文章总结： 本文复盘了一起造成7.5万美元损失的商务邮件入侵事件。攻击者利用高仿域名及历史邮件冒充交易双方，利用员工安全意识薄弱和财务审批漏洞实施诈骗。文章分析了攻击手法与流程缺陷，并提出了强化安全意识培训、启用双因素认证及严格执行电话二次核实等防御建议。 综合评分： 91 文章分类： 社会工程学,安全意识,实战经验,应急响应

7.5万美金“蒸发”记：一场邮件钓鱼引发的“财务惨案”

让数据更安全

德斯克安全小课堂

2026年1月12日 13:39 江苏

**## *【写在开头】*

三年前我所在的一家公司遭遇了一起真实的邮件欺诈案，直接经济损失 7.5万美金（约合人民币50多万）。

攻击手法其实并不高明，甚至可以说“老套”。但讽刺的是，直到今天，这类骗术依然屡试不爽，依然有人中招。

所以，我决定把这段“黑历史”扒出来，给大家敲个警钟，以血淋淋的教训恳请大家别重蹈覆辙。

为保护隐私，文中公司邮箱域名统一为 company.com，合作伙伴邮箱域名统一为 *link.eu（一家德国公司）。

1     一出好戏，从“催款邮件”开始

我司销售模式是走代理，每月根据销售额给代理结算佣金。

月底，销售小姐姐A突然收到代理商催款邮件：“上个月的佣金咋还没付？”

A姐一愣：“不对啊，月初就付了呀！”

她赶紧翻出“付款邮件”甩给对方，双方一对，瞬间懵了——

“你这邮件我根本没收到啊！”

“你这邮箱怎么多了个字母s？？”

“我邮箱怎么多了个 .co ？？？”

A姐脸色逐渐苍白，心里已经明白：完了，被骗了。

但她还是抱着最后一丝希望，冲进IT部：“你们邮箱是不是出问题了？？？”

2    攻击时间线——骗子是怎么飙戏的

第一幕：假邮箱登场

骗子先注册了两个“高仿邮箱”：

我司的邮箱后面加 .co，比如 [email protected]

合作伙伴邮箱加个 s，比如 userC@*links.eu

第二幕：冒充我方，给客户发邮件

从7月15日起，骗子冒充A姐给客户C发邮件，还“贴心”地抄送了假同事B和合作伙伴D。

关键操作：附上了历史邮件记录，看起来就像是在原邮件上直接回复的，毫无违和感。

第三幕：冒充客户，给我们发邮件

7月18日起，骗子又冒充客户C，通知我们“银行账户已变更”，同样抄送了一众“演员”。

附件里还附上了“公司证明”、“银行开户证明”等文件（章是P的，此处就不献丑了）。

划重点：这两封邮件都带了完整历史记录，四个收件人，无一看出问题。

第四幕：充当中间人，一人饰两角

上面的两封邮件显然不是事件的全部，接下来还有一些诸如答疑、催款之类的往来邮件，当然，我方与客户方都以为互相之间保持正常的业务沟通，而实际都是断联的，双方的实际沟通对象是作为中间人的骗子。

3   内部流程，形同虚设

3.1      申请修改供应商信息

7月22日，A姐在OA提交了“供应商付款信息变更”流程。

流程经过财务相关负责人审批，但事后复盘发现两大漏洞：

• 里明明有“询证联系人”和“联系电话”，却没人打电话核实；
• 新银行名称和国家对不上，审批时也没人发现

3.2      骗子的小心机

骗子注册的是波兰的银行账户，但账户名称和德国公司一模一样（跨国重名完全可能）。

正是这个细节，让A姐一时没起疑。

3.3      付款完成

8月12日，财务按骗子提供的“发票”，顺利付款 $75,489.31。

钱，就这么飞了。钱这么好骗啊！！！！！说真的我也有点心动了，但是我懂法的，莫伸手，伸手必被抓。

4   事后复盘——我们是怎么“配合”骗子的

4.1      邮箱密码泄露了

骗子能附上历史邮件，说明至少有一个邮箱密码已泄露。

很可能是一封钓鱼邮件就搞定了。

4.2      邮件头信息分析

发给A姐的邮件来自瑞士苏黎世的服务器（IP: 185.20.211.228），通过 zoho.eu 发出。

4.3      我方邮箱安全么？

邮箱启用了SPF、DKIM、DMARC等安全配置，部署了邮件安全网关，查了用户登录日志，最近30天无异常，态势感知和NGSOC也未见异常。

后来得知，该客户的另一中国用户也中过招，手法一模一样。

结论：很可能是客户那边邮箱被黑了。

4.4      报案了么？

报了。但这是跨国作案，团伙化、专业化，三年过去，石沉大海。

5   总结——不是骗子太强，是我们太“松”

这次攻击手法毫无创新，但我们还是中招了。归根结底是：

• 员工安全意识薄弱：至少一人邮箱密码泄漏；收到关键信息变更邮件，连个电话都不打；
• 流程形同虚设：审批只看表单，不核实；银行信息与国家不符也无人察觉；
• 骗子演技到位：历史邮件+高仿邮箱+伪造文件，一套组合拳下来，防不胜防。
• 一句话：不是骗子高明，是我们自己“递了刀”。

6    邮件安全建议——别再“白送钱”了

邮件是办公刚需，也是钓鱼攻击的“重灾区”。以下几点，建议大家自查：

• 安全意识是根本：技术再强，也防不住人点链接。定期培训、案例分享不能少；
• 定期钓鱼测试：建议每季度一次，别太频繁（用户会烦），也别太少（容易松懈）；
• 开启邮件安全配置：SPF、DKIM、DMARC，一个都别少，邮件安全网关也要上；
• 强制双因素认证：尤其是异地登录或新设备登录时；
• 财务流程要严谨：涉及打款、账户变更，必须电话二次确认，流程不能走过场。**

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：德斯克安全小课堂 让数据更安全《7.5万美金“蒸发”记：一场邮件钓鱼引发的“财务惨案”》