How can I tell if an email from my CEO or executive is actually legitimate?

Never reply to an email requesting a wire transfer without independently verifying the request through a known phone number from your company directory. Call the executive directly, or ask their assistant to confirm. Legitimate executives understand and expect this verification process, especially for unusual or large transfers. Do not use contact information provided in the suspicious email, as that may also be compromised.

What should I do if I've already sent money to a fraudulent wire transfer?

Contact your bank immediately and request that they initiate a recall of the wire transfer. While recovery is difficult after funds clear, some banks can block transfers before they reach the destination account. Simultaneously, report the fraud to your company's security and legal teams, and file a report with the FBI's Internet Crime Complaint Center (IC3) at ic3.gov. Document all details of the transaction and communication for law enforcement.

Can email spoofing defeat our email security systems?

Email spoofing can bypass basic security measures, especially if your company has not implemented SPF, DKIM, and DMARC authentication protocols. However, even with these tools in place, attackers can compromise legitimate employee accounts or create lookalike domains that appear nearly identical to your domain. This is why voice verification remains the most reliable protection against BEC scams, as it confirms identity through direct communication.

Our company processes dozens of wire transfers daily. How can we maintain security without slowing down operations?

Implement tiered verification procedures based on transfer amount and frequency. Small, routine transfers to known vendors may require only email verification, while large transfers or new payment destinations should always require voice confirmation from at least two authorized personnel. Use pre-approved vendor lists and payment accounts to expedite routine transactions while adding checkpoints for unusual requests.

How do scammers research my company's structure and processes?

Attackers gather information from LinkedIn, company websites, press releases, SEC filings, social media, and publicly available organizational charts. They may also subscribe to company newsletters or review published emails leaked in previous data breaches. Some criminals even conduct phishing attacks on company employees to harvest email addresses and communication patterns. This is why companies should limit publicly available organizational information and train employees to be cautious about what information they share online.

极高风险平均损失: $50,000 持续时间: 1-30 days

商业电子邮件妥协（BEC）诈骗

商业电子邮件妥协（BEC）诈骗是针对全球组织的最具破坏性的诈骗方案之一。在这些攻击中，犯罪分子研究公司的组织结构和通信模式，然后使用欺骗或被攻陷的电子邮件账户冒充高管（通常是首席执行官或首席财务官），请求进行紧急电汇或提供敏感信息。美国联邦调查局下属的互联网犯罪投诉中心（IC3）报告显示，在2023年，BEC诈骗在近21000份投诉中造成了超过27亿美元的损失，平均每起事件损失超过5万美元。BEC特别危险的原因在于它利用了合法的业务流程——大多数组织定期处理电汇——使欺诈请求对忙碌的会计人员看起来很常规。诈骗者通常在发起攻击前进行数周的侦察，监控电子邮件模式、财务周期和人事变动，这就是为什么即使是具有安全意识的员工也可能成为受害者。

常见手法如何识别如何保护自己真实案例常见问题

常见手法

• 通过欺骗电子邮件冒充高管：诈骗者创建的电子邮件地址与首席执行官或首席财务官的真实地址极其相似，仅相差一个或两个字符（例如'[email protected]'而非'[email protected]'），或者他们攻陷合法的内部电子邮件账户，发送看似直接来自公司领导层的请求。
• 以虚构场景框架紧急请求：犯罪分子通过声称电汇用于保密收购、紧急供应商支付、法律和解或因保密或竞争原因不能与其他员工讨论的时间敏感业务机会，向员工施加压力。
• 侦察和信息收集：在发起攻击前，诈骗者花费数周或数月研究目标公司的组织结构、财务流程、员工名单和最近的新闻，以制作与正常业务活动相符且参考现实场景的请求。
• 请求向意外账户进行电汇：诈骗者指示员工向与供应商通常账户不同的银行账户汇款，声称供应商临时更换了银行、母公司拥有新的支付平台，或资金应转入律师事务所持有的托管账户。
• 抑制验证尝试：当受到质疑时，假冒高管声称他们在参加一个接一个的会议、正在国际出差、处理个人紧急情况或无法通过电子邮件讨论详情，故意阻止员工通过正常渠道致电验证请求。
• 后续紧迫性和分散注意力战术：诈骗者发送后续电子邮件，声称交易即将破裂、竞争对手已准备好收购目标、或供应商将与另一家公司合作除非立即付款，持续施加压力并防止反思。

如何识别

来自公司领导层声称紧急或保密的意外电汇请求：合法的高管很少通过电子邮件请求紧急电汇，而不进行后续语音确认或遵循既定的采购流程，特别是对于不寻常的支付目的地。
与已知高管地址相似但不完全相同的电子邮件地址：仔细检查完整的电子邮件地址——诈骗者通常更改一个字母或使用看似合法但与公司已知域名不同的相似域名。
请求向与供应商既有支付历史不同的账户汇款：如果一个常规供应商突然要求支付到新的银行账户，特别是国际账户，这是一个重大警告信号，应触发独立验证。
压力要求绕过正常审批流程或对请求保密：合法的业务交易遵循既定的授权工作流程；要求绕过这些控制或隐瞒交易的请求表明欺诈意图。
关于转账原因的模糊语言加上拒绝讨论详情：诈骗者提供有关转账目的的最少信息，拒绝详细说明，理由是保密，而合法的业务请求通常包括详细的采购订单、发票或合同。
来自高管的电子邮件中通信风格不一致或语法错误：如果来自公司高管的电子邮件包含异常措辞、语法错误或与其正常通信风格不同的语气，这可能表明账户被攻陷或被欺骗。

如何保护自己

建立需要语音确认的电汇验证协议：在处理任何电汇请求前，要求员工使用公司内部目录中的电话号码（而非电子邮件中提供的号码）拨打请求者电话，口头确认请求、金额和支付目的地。
对超过一定金额的电汇实施多级审批：要求超过指定金额（10000元、25000元或根据公司规模更高）的电汇请求由至少两名授权人员批准，每位审批人独立进行验证。
使用电子邮件认证技术：部署SPF（发件人策略框架）、DKIM（域名密钥识别邮件）和DMARC（基于域的消息认证、报告和一致性），防止自有域名被欺骗，并培训员工识别外部电子邮件中缺失这些保护的情况。
对财务、会计和高管人员进行定期BEC战术培训：提供年度或半年度的安全意识培训，包括真实的BEC诈骗案例、验证程序说明和模拟演练，员工可在其中练习识别可疑请求。
维护当前的授权支付目的地清单，并通过次级渠道验证所有更改：保留所有常规供应商及其授权银行账户信息的文件化清单，并要求在处理前，通过已知电话号码直接与供应商联系，验证任何支付目的地的更改。
监控域名欺骗并设置可疑活动的电子邮件警报：使用标记来自与内部地址相似的外部地址的电子邮件的电子邮件安全工具，并配置异常电汇活动的警报，如向新收款人的转账或不符合公司常规的国际转账。

真实案例

一家中型制造公司的会计经理收到一封看似来自首席执行官的电子邮件，要求立即进行87000美元的电汇给律师事务所，用于当天的保密收购交割。电子邮件来自'[email protected]'（实际上是'[email protected]'，多了一个's'），经理在时间压力下处理了电汇，未进行验证。当首席执行官的实际助理在第二天早上跟进询问电汇时，诈骗被发现，但资金已通过东欧的中介账户转移，无法追回。

一家医疗服务公司的应付账款员工收到一封来自首席财务官的电子邮件，要求立即向新供应商支付143000美元，用于IT基础设施升级。电子邮件强调交易将在当天完成，由于保密原因不能与其他员工讨论。员工将电汇处理到提供的账户，但后来发现不存在合法的IT项目，首席财务官的电子邮件已通过网络钓鱼攻击被攻陷。诈骗者花费两周时间监控公司的电子邮件通信，以识别支付模式和关键人员。

一家金融服务公司的控制人在三天内收到多封看似来自首席执行官的电子邮件，请求总计287000美元的电汇，用于紧急供应商支付和法律和解。每封电子邮件都包括具体的内部参考和术语，表明对公司运营的合法了解。当一份后续请求来自'首席执行官'，要求交易'安静地'完成，不通知首席财务官时，控制人产生了怀疑。调查发现，攻击者攻陷了一名初级市场营销员工的电子邮件账户，并在发起攻击前用两周时间研究了公司的内部通信。

常见问题

我如何判断来自我的首席执行官或高管的电子邮件是否真实？

在回复请求电汇的电子邮件之前，切勿通过公司目录中的已知电话号码独立验证请求。直接致电高管，或请其助理确认。合法的高管理解并期望进行此验证过程，特别是对于不寻常或大额转账。不要使用可疑电子邮件中提供的联系信息，因为那也可能被攻陷。

如果我已经向欺诈性电汇转账了资金，应该怎么办？

立即联系您的银行，要求他们启动电汇撤销程序。虽然资金清算后很难追回，但一些银行可以在电汇到达目的地账户之前阻止转账。同时，向公司的安全和法律团队报告欺诈，并向美国联邦调查局下属的互联网犯罪投诉中心（IC3）提交报告，网址为ic3.gov。记录交易和通信的所有详情以供执法部门使用。

电子邮件欺骗能否击败我们的电子邮件安全系统？

电子邮件欺骗可以绕过基本安全措施，特别是如果您的公司未实施SPF、DKIM和DMARC认证协议。然而，即使已部署这些工具，攻击者也可能攻陷合法员工账户或创建与您的域名几乎完全相同的相似域名。这就是为什么语音验证仍然是防护BEC诈骗最可靠的方法，因为它通过直接通信确认身份。

我们公司每天处理数十笔电汇。我们如何在不减缓运营的情况下维护安全？

根据转账金额和频率实施分层验证流程。向已知供应商进行的小额日常转账可能仅需电子邮件验证，而大额转账或新的支付目的地应始终需要至少两名授权人员的语音确认。使用预批准的供应商清单和支付账户来加快日常交易处理，同时为不寻常的请求添加检查点。

诈骗者如何研究我的公司结构和流程？

攻击者从LinkedIn、公司网站、新闻稿、美国证券交易委员会备案、社交媒体和公开可获得的组织结构图中收集信息。他们可能还会订阅公司通讯或审查先前数据泄露中泄露的已发布电子邮件。一些犯罪分子甚至对公司员工进行网络钓鱼攻击，以收获电子邮件地址和通信模式。这就是为什么公司应该限制公开可获得的组织信息，并培训员工谨慎地在线分享信息。

按线索进入

安全检测

威胁情报

工具与举报

高级服务

扩展与 API