据请求，以便他们更好地假冒攻击电子邮件中的请求
确定向供应商或律师等发起指定付款的截止日期。
拦截合法的供应商发票或采购订单，并对其进行更改以指定向攻击者的银行账户付款
控制发件人的实际电子邮件帐户（请参阅上面的电子邮件帐户泄露），使诈骗者能够直接从该帐户发送攻击电子邮件，有时甚至可以将其插入正在进行的合法电子邮件对话中，以确保最终的真实性。
令人信服的冒名是 BEC 成功的关键，诈骗者精心制作攻击电子邮件以实现最大程度的真实性和可信度。
如果他们没有入侵发件人的电子邮件，诈骗者将创建一个虚假的电子邮件帐户，该帐户会伪造发件人的电子邮件地址，使其显得合法。（例如，他们可能会使用拼写错误的创意名称或域名，如 jsmith@company.com 或 jane.smith@cornpany.com 以冒充 jane.smith@company.com）。他们可能会添加其他视觉提示，例如附带发件人公司徽标的签名或详细的（虚假）隐私声明。
攻击电子邮件的一个关键组成部分是“借口”（虚假但可信的故事），旨在获得目标的信任并说服或迫使目标按照攻击者的意愿行事。最有效的借口会将可识别情况与紧迫感和后果的暗示结合起来。经理或 CEO 发来一条消息，内容是：我即将登机，能否帮助我处理此发票（已附上）以避免产生滞纳金？，这是 BEC 借口的一个典型示例。
根据请求，诈骗者还可能建立虚假网站、注册虚假公司，甚至提供目标可以拨打的虚假电话号码以进行确认
BEC 诈骗是最难预防的网络犯罪之一，因为它们很少使用安全工具可以检测到的恶意软件。相反，诈骗者依旧可以欺骗和操纵。诈骗者甚至不需要破坏其目标公司；他们可以通过破坏甚至冒充供应商或客户来骗取受害者的巨额资金。因此，根据《数据泄露成本报告》，BEC 攻击平均需要 308 天才能标识和遏制，在所有泄露类型中的解决时长排名第二。
也就是说，公司可以采取以下步骤来防御这些诈骗：
网络安全意识培训可以帮助员工了解在诈骗者用于寻找和研究目标的社交媒体平台和应用程序上过度分享所带来的危险。培训还可以帮助员工发现 BEC 企图并采用最佳实践，例如在按照大额付款请求执行操作之前先行验证。
电子邮件安全工具可能无法捕获每封 BEC 电子邮件，尤其是来自泄露帐户的电子邮件。不过，它们可以帮助标识伪造的电子邮件地址。一些工具还能够标记可疑的电子邮件内容，这些内容可能会表明 BEC 企图。
安全性编排、自动化和响应 (SOAR)、安全信息和事件管理 (SIEM)、端点检测和响应 (EDR) 以及扩展检测和响应 (XDR) 等企业安全工具可以通过标识企图利用网络漏洞的尝试，以及标记端点、电子邮件帐户和其他可能指向黑客进行侦察的活动，帮助安全团队更快地标识和阻止 BEC 攻击。
