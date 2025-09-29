严格来说，BEC 是一种鱼叉式网络钓鱼，这是一种针对特定个人或群体的网络钓鱼攻击。在鱼叉式网络钓鱼攻击中，BEC 的独特之处在于，目标是业务或组织的员工或伙伴，诈骗者会冒充目标认识或信任的其他员工或伙伴。

虽然一些 BEC 攻击是单独诈骗者所为，但其他攻击（见上文）是由 BEC 团伙发起的。这些团伙像合法企业一样运作，雇用寻找目标的潜在目标开发专家、猎寻电子邮件帐户的黑客以及确保网络钓鱼电子邮件没有错误且令人信服的专业写手。

一旦诈骗者或团伙锁定要抢劫的企业，BEC 攻击通常就会遵循相同的模式。



选择目标组织



几乎所有企业、非营利组织或政府都是 BEC 攻击的合适目标。拥有大量资金和客户的大型组织（BEC 所利用的大量交易可能会被忽视）是明显的目标。

但全球或本地事件可能会导致 BEC 攻击者获得更具体的机会，有些机会比其他机会更明显。例如，在新冠疫情期间，FBI 警告，BEC 诈骗者冒充医疗设备和用品供应商，向医院和医疗保健机构开具发票。另一方面（但利润同样丰厚），2021 年，BEC 诈骗者利用新罕布什尔州彼得伯勒广为人知的教育和建设项目，将 230 万美元的城镇资金转入欺诈性银行账户（链接位于 ibm.com 外部）。



研究员工目标和发件人身份



接下来，诈骗者开始研究目标组织及其活动，以确定将收到网络钓鱼电子邮件的员工，以及诈骗者将欺骗（假冒）的发件人的身份。

BEC 诈骗通常针对中层员工，例如财务部门或人力资源 (HR) 经理，这类员工有权发放付款或访问敏感数据，并且倾向于遵守高级经理或高管的要求。一些 BEC 攻击可能针对新员工，这类员工可能很少或根本没有接受过安全意识培训，并且对正确的付款或数据共享程序和批准了解有限。

对于发件人身份，诈骗者会选择能够令人信服地要求或影响诈骗者希望目标员工采取行动的同事或伙伴。同事身份通常是组织内的高级经理、高管或律师。外部身份可能是来自供应商或合作伙伴组织的高管，但也可能是员工目标的同行或同事，例如，与员工目标定期合作的供应商、为交易提供建议的律师或者现有或新客户。

许多诈骗者使用与合法营销和销售部专业人员所使用的相同潜在客户开发工具（LinkedIn 和其他社交媒体网络、商业和行业新闻来源、潜在客户和列表构建软件）来寻找潜在的员工目标并匹配发件人身份。



入侵目标和发件人的网络



并非所有 BEC 攻击者都会采取入侵目标和发件人组织网络的步骤。但那些确实表现得像恶意软件的攻击者，在实际攻击前几周就会观察目标和发件人并积累信息和访问权限。这可使攻击者能够：

根据观察到的行为和访问权限选择最佳的员工目标和发件人身份



详细了解如何提交发票以及如何处理付款或敏感数据请求，以便他们更好地假冒攻击电子邮件中的请求



确定向供应商或律师等发起指定付款的截止日期。



拦截合法的供应商发票或采购订单，并对其进行更改以指定向攻击者的银行账户付款



控制发件人的实际电子邮件帐户（请参阅上面的电子邮件帐户泄露），使诈骗者能够直接从该帐户发送攻击电子邮件，有时甚至可以将其插入正在进行的合法电子邮件对话中，以确保最终的真实性。



准备和发起攻击



令人信服的冒名是 BEC 成功的关键，诈骗者精心制作攻击电子邮件以实现最大程度的真实性和可信度。

如果他们没有入侵发件人的电子邮件，诈骗者将创建一个虚假的电子邮件帐户，该帐户会伪造发件人的电子邮件地址，使其显得合法。（例如，他们可能会使用拼写错误的创意名称或域名，如 jsmith@company.com 或 jane.smith@cornpany.com 以冒充 jane.smith@company.com）。他们可能会添加其他视觉提示，例如附带发件人公司徽标的签名或详细的（虚假）隐私声明。

攻击电子邮件的一个关键组成部分是“借口”（虚假但可信的故事），旨在获得目标的信任并说服或迫使目标按照攻击者的意愿行事。最有效的借口会将可识别情况与紧迫感和后果的暗示结合起来。经理或 CEO 发来一条消息，内容是：我即将登机，能否帮助我处理此发票（已附上）以避免产生滞纳金？，这是 BEC 借口的一个典型示例。

根据请求，诈骗者还可能建立虚假网站、注册虚假公司，甚至提供目标可以拨打的虚假电话号码以进行确认