2025-12-22 04:25:49 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 商业邮件诈骗(BEC)是一种不依赖恶意软件的社交工程攻击，通过伪造邮件或入侵真实邮箱账户欺骗受害者进行转账。攻击者通常经过精心策划，包括信息收集、伪装入侵、执行攻击和资金转移四个阶段。防御BEC需要建立多层次体系，包括技术措施(如SPF、DKIM、DMARC协议)、流程管控(如独立财务核实流程)和人员培训。文章提供了多个真实案例，如上海外贸公司和美国巴尔的摩市政府的案例，强调了BEC攻击的严重性和防范的重要性。 综合评分： 93 文章分类： 社会工程学,安全意识,安全培训,威胁情报,应急响应

cover_image

BEC指南—商业邮件方案（Business Email Compromise）

原创

ice

Ice ThirdSpace

2025年12月15日 16:31 广东

原文参考链接：

https://www.paloaltonetworks.com/cyberpedia/what-is-business-email-compromise-bec-tactics-and-prevention

一位财务人员刚向“供应商”支付了一笔15万美元的货款，第二天才发现收款账户在三天前刚刚更改，而更改请求竟来自一个与CEO邮箱只有一字之差的伪造地址——

[email protected]

。

上海一家外贸公司就遭遇了这样的精准打击。黑客直接入侵了销售经理的办公电脑和邮箱，长期潜伏监控交易进度后，

从该真实邮箱向境外客户发出更改收款账户的指令

01 隐形攻击

与传统网络攻击不同，商业邮件诈骗不依赖病毒或恶意软件。它操作简单到令人不安——只需要一封精心编写的电子邮件。

这种攻击巧妙地避开了大多数网络安全防护系统的检测。没有恶意链接，没有危险附件，只有看似合理的商业请求。

美国巴尔的摩市政府最近就因此损失了152万美元。攻击者通过伪造的供应商邮箱，侵入了市政采购系统，悄然篡改了供应商的银行账户信息。

更令人担忧的是，市政部门竟然在7月和8月分两次向这个诈骗账户完成了转账，内部的双重确认机制完全失效。

02 信任的裂痕

商业邮件诈骗的核心在于利用和破坏商业关系中的信任。攻击者通过精心伪装，让收件人相信邮件来自可信的联系人。

现代攻击者已经不再满足于伪造相似的邮箱地址。他们开始直接入侵真实的邮箱账户或云服务账户，从内部发起攻击。

2025年的一起案件中，攻击者全程在微软365生态内操作，利用合法域名发送邮件，甚至篡改了租户内的公司标识，完美绕过了传统安全检测。

这些攻击者表现出惊人的耐心。他们会长期潜伏在邮箱中，阅读数月的往来邮件，学习公司内部的沟通风格和业务流程，等待最合适的时机出手。

03 诈骗蓝图

一次典型的商业邮件诈骗遵循着清晰的步骤，这些步骤构成了攻击者的“社交工程蓝图”。

初始侦查阶段，攻击者通过公开渠道收集信息：公司网站、领英档案、新闻稿，甚至员工社交媒体。他们寻找组织结构、关键人员和业务流程的线索。

伪装入侵阶段，攻击者可能通过钓鱼邮件获取凭证，或直接注册相似域名。更高级的做法是入侵第三方供应商的邮箱，从信任链的薄弱环节切入。

执行阶段，攻击者发送精心编写的邮件，通常模仿高管、财务人员或长期合作伙伴。邮件内容极具针对性，会提及真实的项目细节或内部用语。

收尾阶段，一旦款项汇出，攻击者会迅速通过多个中间账户转移资金，最终流入难以追踪的海外账户。整个过程可能只需几个小时。

04 进化中的威胁

商业邮件诈骗正变得更加复杂和难以防范。攻击者不断调整策略，利用新技术和新漏洞。

深度伪造技术的应用让攻击不再局限于文字。已经有案例显示，攻击者使用AI生成的语音冒充高管进行电话确认，使诈骗更加难以识破。

供应链攻击成为新路径。攻击者不再直接瞄准大企业，而是先攻破其小型供应商或合作伙伴，利用已有的信任关系横向移动。

混合攻击模式兴起。2025年南京的一起案件中，攻击者先通过钓鱼邮件植入木马，窃取公司内部信息，随后在微信群中假冒领导，利用伪造的高管角色演戏催促转账，险些造成270万元损失。

05 防御矩阵

面对商业邮件诈骗，企业需要建立多层次、全方位的防御体系。单一措施无法提供充分保护，必须技术、流程和人员培训相结合。

技术层面，必须部署电子邮件身份验证协议。SPF、DKIM和DMARC这三大协议能像邮局的“验钞机”一样，验证发件人身份是否真实。

启用多因素认证是防止账户被轻易盗用的最重要防线。同时需要监控异常登录行为，如非工作时间或陌生地点的访问。

行为分析工具可以建立每位员工的正常邮件沟通模式基线，一旦出现显著偏离——如“CEO”突然用不同语气要求紧急转账——系统会自动告警。

06 人为防线

技术措施再先进，最终执行操作的还是人。因此，人员培训和流程管控是防御体系的最后一道，也是最重要的一道防线。

建立独立的财务核实流程至关重要。任何通过邮件或即时通讯发出的付款或更改账户信息指令，必须通过电话或视频等另一独立渠道进行二次确认。确认时不应使用邮件中提供的联系方式。

推行“冷静期”原则，特别是对于紧急的财务请求。强制实行“拖延15分钟”政策，为核实留出必要时间。真正的紧急情况经得起短暂延迟。

定期开展针对性培训，使用最新的真实案例作为教材。培训应特别针对财务、高管助理、采购等高风险岗位，内容需要不断更新以跟上攻击手法的演变。

07 企业自救指南

当怀疑遭受商业邮件诈骗时，企业需要立即采取行动，最大限度地减少损失并收集证据。

第一步是立即联系银行，尝试冻结转账或启动追回程序。时间至关重要，许多国际转账在24小时后将难以追回。

同时保留所有证据——可疑邮件、转账记录、通信记录。不要删除任何可能相关的信息，这些都可能成为后续调查的关键。

立即更改所有相关账户的密码，并检查是否有其他异常活动。攻击者常常会同时入侵多个账户。

报告事件至当地执法机构和网络安全机构。在中国，应立即拨打反诈专线96110，并向公安机关报案。国际合作也日益重要，许多商业邮件诈骗涉及跨国犯罪网络。

总结

为何BEC难以防范？应对策略是什么？

BEC的防御难点在于它主要利用信任漏洞和流程缺陷，而非技术漏洞，因此传统安全软件往往失效。

有效的防御必须构建一个结合技术、流程和人员意识的多层体系：

1. 夯实技术基础：强制邮件身份验证 这是最基础且关键的一环，旨在从源头阻止伪造邮件。

SPF、DKIM、DMARC：这三项协议是电子邮件安全的“三大支柱”。它们能像邮局的“验钞机”一样，验证发件人身份是否真实，对未通过验证的邮件进行拦截或标记。目前主流邮件服务商（如谷歌、微软）已在强制执行这些协议。
启用多因素认证：为所有邮箱和关联业务系统（如ERP、采购系统）启用MFA，这是防止账户被轻易盗用的最重要防线之一。

2. 升级检测手段：关注行为异常 由于BEC邮件本身“干净”，需通过行为分析来识别异常。

建立用户行为基线：利用AI工具分析每位员工的正常邮件沟通模式（如收件人关系、语气、常用时间），一旦出现显著偏离（如“CEO”突然在非工作时间要求紧急转账），系统会自动告警。
持续扫描已投递邮件：部分高级威胁可能在投递时未被发现，需要事后持续扫描分析。

3. 加固流程与人：设立关键“刹车” 这是最后也最关键的防线，旨在阻断诈骗执行的路径。

建立独立的财务核实流程：规定任何通过邮件或即时通讯工具发出的付款、更改账户信息指令，必须通过电话或视频等另一独立渠道进行二次确认。巴尔的摩市的案例正是由于缺乏此流程而导致巨额损失。
推行“冷静期”原则：对紧急的财务请求，强制实行“拖延15分钟”原则，留出核实时间。
开展针对性培训：定期对财务、高管助理、采购等高风险岗位员工进行BEC专项培训，内容需包含最新的真实案例。

4.流程与人层面：