BEC邮件攻击趋势2025年攻击量增加15%商业邮件欺诈BEC是一种复杂的钓鱼攻击形式攻击者假冒公司高管、员工和财务人员目的是窃取数据和进行金融欺诈。根据某机构的报告它仍然是造成损失最严重的网络攻击之一仅在2024年就造成了超过27亿美元的调整后损失。BEC攻击并未减缓欺诈者继续在改进他们的诈骗技术和手段。我们跟踪了BEC攻击并根据我们的邮件安全遥测数据以及2025年网络犯罪分子策略的转变编制了一份BEC总体统计数据列表。总体统计与2024年相比我们在2025年观测到的BEC邮件数量增加了15%。平均而言云邮件安全服务每月拦截超过3000条BEC消息其中7月达到峰值4300条5月为谷底2000条。总体而言我们注意到BEC活动在第二季度有所放缓并在第三季度恢复势头这与往年情况一致。造成这种波动的可能原因有几个。季度末通常意味着业务流程的转变而第三季度的开始标志着北半球夏季假期的开始。此时攻击者加大攻击力度是合理的因为处理验证的员工更少。团队还记录到了新样式的BEC攻击包括联系人信息替换。这是一种新的社会工程学策略欺诈者冒充公司财务部门声称他们正在更新其官方联系信息。钓鱼诱饵BEC攻击使用不同的主题来立即引起受害者的注意。初始邮件可能从单句到详细段落不等。我们的数据识别了欺诈者在初始垃圾邮件中使用的最流行主题。请注意尽管越来越多地使用AI生成邮件但我们研究中的大部分邮件示例都包含糟糕的句子结构表明它们很可能由非母语人士创建。以下是主要主题“请求联系”是过去一年中最常见的诱饵占我们提交样本的43%。这种诱饵为双通道攻击奠定了基础旨在将对话转移到另一种通信模式例如移动消息。这与短信钓鱼和其他电话导向攻击交付TOAD攻击的上升趋势相符。“工资转移”仍然是组织面临的持续威胁因为工资交易是常规业务操作这些攻击通常冒充目标公司的内部员工和高管。这种方法也用于供应商冒充诈骗。主要目标是财务人员典型的借口包括账户被冻结或黑客攻击以及企业变更银行地点。我们注意到以发票和电汇为主题的BEC邮件持续增多。这些使用了更复杂的社会工程学策略例如伪造的电子邮件链、特定的付款借口以及虚假发票。与任务或指派相关的垃圾邮件数量在过去一年保持稳定。然而我们记录了大量针对新入职员工的诈骗邮件。新员工容易受到攻击因为他们仍然不熟悉同事和高管的角色、个性和说话方式。“礼品购买”垃圾邮件通常在节假日达到高峰其作案手法保持不变。为了说服受害者购买礼品卡诈骗者使用不同的情感叙述例如意外的员工奖励、送给重病患者的礼物以及慈善捐款。“请求文件”的邮件有所放缓但仍然活跃。欺诈者使用这些邮件窃取敏感的财务记录这些记录随后被用于后续的BEC攻击。他们寻找未付余额并假装是公司代表试图向客户收款。被冒充的实体a.公司高管网络犯罪分子通常伪装成CEO、总裁和其他高级领导人以利用权威并制造紧迫感。CEO冒充被用于所有类型的BEC攻击并且仍然是核心的社会工程技术。b.供应商供应商冒充被大量用于发票欺诈和数据盗窃攻击。网络犯罪分子冒充第三方供应商的代表欺骗组织支付款项或披露财务文件。c.收债机构和律师事务所网络犯罪分子在发票欺诈诈骗中冒充收债人恐吓受害者进行虚假支付。d.IT员工IT冒充常用于凭证钓鱼。我们还观察到数据盗窃案例攻击者伪装成IT人员声称收到CEO指示要求将敏感文件转移到“安全”服务器。e.非企业高管BEC攻击超出了公司范围。同样的诈骗策略被用于攻击地方政府、宗教组织和学校。欺诈者在礼品卡诈骗、工资转移和发票欺诈中伪装成市长、牧师和大学领导。主要发件人域名绝大多数BEC消息是通过网页邮件发送的大多数攻击者通常使用免费的电子邮件服务。超过70%的攻击中使用的发件人电子邮件地址是免费邮件。以下是攻击者使用的前10大网页邮件服务GmailSpectrumOptimumMail.comOutlookHotmailXtra MailDaumVKWirtualna Polska某中心的Gmail仍然是欺诈者最青睐的电子邮件服务提供商占所有使用的BEC地址的65%以上。其他网页邮件服务包括Spectrumrr.com和roadrunner.com、Optimumoptimum.net和optonline.net和Mail.comconsultant.com、email.com和execs.com。新建域名也称为新生域名也被用于BEC活动但不如免费邮件流行。在所有BEC邮件提交样本中总计有10%在发件人地址中使用了新生域名。新兴的BEC攻击趋势双通道攻击顾名思义双通道攻击同时或先后使用两种不同的通信模式。当用于BEC诈骗时攻击者通常通过受害者的公司电子邮件发起联系并敦促他们将对话转移到官方公司渠道之外的另一个媒介。我们统计了总计5000次独特的攻击细分如下SMS – 66%即时通讯应用 – 32%个人电子邮件地址 – 2%SMS位居榜首因为短信垃圾邮件激增。在可用的即时通讯平台中WhatsApp仍然是攻击者最受欢迎的应用程序。其余样本包含要求收件人提供个人电子邮件地址的消息。这突显了双通道攻击在BEC活动中的使用日益增长。这是因为与电子邮件相比移动通信的公司安全控制更少这对诈骗者很有吸引力。虽然欺诈者要求提供个人联系方式很常见但我们也遇到了回调钓鱼。这是一种攻击网络犯罪分子敦促受害者先联系他们指定的恶意电话号码。过去一年这种攻击方式爆炸性增长垃圾邮件活动增加了140%。BEC诈骗中的回调钓鱼严重依赖于权威偏见和紧迫感。攻击者滥用人们倾向于信任来自权威人物如CEO或经理的信息或指示的倾向。出现更多长篇BEC消息传统的BEC垃圾邮件特点是简短、简洁、直截了当用一到三句话写成没有链接或附件。这仍然是常态但我们现在看到更多具有较长邮件正文的BEC邮件。网络犯罪分子采取不同的方法来撰写较长的邮件然而所有方法的目标都是让他们的邮件对收件人来说显得真实和紧急。多角色冒充和伪造电子邮件链伪造的电子邮件链于2022年首次被观察到现已成为BEC攻击尤其是发票欺诈中的常见策略。这种内容风格与多角色冒充结合使用即欺诈者冒充两个或更多实体。电子邮件被制作成好像这些角色在对话一样制造出紧急请求是合法的令人信服的叙述。攻击者通常伪装成高管和第三方供应商的代表。下面这个试图诈骗47000美元的例子展示了这些社会工程技术是如何结合的。电子邮件以第三方供应商关于某项服务或产品逾期付款的通知开始。代表将此问题升级给高管然后这个邮件链被“转发”给受害者处理发票。供应商明显参与电子邮件对话增加了执行手头任务的社会压力。AI生成的垃圾邮件生成式人工智能在过去几年爆炸性增长并在数字空间中变得无处不在。LLM聊天机器人已大幅改进现在可以生成模仿人类书写句子的文本。通常LLM生成的文本正式、礼貌且语气实事求是。文本由AI创建的另一个指标是句子的冗长。以下是一个可能由AI撰写的BEC邮件示例。该消息内容被多个AI检测工具检测为AI生成。与下面这个四年前的垃圾邮件样本相比前一个示例尽管使用了相同的诱饵但更加冗长。即使是臭名昭著的、询问收件人可用性或电话号码的短邮件通常只是一句话也逐渐变得更长。精心编造的借口每个可信的故事/骗局都需要一个令人信服的背景故事。这些较长的BEC邮件详细解释了任务或请求的背景和托词使用了现实的社会和财务状况。要求敏感公司文件如账龄报告即未付发票列表或供应商/客户列表的邮件通常是由管理审查或针对拖欠账户的财务审计触发的。在“工资转移”邮件中欺诈者解释了更改被冒充个人银行账户的原因。这些原因包括账户冻结和系统错误。供应商冒充攻击经常声称更换了银行合作伙伴以证明新的账户详情和支付方式的合理性。释义内容BEC活动遵循模板这些模板通常具有固定模式和一致的写作风格。我们以前见过内容上的细微变化例如在将付款转移到新银行账户时使用同义词替换例如用“修改”或“更改”代替“变更”。现在垃圾邮件在句子结构和词汇上出现了变化如下面这些今年收集的邮件所示。借助生成式人工智能和释义工具网络犯罪分子可以根据可用的公司信息例如地点、可能的宗教背景和使用的语言制作定制化的BEC消息。电子邮件账户接管2025年出现了多起在成功进行钓鱼攻击后实施后续BEC攻击的报告。威胁行为者进行中间人钓鱼攻击以窃取凭证获取受害者邮箱的访问权限并开展后续的BEC活动。供应商邮件入侵对话劫持是一种技术欺诈者将自己插入专注于正在进行金融交易的现有电子邮件线程中并使用相似域名伪造的电子邮件地址进行回复。一旦攻击者成功渗透受害者的邮箱他们就可以模仿被冒充个人的说话模式并研究公司的财务流程和时间表。然后他们扫描邮箱查找任何即将进行的支付交易以联系其本地财务部门或第三方供应商。这导致了“工资转移”攻击付款被转移到攻击者的恶意银行账户。攻击者编造精心设计的借口来解释需要更改银行详情和支付方式的原因。联系人信息替换我们观察到一种新的社会工程学策略欺诈者冒充公司财务部门声称他们正在更新其官方联系信息。指定的电子邮件地址使用新生域名电话号码没有公开记录。这通常会升级为发票欺诈受害者被施压支付虚假的逾期发票。在某些情况下欺诈者还试图窃取敏感的财务文件。一些报告指出攻击者可能会先致电会计部门宣布所谓的联系信息变更以帮助建立可信度。随后是一封欺诈性的通知邮件类似于我们下面的示例。防范BEC以下是组织可以采取的一些措施来保护自己免受BEC诈骗a.安全培训必须定期教育员工如何识别常见的BEC垃圾邮件指标例如可疑的电子邮件地址和不寻常的请求。教导他们不仅在公司的电子邮件和消息渠道中保持警惕而且在个人通信平台如社交媒体和移动设备上也要如此。b.财务流程控制和验证公司和组织可以从严格的财务验证中受益尤其是在执行发票支付、汇款和银行账户变更时。通过使用另一种通信模式如通过官方平台进行语音或视频通话来确认电子邮件或短信发件人的身份。c.身份访问管理薄弱的访问控制可能导致未经授权的数据泄露。限制对系统、记录和文档的访问控制有助于阻止数据盗窃。使用强制执行多因素认证的安全文件共享平台。总结总结如下我们在2025年观察到BEC攻击大幅增加15%。导致双通道攻击的“请求联系”诱饵最为突出。免费电子邮件服务仍被大量使用Gmail是被滥用最严重的网页邮件服务。内容更长的BEC邮件正变得普遍这得益于生成式人工智能和更复杂的策略。冒充方案在所有方面都在改进包括高管邮件入侵、供应商邮件入侵和多角色冒充。BEC攻击者不断提高其邮件的技术复杂性但每起BEC事件的核心仍然是社会工程学。只要存在容易受到网络犯罪分子心理操纵的人BEC就将继续取得成功并造成财务损失。通过加强安全控制、更严格的财务流程和持续的意识培训将有更大的机会对抗这种不断变化的网络犯罪。一如既往我们鼓励大家关注最新的网络威胁新闻并在遇到可疑电子邮件时保持警惕。更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享