BEC邮件攻击趋势：2025年攻击量增加15%

商业邮件欺诈（BEC）是一种复杂的钓鱼攻击形式，攻击者假冒公司高管、员工和财务人员，目的是窃取数据和进行金融欺诈。根据某机构的报告，它仍然是造成损失最严重的网络攻击之一，仅在2024年就造成了超过27亿美元的调整后损失。BEC攻击并未减缓，欺诈者继续在改进他们的诈骗技术和手段。

我们跟踪了BEC攻击，并根据我们的邮件安全遥测数据以及2025年网络犯罪分子策略的转变，编制了一份BEC总体统计数据列表。

总体统计
与2024年相比，我们在2025年观测到的BEC邮件数量增加了15%。平均而言，云邮件安全服务每月拦截超过3000条BEC消息，其中7月达到峰值4300条，5月为谷底2000条。总体而言，我们注意到BEC活动在第二季度有所放缓，并在第三季度恢复势头，这与往年情况一致。

造成这种波动的可能原因有几个。季度末通常意味着业务流程的转变，而第三季度的开始标志着北半球夏季假期的开始。此时，攻击者加大攻击力度是合理的，因为处理验证的员工更少。

团队还记录到了新样式的BEC攻击，包括联系人信息替换。这是一种新的社会工程学策略，欺诈者冒充公司财务部门，声称他们正在更新其官方联系信息。

钓鱼诱饵
BEC攻击使用不同的主题来立即引起受害者的注意。初始邮件可能从单句到详细段落不等。我们的数据识别了欺诈者在初始垃圾邮件中使用的最流行主题。请注意，尽管越来越多地使用AI生成邮件，但我们研究中的大部分邮件示例都包含糟糕的句子结构，表明它们很可能由非母语人士创建。以下是主要主题：

“请求联系”是过去一年中最常见的诱饵，占我们提交样本的43%。这种诱饵为双通道攻击奠定了基础，旨在将对话转移到另一种通信模式，例如移动消息。这与短信钓鱼和其他电话导向攻击交付（TOAD）攻击的上升趋势相符。

“工资转移”仍然是组织面临的持续威胁，因为工资交易是常规业务操作，这些攻击通常冒充目标公司的内部员工和高管。这种方法也用于供应商冒充诈骗。主要目标是财务人员，典型的借口包括账户被冻结或黑客攻击，以及企业变更银行地点。

我们注意到，以发票和电汇为主题的BEC邮件持续增多。这些使用了更复杂的社会工程学策略，例如伪造的电子邮件链、特定的付款借口以及虚假发票。

与任务或指派相关的垃圾邮件数量在过去一年保持稳定。然而，我们记录了大量针对新入职员工的诈骗邮件。新员工容易受到攻击，因为他们仍然不熟悉同事和高管的角色、个性和说话方式。

“礼品购买”垃圾邮件通常在节假日达到高峰，其作案手法保持不变。为了说服受害者购买礼品卡，诈骗者使用不同的情感叙述，例如意外的员工奖励、送给重病患者的礼物以及慈善捐款。

“请求文件”的邮件有所放缓但仍然活跃。欺诈者使用这些邮件窃取敏感的财务记录，这些记录随后被用于后续的BEC攻击。他们寻找未付余额，并假装是公司代表试图向客户收款。

被冒充的实体
a.公司高管
网络犯罪分子通常伪装成CEO、总裁和其他高级领导人，以利用权威并制造紧迫感。CEO冒充被用于所有类型的BEC攻击，并且仍然是核心的社会工程技术。

b.供应商
供应商冒充被大量用于发票欺诈和数据盗窃攻击。网络犯罪分子冒充第三方供应商的代表，欺骗组织支付款项或披露财务文件。

c.收债机构和律师事务所
网络犯罪分子在发票欺诈诈骗中冒充收债人，恐吓受害者进行虚假支付。

d.IT员工
IT冒充常用于凭证钓鱼。我们还观察到数据盗窃案例，攻击者伪装成IT人员，声称收到CEO指示，要求将敏感文件转移到“安全”服务器。

e.非企业高管
BEC攻击超出了公司范围。同样的诈骗策略被用于攻击地方政府、宗教组织和学校。欺诈者在礼品卡诈骗、工资转移和发票欺诈中伪装成市长、牧师和大学领导。

主要发件人域名
绝大多数BEC消息是通过网页邮件发送的，大多数攻击者通常使用免费的电子邮件服务。超过70%的攻击中使用的发件人电子邮件地址是免费邮件。以下是攻击者使用的前10大网页邮件服务：

• Gmail
• Spectrum
• Optimum
• Mail.com
• Outlook
• Hotmail
• Xtra Mail
• Daum
• VK
• Wirtualna Polska

某中心的Gmail仍然是欺诈者最青睐的电子邮件服务提供商，占所有使用的BEC地址的65%以上。其他网页邮件服务包括Spectrum（rr.com和roadrunner.com）、Optimum（optimum.net和optonline.net）和Mail.com（consultant.com、email.com和execs.com）。

新建域名（也称为新生域名）也被用于BEC活动，但不如免费邮件流行。在所有BEC邮件提交样本中，总计有10%在发件人地址中使用了新生域名。

新兴的BEC攻击趋势
双通道攻击
顾名思义，双通道攻击同时或先后使用两种不同的通信模式。当用于BEC诈骗时，攻击者通常通过受害者的公司电子邮件发起联系，并敦促他们将对话转移到官方公司渠道之外的另一个媒介。我们统计了总计5000次独特的攻击，细分如下：

• SMS – 66%
• 即时通讯应用 – 32%
• 个人电子邮件地址 – 2%

SMS位居榜首，因为短信垃圾邮件激增。在可用的即时通讯平台中，WhatsApp仍然是攻击者最受欢迎的应用程序。其余样本包含要求收件人提供个人电子邮件地址的消息。这突显了双通道攻击在BEC活动中的使用日益增长。这是因为与电子邮件相比，移动通信的公司安全控制更少，这对诈骗者很有吸引力。

虽然欺诈者要求提供个人联系方式很常见，但我们也遇到了回调钓鱼。这是一种攻击，网络犯罪分子敦促受害者先联系他们指定的恶意电话号码。过去一年，这种攻击方式爆炸性增长，垃圾邮件活动增加了140%。

BEC诈骗中的回调钓鱼严重依赖于权威偏见和紧迫感。攻击者滥用人们倾向于信任来自权威人物（如CEO或经理）的信息或指示的倾向。

出现更多长篇BEC消息
传统的BEC垃圾邮件特点是简短、简洁、直截了当，用一到三句话写成，没有链接或附件。这仍然是常态，但我们现在看到更多具有较长邮件正文的BEC邮件。

网络犯罪分子采取不同的方法来撰写较长的邮件；然而，所有方法的目标都是让他们的邮件对收件人来说显得真实和紧急。

多角色冒充和伪造电子邮件链
伪造的电子邮件链于2022年首次被观察到，现已成为BEC攻击（尤其是发票欺诈）中的常见策略。这种内容风格与多角色冒充结合使用，即欺诈者冒充两个或更多实体。电子邮件被制作成好像这些角色在对话一样，制造出紧急请求是合法的令人信服的叙述。

攻击者通常伪装成高管和第三方供应商的代表。下面这个试图诈骗47，000美元的例子展示了这些社会工程技术是如何结合的。

电子邮件以第三方供应商关于某项服务或产品逾期付款的通知开始。代表将此问题升级给高管，然后这个邮件链被“转发”给受害者处理发票。供应商明显参与电子邮件对话，增加了执行手头任务的社会压力。

AI生成的垃圾邮件
生成式人工智能在过去几年爆炸性增长，并在数字空间中变得无处不在。LLM聊天机器人已大幅改进，现在可以生成模仿人类书写句子的文本。通常，LLM生成的文本正式、礼貌且语气实事求是。文本由AI创建的另一个指标是句子的冗长。

以下是一个可能由AI撰写的BEC邮件示例。

该消息内容被多个AI检测工具检测为AI生成。与下面这个四年前的垃圾邮件样本相比，前一个示例尽管使用了相同的诱饵，但更加冗长。

即使是臭名昭著的、询问收件人可用性或电话号码的短邮件（通常只是一句话），也逐渐变得更长。

精心编造的借口
每个可信的故事/骗局都需要一个令人信服的背景故事。这些较长的BEC邮件详细解释了任务或请求的背景和托词，使用了现实的社会和财务状况。

要求敏感公司文件（如账龄报告，即未付发票列表，或供应商/客户列表）的邮件，通常是由管理审查或针对拖欠账户的财务审计触发的。

在“工资转移”邮件中，欺诈者解释了更改被冒充个人银行账户的原因。这些原因包括账户冻结和系统错误。供应商冒充攻击经常声称更换了银行合作伙伴，以证明新的账户详情和支付方式的合理性。

释义内容
BEC活动遵循模板，这些模板通常具有固定模式和一致的写作风格。我们以前见过内容上的细微变化，例如在将付款转移到新银行账户时使用同义词替换（例如，用“修改”或“更改”代替“变更”）。现在，垃圾邮件在句子结构和词汇上出现了变化，如下面这些今年收集的邮件所示。

借助生成式人工智能和释义工具，网络犯罪分子可以根据可用的公司信息（例如地点、可能的宗教背景和使用的语言）制作定制化的BEC消息。

电子邮件账户接管
2025年出现了多起在成功进行钓鱼攻击后实施后续BEC攻击的报告。威胁行为者进行中间人钓鱼攻击以窃取凭证，获取受害者邮箱的访问权限，并开展后续的BEC活动。

供应商邮件入侵
对话劫持是一种技术，欺诈者将自己插入专注于正在进行金融交易的现有电子邮件线程中，并使用相似域名伪造的电子邮件地址进行回复。

一旦攻击者成功渗透受害者的邮箱，他们就可以模仿被冒充个人的说话模式，并研究公司的财务流程和时间表。然后，他们扫描邮箱，查找任何即将进行的支付交易，以联系其本地财务部门或第三方供应商。

这导致了“工资转移”攻击，付款被转移到攻击者的恶意银行账户。攻击者编造精心设计的借口来解释需要更改银行详情和支付方式的原因。

联系人信息替换
我们观察到一种新的社会工程学策略，欺诈者冒充公司财务部门，声称他们正在更新其官方联系信息。指定的电子邮件地址使用新生域名，电话号码没有公开记录。这通常会升级为发票欺诈，受害者被施压支付虚假的逾期发票。在某些情况下，欺诈者还试图窃取敏感的财务文件。

一些报告指出，攻击者可能会先致电会计部门，宣布所谓的联系信息变更，以帮助建立可信度。随后是一封欺诈性的通知邮件，类似于我们下面的示例。

防范BEC
以下是组织可以采取的一些措施来保护自己免受BEC诈骗：

a.安全培训
必须定期教育员工如何识别常见的BEC垃圾邮件指标，例如可疑的电子邮件地址和不寻常的请求。教导他们不仅在公司的电子邮件和消息渠道中保持警惕，而且在个人通信平台（如社交媒体和移动设备）上也要如此。

b.财务流程控制和验证
公司和组织可以从严格的财务验证中受益，尤其是在执行发票支付、汇款和银行账户变更时。通过使用另一种通信模式（如通过官方平台进行语音或视频通话）来确认电子邮件或短信发件人的身份。

c.身份访问管理
薄弱的访问控制可能导致未经授权的数据泄露。限制对系统、记录和文档的访问控制有助于阻止数据盗窃。使用强制执行多因素认证的安全文件共享平台。

总结
总结如下：

• 我们在2025年观察到BEC攻击大幅增加15%。
• 导致双通道攻击的“请求联系”诱饵最为突出。
• 免费电子邮件服务仍被大量使用，Gmail是被滥用最严重的网页邮件服务。
• 内容更长的BEC邮件正变得普遍，这得益于生成式人工智能和更复杂的策略。

冒充方案在所有方面都在改进，包括高管邮件入侵、供应商邮件入侵和多角色冒充。

BEC攻击者不断提高其邮件的技术复杂性，但每起BEC事件的核心仍然是社会工程学。

只要存在容易受到网络犯罪分子心理操纵的人，BEC就将继续取得成功并造成财务损失。通过加强安全控制、更严格的财务流程和持续的意识培训，将有更大的机会对抗这种不断变化的网络犯罪。

一如既往，我们鼓励大家关注最新的网络威胁新闻，并在遇到可疑电子邮件时保持警惕。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）