BEC邮件攻击2025年激增15%:新趋势与防御策略
BEC邮件攻击趋势2025年攻击量增加15%商业邮件欺诈BEC是一种复杂的钓鱼攻击形式攻击者假冒公司高管、员工和财务人员目的是窃取数据和进行金融欺诈。根据某机构的报告它仍然是造成损失最严重的网络攻击之一仅在2024年就造成了超过27亿美元的调整后损失。BEC攻击并未减缓欺诈者继续在改进他们的诈骗技术和手段。我们跟踪了BEC攻击并根据我们的邮件安全遥测数据以及2025年网络犯罪分子策略的转变编制了一份BEC总体统计数据列表。总体统计与2024年相比我们在2025年观测到的BEC邮件数量增加了15%。平均而言云邮件安全服务每月拦截超过3000条BEC消息其中7月达到峰值4300条5月为谷底2000条。总体而言我们注意到BEC活动在第二季度有所放缓并在第三季度恢复势头这与往年情况一致。造成这种波动的可能原因有几个。季度末通常意味着业务流程的转变而第三季度的开始标志着北半球夏季假期的开始。此时攻击者加大攻击力度是合理的因为处理验证的员工更少。团队还记录到了新样式的BEC攻击包括联系人信息替换。这是一种新的社会工程学策略欺诈者冒充公司财务部门声称他们正在更新其官方联系信息。钓鱼诱饵BEC攻击使用不同的主题来立即引起受害者的注意。初始邮件可能从单句到详细段落不等。我们的数据识别了欺诈者在初始垃圾邮件中使用的最流行主题。请注意尽管越来越多地使用AI生成邮件但我们研究中的大部分邮件示例都包含糟糕的句子结构表明它们很可能由非母语人士创建。以下是主要主题“请求联系”是过去一年中最常见的诱饵占我们提交样本的43%。这种诱饵为双通道攻击奠定了基础旨在将对话转移到另一种通信模式例如移动消息。这与短信钓鱼和其他电话导向攻击交付TOAD攻击的上升趋势相符。“工资转移”仍然是组织面临的持续威胁因为工资交易是常规业务操作这些攻击通常冒充目标公司的内部员工和高管。这种方法也用于供应商冒充诈骗。主要目标是财务人员典型的借口包括账户被冻结或黑客攻击以及企业变更银行地点。我们注意到以发票和电汇为主题的BEC邮件持续增多。这些使用了更复杂的社会工程学策略例如伪造的电子邮件链、特定的付款借口以及虚假发票。与任务或指派相关的垃圾邮件数量在过去一年保持稳定。然而我们记录了大量针对新入职员工的诈骗邮件。新员工容易受到攻击因为他们仍然不熟悉同事和高管的角色、个性和说话方式。“礼品购买”垃圾邮件通常在节假日达到高峰其作案手法保持不变。为了说服受害者购买礼品卡诈骗者使用不同的情感叙述例如意外的员工奖励、送给重病患者的礼物以及慈善捐款。“请求文件”的邮件有所放缓但仍然活跃。欺诈者使用这些邮件窃取敏感的财务记录这些记录随后被用于后续的BEC攻击。他们寻找未付余额并假装是公司代表试图向客户收款。被冒充的实体a.公司高管网络犯罪分子通常伪装成CEO、总裁和其他高级领导人以利用权威并制造紧迫感。CEO冒充被用于所有类型的BEC攻击并且仍然是核心的社会工程技术。b.供应商供应商冒充被大量用于发票欺诈和数据盗窃攻击。网络犯罪分子冒充第三方供应商的代表欺骗组织支付款项或披露财务文件。c.收债机构和律师事务所网络犯罪分子在发票欺诈诈骗中冒充收债人恐吓受害者进行虚假支付。d.IT员工IT冒充常用于凭证钓鱼。我们还观察到数据盗窃案例攻击者伪装成IT人员声称收到CEO指示要求将敏感文件转移到“安全”服务器。e.非企业高管BEC攻击超出了公司范围。同样的诈骗策略被用于攻击地方政府、宗教组织和学校。欺诈者在礼品卡诈骗、工资转移和发票欺诈中伪装成市长、牧师和大学领导。主要发件人域名绝大多数BEC消息是通过网页邮件发送的大多数攻击者通常使用免费的电子邮件服务。超过70%的攻击中使用的发件人电子邮件地址是免费邮件。以下是攻击者使用的前10大网页邮件服务GmailSpectrumOptimumMail.comOutlookHotmailXtra MailDaumVKWirtualna Polska某中心的Gmail仍然是欺诈者最青睐的电子邮件服务提供商占所有使用的BEC地址的65%以上。其他网页邮件服务包括Spectrumrr.com和roadrunner.com、Optimumoptimum.net和optonline.net和Mail.comconsultant.com、email.com和execs.com。新建域名也称为新生域名也被用于BEC活动但不如免费邮件流行。在所有BEC邮件提交样本中总计有10%在发件人地址中使用了新生域名。新兴的BEC攻击趋势双通道攻击顾名思义双通道攻击同时或先后使用两种不同的通信模式。当用于BEC诈骗时攻击者通常通过受害者的公司电子邮件发起联系并敦促他们将对话转移到官方公司渠道之外的另一个媒介。我们统计了总计5000次独特的攻击细分如下SMS – 66%即时通讯应用 – 32%个人电子邮件地址 – 2%SMS位居榜首因为短信垃圾邮件激增。在可用的即时通讯平台中WhatsApp仍然是攻击者最受欢迎的应用程序。其余样本包含要求收件人提供个人电子邮件地址的消息。这突显了双通道攻击在BEC活动中的使用日益增长。这是因为与电子邮件相比移动通信的公司安全控制更少这对诈骗者很有吸引力。虽然欺诈者要求提供个人联系方式很常见但我们也遇到了回调钓鱼。这是一种攻击网络犯罪分子敦促受害者先联系他们指定的恶意电话号码。过去一年这种攻击方式爆炸性增长垃圾邮件活动增加了140%。BEC诈骗中的回调钓鱼严重依赖于权威偏见和紧迫感。攻击者滥用人们倾向于信任来自权威人物如CEO或经理的信息或指示的倾向。出现更多长篇BEC消息传统的BEC垃圾邮件特点是简短、简洁、直截了当用一到三句话写成没有链接或附件。这仍然是常态但我们现在看到更多具有较长邮件正文的BEC邮件。网络犯罪分子采取不同的方法来撰写较长的邮件然而所有方法的目标都是让他们的邮件对收件人来说显得真实和紧急。多角色冒充和伪造电子邮件链伪造的电子邮件链于2022年首次被观察到现已成为BEC攻击尤其是发票欺诈中的常见策略。这种内容风格与多角色冒充结合使用即欺诈者冒充两个或更多实体。电子邮件被制作成好像这些角色在对话一样制造出紧急请求是合法的令人信服的叙述。攻击者通常伪装成高管和第三方供应商的代表。下面这个试图诈骗47000美元的例子展示了这些社会工程技术是如何结合的。电子邮件以第三方供应商关于某项服务或产品逾期付款的通知开始。代表将此问题升级给高管然后这个邮件链被“转发”给受害者处理发票。供应商明显参与电子邮件对话增加了执行手头任务的社会压力。AI生成的垃圾邮件生成式人工智能在过去几年爆炸性增长并在数字空间中变得无处不在。LLM聊天机器人已大幅改进现在可以生成模仿人类书写句子的文本。通常LLM生成的文本正式、礼貌且语气实事求是。文本由AI创建的另一个指标是句子的冗长。以下是一个可能由AI撰写的BEC邮件示例。该消息内容被多个AI检测工具检测为AI生成。与下面这个四年前的垃圾邮件样本相比前一个示例尽管使用了相同的诱饵但更加冗长。即使是臭名昭著的、询问收件人可用性或电话号码的短邮件通常只是一句话也逐渐变得更长。精心编造的借口每个可信的故事/骗局都需要一个令人信服的背景故事。这些较长的BEC邮件详细解释了任务或请求的背景和托词使用了现实的社会和财务状况。要求敏感公司文件如账龄报告即未付发票列表或供应商/客户列表的邮件通常是由管理审查或针对拖欠账户的财务审计触发的。在“工资转移”邮件中欺诈者解释了更改被冒充个人银行账户的原因。这些原因包括账户冻结和系统错误。供应商冒充攻击经常声称更换了银行合作伙伴以证明新的账户详情和支付方式的合理性。释义内容BEC活动遵循模板这些模板通常具有固定模式和一致的写作风格。我们以前见过内容上的细微变化例如在将付款转移到新银行账户时使用同义词替换例如用“修改”或“更改”代替“变更”。现在垃圾邮件在句子结构和词汇上出现了变化如下面这些今年收集的邮件所示。借助生成式人工智能和释义工具网络犯罪分子可以根据可用的公司信息例如地点、可能的宗教背景和使用的语言制作定制化的BEC消息。电子邮件账户接管2025年出现了多起在成功进行钓鱼攻击后实施后续BEC攻击的报告。威胁行为者进行中间人钓鱼攻击以窃取凭证获取受害者邮箱的访问权限并开展后续的BEC活动。供应商邮件入侵对话劫持是一种技术欺诈者将自己插入专注于正在进行金融交易的现有电子邮件线程中并使用相似域名伪造的电子邮件地址进行回复。一旦攻击者成功渗透受害者的邮箱他们就可以模仿被冒充个人的说话模式并研究公司的财务流程和时间表。然后他们扫描邮箱查找任何即将进行的支付交易以联系其本地财务部门或第三方供应商。这导致了“工资转移”攻击付款被转移到攻击者的恶意银行账户。攻击者编造精心设计的借口来解释需要更改银行详情和支付方式的原因。联系人信息替换我们观察到一种新的社会工程学策略欺诈者冒充公司财务部门声称他们正在更新其官方联系信息。指定的电子邮件地址使用新生域名电话号码没有公开记录。这通常会升级为发票欺诈受害者被施压支付虚假的逾期发票。在某些情况下欺诈者还试图窃取敏感的财务文件。一些报告指出攻击者可能会先致电会计部门宣布所谓的联系信息变更以帮助建立可信度。随后是一封欺诈性的通知邮件类似于我们下面的示例。防范BEC以下是组织可以采取的一些措施来保护自己免受BEC诈骗a.安全培训必须定期教育员工如何识别常见的BEC垃圾邮件指标例如可疑的电子邮件地址和不寻常的请求。教导他们不仅在公司的电子邮件和消息渠道中保持警惕而且在个人通信平台如社交媒体和移动设备上也要如此。b.财务流程控制和验证公司和组织可以从严格的财务验证中受益尤其是在执行发票支付、汇款和银行账户变更时。通过使用另一种通信模式如通过官方平台进行语音或视频通话来确认电子邮件或短信发件人的身份。c.身份访问管理薄弱的访问控制可能导致未经授权的数据泄露。限制对系统、记录和文档的访问控制有助于阻止数据盗窃。使用强制执行多因素认证的安全文件共享平台。总结总结如下我们在2025年观察到BEC攻击大幅增加15%。导致双通道攻击的“请求联系”诱饵最为突出。免费电子邮件服务仍被大量使用Gmail是被滥用最严重的网页邮件服务。内容更长的BEC邮件正变得普遍这得益于生成式人工智能和更复杂的策略。冒充方案在所有方面都在改进包括高管邮件入侵、供应商邮件入侵和多角色冒充。BEC攻击者不断提高其邮件的技术复杂性但每起BEC事件的核心仍然是社会工程学。只要存在容易受到网络犯罪分子心理操纵的人BEC就将继续取得成功并造成财务损失。通过加强安全控制、更严格的财务流程和持续的意识培训将有更大的机会对抗这种不断变化的网络犯罪。一如既往我们鼓励大家关注最新的网络威胁新闻并在遇到可疑电子邮件时保持警惕。更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享

相关新闻

国内首篇!融合语言模型的多模态触觉传感器,推动机器人触觉迈向人类水平

国内首篇!融合语言模型的多模态触觉传感器,推动机器人触觉迈向人类水平

本研究为机器人触觉提供了多个富有前景的发展方向:硬件方面通过传感器微型化、低功耗芯片及高集成封装,提升机器人手内操作的灵活性并解决高负载下的散热稳定性难题。论文第一作者为清华大学博士、南洋理工大学博士后李寿杰,清华大学博士生吴…

2026/7/6 10:40:07 阅读更多 →
Java毕设选题推荐:基于Java的社交媒体应用设计与实现论文基于Web的社交媒体平台【附源码、mysql、文档、调试+代码讲解+全bao等】

Java毕设选题推荐:基于Java的社交媒体应用设计与实现论文基于Web的社交媒体平台【附源码、mysql、文档、调试+代码讲解+全bao等】

博主介绍:✌️码农一枚 ,专注于大学生项目实战开发、讲解和毕业🚢文撰写修改等。全栈领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java、小程序技术领域和毕业项目实战 ✌️技术范围:&am…

2026/7/6 6:52:15 阅读更多 →
SSM医疗保险分层系统yu61r(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面

SSM医疗保险分层系统yu61r(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面

系统程序文件列表 系统项目功能:投保单位,定点医院,就诊费用 SSM医疗保险分层系统开题报告 一、课题研究背景与意义 1.1 研究背景 随着我国医疗保障体系的不断完善,全民医保覆盖范围持续扩大,参保人员群体日益多元化,不同收入、…

2026/7/3 19:05:13 阅读更多 →

最新新闻

Plone 5 Templates插件:非技术人员的内容结构化编辑方案

Plone 5 Templates插件:非技术人员的内容结构化编辑方案

1. 项目概述:为什么“Templates”插件是Plone 5内容编辑体验的真正分水岭 你有没有在Plone后台编辑页面时,被内容编辑器卡住过?不是因为不会写,而是因为——明明想加一个带图标、标题和三段文字的“服务亮点模块”,结果…

2026/7/6 10:36:18 阅读更多 →
微信公众号网页授权全流程实战:从OAuth2.0原理到本地调试与线上部署

微信公众号网页授权全流程实战:从OAuth2.0原理到本地调试与线上部署

1. 项目概述:为什么网页授权是公众号开发的“敲门砖”如果你正在开发一个需要用户在微信内访问的H5页面,并且希望获取用户的微信身份信息来实现自动登录、个性化展示或者支付等功能,那么“微信公众号网页授权”就是你绕不开的一道坎。这不仅仅…

2026/7/6 10:36:18 阅读更多 →
Excel COUNTIF函数底层逻辑与条件统计避坑指南

Excel COUNTIF函数底层逻辑与条件统计避坑指南

1. 这不是普通计数,是Excel里最常被低估的条件统计引擎 你打开一份销售报表,想快速知道“华东区销售额超50万的客户有几个”,或者翻看学生成绩单,需要统计“数学成绩在85分以上的人数”,又或者在库存表里查“状态为‘缺…

2026/7/6 10:34:13 阅读更多 →
OpenCV 4.8 透视变换实战:4步自动校正倾斜文档,PSNR 提升 25dB

OpenCV 4.8 透视变换实战:4步自动校正倾斜文档,PSNR 提升 25dB

OpenCV 4.8 透视变换实战:4步自动校正倾斜文档,PSNR 提升 25dB当你在咖啡馆用手机拍摄一份重要合同时,是否常遇到文档边缘扭曲、文字变形的困扰?传统裁剪工具只能处理简单旋转,而透视变换技术能像魔术师般将任意角度拍…

2026/7/6 10:32:10 阅读更多 →
技术团队如何用Python和Django做公益:食品银行数字化实战指南

技术团队如何用Python和Django做公益:食品银行数字化实战指南

1. 项目概述:一场扎根社区的实体行动,远不止是“捐几箱食物”“Six Feet Up Employees to Help Indiana Food Bank”——这个标题初看像一则企业新闻稿的导语,但在我过去十年跑遍全国上百个社区服务项目、参与过三十多场食品银行实地协作后&a…

2026/7/6 10:32:10 阅读更多 →
Terraform工程化实战:模块化、状态治理与计划审计三大策略体系

Terraform工程化实战:模块化、状态治理与计划审计三大策略体系

1. 项目概述:这不是一次简单的“语法升级”,而是一场基础设施即代码的思维跃迁“Terraforming Parts Unknown”这个标题乍看像科幻小说——在未知疆域上重塑地貌。但对每天和云资源、Kubernetes集群、网络拓扑打交道的工程师来说,它精准戳中了…

2026/7/6 10:30:09 阅读更多 →

日新闻

H2 与 MySQL 单元测试兼容性:5 个关键 SQL 语句差异与规避方案

H2 与 MySQL 单元测试兼容性:5 个关键 SQL 语句差异与规避方案

H2与MySQL单元测试兼容性:5个关键SQL语句差异与规避方案1. 单元测试中的数据库兼容性挑战在Java开发领域,单元测试是保证代码质量的重要环节。当应用涉及数据库操作时,测试环境的搭建往往成为开发者的痛点。H2数据库因其轻量级、内存模式和快…

2026/7/6 0:01:17 阅读更多 →
Windows任务栏终极清理指南:用RBTray一键隐藏窗口到系统托盘

Windows任务栏终极清理指南:用RBTray一键隐藏窗口到系统托盘

Windows任务栏终极清理指南:用RBTray一键隐藏窗口到系统托盘 【免费下载链接】rbtray A fork of RBTray from http://sourceforge.net/p/rbtray/code/. 项目地址: https://gitcode.com/gh_mirrors/rb/rbtray 你是否厌倦了Windows任务栏上密密麻麻的图标&…

2026/7/6 0:01:17 阅读更多 →
Visual C++ 运行时库一键安装终极指南:告别DLL缺失烦恼

Visual C++ 运行时库一键安装终极指南:告别DLL缺失烦恼

Visual C 运行时库一键安装终极指南:告别DLL缺失烦恼 【免费下载链接】vcredist AIO Repack for latest Microsoft Visual C Redistributable Runtimes 项目地址: https://gitcode.com/gh_mirrors/vc/vcredist 你是否曾经遇到过这样的情况:下载了…

2026/7/6 0:05:19 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/6 8:11:50 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/6 8:11:52 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/6 6:52:56 阅读更多 →

月新闻