2025年商业邮件诈骗攻击趋势深度解析

BEC邮件趋势：2025年攻击量增长15%

商业邮件诈骗是一种复杂的网络钓鱼攻击，欺诈者冒充公司高管、员工和财务专业人员，旨在进行数据盗窃和金融诈骗。根据联邦调查局互联网犯罪投诉中心的报告，它仍然是造成损失最严重的网络攻击之一，仅2024年调整后的损失就超过27亿美元。BEC攻击并未减缓，欺诈者仍在不断改进其诈骗技术和手段。

威胁情报团队追踪BEC攻击，并基于邮件安全遥测数据以及2025年网络犯罪分子使用的策略变化，编制了一份通用BEC统计数据。

总体统计数据

与2024年相比，2025年观察到的BEC邮件数量增加了15%。邮件安全云服务平均每月拦截超过3000条BEC消息，7月份达到峰值4300条，5月份为低谷，发现了2000封邮件。总体而言，注意到BEC活动在第二季度放缓，并在第三季度加速，这与往年情况一致。
这些波动有几个可能的原因。季度末通常意味着业务流程的转变，而第三季度的开始标志着北半球暑假季节的开始。此时，攻击者加快节奏是合理的，因为处理验证的可用员工较少。
团队还记录了新样式的BEC攻击，包括联系信息替换。这是一种新的社会工程学策略，欺诈者冒充公司财务部门，声称正在更新其官方联系信息。

垃圾邮件诱饵

BEC攻击使用不同的主题来立即引起受害者的注意。初始邮件可能从一行文字到详细段落不等。数据识别了欺诈者在初始垃圾邮件中使用的最流行主题。请注意，尽管越来越多地使用人工智能生成电子邮件，但根据研究得出的大多数邮件示例都包含较差的句子结构，表明它们很可能由非母语人士创建。以下为主要主题：
“请求联系”是过去一年观察到的最普遍的诱饵，占提交样本的43%。此诱饵为双渠道攻击奠定了基础，旨在将对话转移到另一种通信模式，例如移动消息。这与短信钓鱼和其他电话导向攻击投递攻击的上升趋势相符。
“工资支付转移”仍然是对组织的持续威胁，因为工资交易是常规业务操作，这些攻击通常冒充目标公司的内部员工和高管。此方法也用于供应商冒充诈骗。主要目标是财务人员，典型的借口包括账户冻结或被黑，以及企业变更银行地点。
威胁情报团队指出，以发票和电汇为主题的BEC邮件继续获得关注。这些邮件使用更复杂的社会工程学策略，例如虚假的电子邮件链、特定的付款借口以及伪造的发票。
在过去一年中，与任务或分配相关的垃圾邮件数量保持一致。然而，记录了相当数量的针对新入职员工的诈骗邮件。新员工容易受到攻击，因为他们仍然不熟悉同事和高管的角色、个性和说话方式。
“礼品卡购买”垃圾邮件通常在节假日期间达到高峰，其作案手法保持不变。为了说服受害者购买礼品卡，诈骗者使用不同的情感叙事，例如惊喜的员工奖励、给重病患者的礼物以及慈善捐款。
“请求文件”的电子邮件已经减少，但依然活跃。欺诈者使用这些邮件窃取敏感的财务记录，这些记录随后被用于后续的BEC攻击。他们寻找未付余额，并假装是公司代表试图向客户收款。

被冒充的实体

a. 公司高管
网络犯罪分子通常伪装成首席执行官、总裁和其他高级领导，以利用权威并制造紧迫感。CEO冒充被用于所有类型的BEC攻击，并且仍然是一种核心的社会工程技术。
b. 供应商
供应商冒充被大量用于发票欺诈和数据盗窃攻击。网络犯罪分子冒充第三方供应商的代表，欺骗组织付款或披露财务文件。
c. 收债机构和律师事务所
网络犯罪分子在发票欺诈诈骗中冒充收债员，恐吓受害者进行虚假支付。
d. IT员工
IT冒充常用于凭证钓鱼攻击。还观察到数据盗窃案例，攻击者伪装成IT员工，声称收到CEO指示，要求将敏感文件转移到“安全”服务器。
e. 非公司高管
BEC攻击超越了公司环境。相同的诈骗策略被用于瞄准地方政府、宗教组织和学校。欺诈者在礼品卡诈骗、工资支付转移和发票欺诈中伪装成市长、牧师和大学领导。

主要发件人域名

绝大多数BEC消息是通过网络邮件发送的，大多数攻击者通常使用免费的电子邮件服务。在这些攻击中使用的所有发件人电子邮件地址中，超过70%是免费邮件。以下是威胁行为者使用的前10大网络邮件服务：
谷歌的Gmail仍然是欺诈者最偏爱的电子邮件服务提供商，占所有使用的BEC地址的65%以上。其他网络邮件服务包括Spectrum、Optimum和Mail.com。
新建域名也被用于BEC活动，但不如免费邮件流行。总计，所有BEC邮件提交样本中，有10%在发件人地址中使用了新建域名。

新兴的BEC攻击趋势

双渠道攻击

顾名思义，双渠道攻击同时或顺序使用两种不同的通信模式。在BEC诈骗中使用时，攻击者通常通过受害者的公司电子邮件发起联系，并敦促他们将对话转移到官方公司渠道之外的另一个媒介。总共统计了5000次独特的攻击，细分如下：
短信在列表中位居榜首，因为文本消息垃圾邮件激增。在可用的消息平台中，WhatsApp仍然是攻击者最受欢迎的应用。其余样本包含要求接收者提供个人电子邮件地址的消息。这突显了双渠道攻击在BEC活动中的日益增长。这是因为与电子邮件相比，移动通信的公司安全控制较少，因此对诈骗者具有吸引力。
虽然欺诈者索要个人联系方式很常见，但也遇到了回拨钓鱼攻击。这是一种攻击，网络犯罪分子敦促受害者首先联系他们指定的恶意电话号码。过去一年，这种攻击的流行度激增，垃圾邮件活动增加了140%。
BEC诈骗中的回拨钓鱼严重依赖权威偏见和紧迫感。攻击者滥用人们倾向于信任来自权威人物（如CEO或经理）的消息或指示的倾向。

出现更多长篇BEC消息

传统的BEC垃圾邮件特点是简短、简洁、直截了当，用一到三句话写成，没有链接或附件。这仍然是常态，但现在看到更多具有更长邮件正文的BEC电子邮件。
网络犯罪分子采取不同的方法来撰写更长的电子邮件；然而，所有方法的目标都是使其电子邮件对收件人看起来真实且紧急。

多人格冒充和虚假电子邮件链

虚假电子邮件链于2022年首次被观察到，并已成为BEC攻击中的常见策略，尤其是在发票欺诈中。这种内容风格与多人格冒充结合使用，即欺诈者冒充两个或更多实体。电子邮件被制作成仿佛这些人物在对话，创造出一个令人信服的叙述，使紧急请求看起来合法。
攻击者通常冒充高管和第三方供应商的代表。

AI生成的垃圾邮件

生成式人工智能在过去几年中爆炸性流行，并在数字空间中变得无处不在。LLM聊天机器人已经大幅改进，现在可以创建模仿人类书写句子的文本。通常，LLM生成的文本正式、礼貌，并具有实事求是的语调。文本是AI创建的另一个指标是句子的冗长性。
与四年前的垃圾邮件样本相比，尽管使用了相同的诱饵，但前一个例子显得冗长。
即使是臭名昭著的、通常只是一句话的、询问收件人可用性或电话号码的短邮件，也逐渐变得更长。

详细的借口

每个可信的故事/骗局都需要一个令人信服的背景故事。这些更长的BEC消息详细解释了任务或请求的背景和托词，使用了现实的社会和财务情况。
请求敏感公司文件（例如逾期报告，即未清发票列表，或供应商/客户列表）的消息，是由管理审查或针对拖欠账户的财务审计触发的。
在“工资支付转移”电子邮件中，欺诈者解释了更改被冒充个人银行账户的原因。这些包括账户冻结和系统错误。供应商冒充攻击通常声称变更银行合作伙伴，以证明新账户详细信息和支付方式的合理性。

释义内容

BEC活动遵循通常模式化且写作风格一致的模板。之前已经看到内容上的细微变化，例如在将付款转移到新银行账户时使用同义词替换。垃圾邮件现在在句子结构和词汇上表现出变化，正如今年收集的这些电子邮件中所见。
借助生成式人工智能和释义工具，网络犯罪分子可以根据可用的公司信息（例如位置、可能的宗教从属关系和使用语言）制作定制的BEC消息。

电子邮件账户接管

2025年出现了在成功的网络钓鱼活动之后进行后续BEC攻击的多份报告。威胁行为者正在进行中间人钓鱼攻击，以窃取凭证、获取受害者邮箱的访问权限，并进行后续的BEC活动。

供应商电子邮件入侵

对话劫持是一种技术，欺诈者将自己插入专注于正在进行金融交易的现有电子邮件线程中，并使用具有相似域名的电子邮件地址进行回复。
一旦攻击者成功渗透受害者的邮箱，他们就可以模仿被冒充个人的说话模式，并研究公司的财务流程和时间表。然后他们扫描邮箱，寻找任何即将发生的付款交易，以联系其本地财务部门或第三方供应商。
这导致了“工资支付转移”攻击，付款被转移到攻击者的恶意银行账户。攻击者创造详细的借口来解释变更银行详细信息和支付方式的需要。

联系信息替换

观察到一种新的社会工程学策略，欺诈者冒充公司财务部门，声称正在更新其官方联系信息。指定的电子邮件地址使用新建域名，电话号码没有公开记录。这通常会升级为发票欺诈，受害者被迫支付虚假的逾期发票。在某些情况下，欺诈者还试图窃取敏感的财务文件。
一些报告指出，攻击者可能首先打电话给会计部门，宣布所谓的联系信息变更，以帮助建立可信度。随后是一封欺诈性的通知邮件。

预防BEC

以下是组织可以采取的一些措施来保护自己免受BEC诈骗：
a. 安全培训
必须定期教育员工如何识别常见的BEC垃圾邮件指标，例如可疑的电子邮件地址和不寻常的请求。教导他们不仅在公司的电子邮件和消息渠道中保持警惕，而且在个人通信平台（如社交媒体和移动设备）上也要保持警惕。
b. 财务流程控制和身份验证
公司和组织可以从严格的财务验证中受益，特别是在执行发票付款、汇款和银行账户变更时。通过使用另一种通信模式（如通过官方平台的语音或视频通话）来确认电子邮件或短信发送者的身份。
c. 身份访问管理
不良的访问控制可能导致未经授权的数据泄露。限制对系统、记录和文档的访问控制有助于阻止数据盗窃。使用强制执行多因素身份验证的安全文件共享平台。

结论

总结如下：

威胁情报团队观察到2025年BEC攻击大幅增加15%。
导致双渠道攻击的“请求联系”诱饵最为突出。
免费电子邮件服务仍被大量使用，Gmail是被滥用最多的网络邮件服务。
借助生成式人工智能和更复杂的策略，长篇内容的BEC消息正变得猖獗。
冒充策略在所有方面都在改进，包括高管电子邮件入侵、供应商电子邮件入侵和多人格冒充。

BEC攻击者不断提高其电子邮件的技术复杂性，但每起BEC事件的核心仍然是社会工程学。
只要有人容易受到网络犯罪分子的心理操纵，BEC就将继续成功并造成经济损失。通过加强安全控制、更严格的财务流程和持续的意识培训，就有更大的机会对抗这种不断变化的网络犯罪。
一如既往，鼓励大家关注有关网络威胁的最新消息，并在遇到可疑电子邮件时保持警惕。
更多精彩内容请关注我的个人公众号公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）