في هجوم BEC، يرسل المجرم الإلكتروني (أو مجموعة من المجرمين الإلكترونيين) رسائل بريد إلكتروني إلى موظفي المؤسسة المستهدفة تبدو وكأنها مرسلة من زميل عمل، أو مورِّد، أو شريك، أو عميل، أو جهة معنية أخرى. تخدع هذه الرسائل البريدية الموظفين لدفع فواتير مزوّرة، أو تحويل الأموال إلى حسابات بنكية وهمية، أو الإفصاح عن معلومات حساسة مثل بيانات العملاء، الملكية الفكرية، أو المعلومات المالية للشركة.

في حالات نادرة، يحاول مهاجمو BEC نشر برامج الفدية أو البرامج الضارة عن طريق مطالبة الضحايا بفتح مرفق أو النقر على رابط ضار.كما أنهم يبحثون بعناية عن الموظفين الذين يستهدفونهم والهويات التي ينتحلون شخصيتهم لجعل رسائلهم الإلكترونية تبدو شرعية. وتساعدهم تقنيات الهندسة الاجتماعية، مثل انتحال عناوين البريد الإلكتروني وابتداع الذرائع، على صياغة رسائل هجومية مقنعة تبدو وكأنها مرسلة من مرسل منتحل.

أحيانًا يخترق المحتالون حساب البريد الإلكتروني للمرسل ويستولون عليه، ما يجعل رسائل الهجوم أكثر مصداقية، بل قد تكون غير قابلة للتمييز عن الرسائل المشروعة. تُعَد هجمات اختراق البريد الإلكتروني للأعمال من بين أكثر الهجمات الإلكترونية تكلفة.

وفقًا لتقرير تكلفة خرق أمن البيانات من IBM لعام 2022، فإن عمليات الاحتيال عبر البريد الإلكتروني للأعمال (BEC) هي ثاني أغلى أنواع الاختراقات الأمنية، حيث تكلِّف في المتوسط 4.89 ملايين دولار أمريكي. وفقًا لتقرير الجرائم الإلكترونية الصادر عن مركز شكاوى الجرائم عبر الإنترنت التابع لمكتب التحقيقات الفيدرالي (FBI)، كلفت عمليات الاحتيال عبر البريد الإلكتروني للأعمال (BEC) ضحايا الولايات المتحدة ما مجموعه 2.7 مليار دولار أمريكي في عام 2022.