商业电子邮件 (BEC) 是一种网络钓鱼欺诈，一直位居全球最具经济破坏性的在线犯罪名单之首。2021 年，全球超过70% 的企业报告了遭到了BEC 攻击。2021年 FBI 的互联网犯罪投诉中心 (IC3) 报告记录了 19,954 起商业电子邮件泄露/电子邮件帐户泄露 (EAC) 投诉，详细统计后确认损失近 24 亿美元。换言之，BEC 欺诈占 2021 年 全球69 亿美元网络损失总额的近三分之一。

常见的 BEC 示例和新的虚拟 BEC 方案

在 Business Email Compromise 欺诈中，攻击者发送看似来自发出合法请求的已知来源的电子邮件。为此，他们可能会使用受感染或欺骗的电子邮件帐户。两个常见的例子是：

• 公司首席执行官通过电子邮件向其助理发送电子邮件，要求其购买礼品卡作为员工奖励发送出去。

• 与贵公司有业务往来的供应商通过电子邮件发送包含更新的银行信息的发票等。

之前由于COVID-19大流行，对面对面会议的限制导致出现了新的BEC手段。那这些较新的BEC计划是如何运作的呢？根据IC3 公共服务公告，攻击者会破坏雇主或财务主管（例如 CEO 或 CFO）的电子邮件帐户。然后，攻击者会使用受感染的电子邮件帐户请求员工参加虚拟会议。攻击者会插入一张没有音频的 CEO 的静态图片，或者“深度伪造”声音的。欺诈者充当企业高管，然后声称他们的音频/视频无法正常工作。在虚拟会议期间，攻击者会直接指示员工发起电汇或使用高管的受感染电子邮件提供电汇指令。

商业电子邮件欺诈的几个案例：

BEC组织“深红王蛇”

“Crimson Kingsnake”是一个 BEC 组织，与美国、英国和澳大利亚的 19 家律师事务所和收债机构的 92 个恶意域相关联。根据云电子邮件安全平台 Abnormal Security 的一篇文章，BEC 组织发送了冒充真实律师事务所的债务追偿服务的电子邮件。他们的目标是欺骗会计专业人员支付据称提供给接收公司的假发票。

来自异常安全的屏幕截图

一旦目标受害者做出回应，BEC 攻击者就会在 PDF 发票中回复支付账户详细信息。发票包括账单号、银行账户详细信息和公司的增值税号。如果目标受害者出现怀疑，BEC 攻击者将冒充目标公司的高管，进一步向目标受害者施加压力。他们使用带有欺骗性的显示名称的新电子邮件。通过这个虚假的执行角色，攻击者授权员工继续付款。

 来自 Abnormal Security 的截图——冒充公司高管的 Crimson Kingsnake 电子邮件示例 

拉雷多市

KGNS 报告说，拉雷多市是 BEC 欺诈的受害政府之一，导致纳税人损失超过 1,000,000 美元。它是怎么发生的？在调查过程中，KGNS 发现该市财务部门的一名员工将钱支付给了一个冒充城市供应商的电子邮件诈骗者。

列克星敦市

据 LEX18 新闻报道，一项 BEC 计划导致列克星敦市的员工向诈骗者汇款 4,000,000 美元。该市表示，犯罪行动“涉及多封电子邮件和一个复杂的计划”，并且“犯罪分子将自己置于市与社区行动委员会之间的沟通之中。” 发生了什么？员工收到一封来自自称是社区行动委员会的发件人的电子邮件，其中提供了新的银行信息。列克星敦市表示当时“没有意识到银行信息是假的，向假银行地址发送了三笔总计约 400 万美元的电汇。”