Is business email compromise (BEC) a social engineering attack?

A social engineering attack manipulates people into taking an action that favors the attacker. Business email compromise (BEC) is a social engineering attack that uses email to trick its victims — often into sending money or sensitive data to the attacker. BEC emails rely almost exclusively on manipulative social engineering techniques, so they do not usually contain the typical markers of a malicious email — such as dangerous links or untrusted attachments.

What social engineering techniques are common in BEC emails?

BEC emails often include plausible reasons for the unexpected requests. They inspire urgency in their recipients. The senders impersonate people of authority. And BEC emails discourage verification, urging their recipients not to check in with the purported sender before they take action. Combined, these techniques can get well-meaning people to take action before they have time to think. For instance, a scammer might pretend to be the CEO of the recipient's company and demand that the recipient transfer money into an account, or else they will be fired.

How does email impersonation work in BEC attacks?

In BEC attacks, the attacker pretends to be a trusted person — often a company executive — by spoofing email addresses or imitating writing styles, making their requests appear legitimate to the victim.

How do BEC attackers use urgency and authority to deceive victims?

Attackers create a sense of urgency, using words like “urgent,” “important,” or "reminder," and pose as high-ranking officials to pressure recipients into acting quickly without verifying the request.

How do attackers personalize BEC emails?

Attackers research organizations and individuals to craft tailored messages, often referencing real projects or people to make the email seem more believable.

What does ‘low-volume attack’ mean in BEC campaigns?

BEC attacks are low-volume, often involving just one or two emails. This makes them harder to detect, as there’s no spike in email traffic that would trigger security alerts.

Why are BEC emails harder to detect by traditional security tools?

BEC emails rarely contain malware, links, or attachments. To make the emails more believable, attackers may send them from trusted mail servers or email addresses. Since they often consist of plain text and mimic regular email traffic, traditional filters struggle to identify them as threats.

How can machine learning help detect BEC attacks?

Advanced security solutions use machine learning to analyze typical email traffic and identify anomalies that could indicate a BEC attack.

What is a multi-layer security approach for BEC prevention?

Effective BEC prevention combines technical defenses (like machine learning and email monitoring), user training, and processes for independent verification of unusual requests.

#main-nav-header { display:none; }

什么是商业电子邮件泄露 (BEC)？

商业电子邮件泄露 (BEC) 是一种基于电子邮件的社会工程学攻击，旨在欺骗受害者。BEC 攻击活动通常会绕过传统的电子邮件过滤器。

学习目标

阅读本文后，您将能够：

定义商业电子邮件泄露 (BEC)
列出 BEC 电子邮件的一些常见特征
描述阻止 BEC 活动的方法

想要继续学习吗？

订阅 TheNET，这是 Cloudflare 每月对互联网上最流行见解的总结！

复制文章链接

什么是商业电子邮件泄露 (BEC)？

商业电子邮件泄露 (BEC) 是一种通过电子邮件进行的社会工程学攻击。在 BEC 攻击中，攻击者伪造电子邮件消息以诱骗受害者执行某些操作——最常见的是，将资金转移到攻击者控制的帐户或位置。BEC 攻击在几个关键领域不同于其他类型的电子邮件型攻击：

它们不包含恶意软件、恶意链接或电子邮件附件
它们针对组织内的特定个人
它们针对预期的受害者进行个性化处理，并且通常涉及对相关组织的预先研究

BEC 攻击特别危险，因为它们不包含恶意软件、恶意链接、危险的电子邮件附件或电子邮件安全过滤器可能识别的其他元素。BEC 攻击中使用的电子邮件通常只包含文本，这有助于攻击者将其隐藏在正常的电子邮件流量中。

除了绕过电子邮件安全过滤器之外，BEC 电子邮件还经过专门设计，诱骗收件人打开它们并根据它们包含的消息采取行动。攻击者使用个性化来为目标组织定制电子邮件。攻击者可能会冒充通过电子邮件定期与目标受害者通信的人。一些 BEC 攻击甚至发生在已经存在的电子邮件线程中间。

通常，攻击者会冒充组织中的高层人员来促使受害者执行恶意请求。

为什么 BEC 攻击如此难以检测？

BEC 攻击难以确定的其他原因可能包括：

它们是低数量的：电子邮件流量中的异常峰值可以提醒电子邮件安全过滤器注意到正在发生攻击。但是 BEC 攻击的数量极少，通常只包含一两封电子邮件。它们可以在不产生电子邮件流量峰值的情况下执行。这种低数量也使 BEC 活动能够定期更改其源 IP 地址，从而更难阻止活动。
它们使用合法的来源或域：大规模网络钓鱼攻击的来源 IP 地址通常会快速被列入黑名单。BEC 攻击由于数量少，可以使用具有中立或良好声誉的 IP 地址作为其来源。它们还使用电子邮件域名假冒来使电子邮件看起来好像来自真实的人。
它们可能实际上来自合法的电子邮件帐户：BEC 攻击可能会使用以前被入侵的电子邮件收件箱在某人不知情的情况下以他们的名义发送恶意邮件，因此电子邮件实际上可能来自合法的电子邮件地址。（这需要攻击者付出更多的努力，但这种集中精力的花费是 BEC 活动的特征。）
它们通过了 DMARC 检查：基于域的消息身份验证、报告和一致性 (DMARC) 是一种协议，用于识别未经授权从域发送的电子邮件。它有助于防止冒充域。BEC 活动可以通过 DMARC 有几个原因：1) 组织可能将 DMARC 配置为严格阻止电子邮件；2) 攻击者可能从合法来源发送电子邮件。

BEC 电子邮件通常包含哪些内容？

通常，BEC 电子邮件包含几行文本，不包含链接、附件或图像。在这几行文本中，他们的目的是让目标采取他们想要的行动，可能是将资金转移到特定账户，或是授予对受保护数据或系统的未经授权的访问权限。

BEC 电子邮件的其他常见元素可能包括：

时间敏感性：像“紧急”、“快速”、“提醒”、“重要”和“很快”这样的词经常出现在 BEC 电子邮件中，尤其是在主题行中，以让收件人尽快采取行动——在他们意识到自己可能成为骗局的目标之前。
权威发件人：BEC 攻击者冒充组织中的重要人物，例如 CFO 或 CEO。
彻底冒充发件人：BEC 电子邮件可能通过伪造电子邮件地址、模仿个人的写作风格或使用其他策略，冒充合法发件人（例如，组织的 CFO），欺骗他们的受害者。
提供请求的理由：有时，为了给可能是不寻常的请求增加合法性，BEC 电子邮件会提供一些理由，说明为什么必须采取行动。这也增加了请求的紧迫性。
具体指示：攻击者会提供明确的指示，例如钱的去向以及应该发送多少——具体的金额听起来更可能是合法的。攻击者可能会将此信息包含在初始电子邮件中，或者当受害者回复时，包含在后续电子邮件中。
不联系名义发件人的指示：如果预期的受害者能够通过另一个通信渠道联系到名义上的 BEC 电子邮件的来源，他们可能能够识别出该电子邮件是假的。为了防止这种情况，攻击者往往指示受害者不要与发件人联系，或与其他人确认请求，也许是以需要快速行动作为理由。

安全电子邮件网关 (SEG) 能否阻止 BEC 活动？

安全电子邮件网关 (SEG) 是一种电子邮件安全服务，位于电子邮件提供商和电子邮件用户之间。它们识别并过滤掉潜在的恶意电子邮件，就像防火墙移除恶意网络流量一样。在大多数电子邮件提供商已提供的内置安全措施基础之上，SEG 提供额外的保护（例如，Gmail 和 Microsoft Outlook 已部署一些基本的保护措施）。

然而，由于上述原因，传统的 SEG 难以检测结构良好的 BEC 活动：数量少、缺乏明显的恶意内容、看似合法的电子邮件来源等等。

出于这个原因，用户培训和额外的电子邮件安全措施对于阻止商业电子邮件泄露非常重要。

当用户怀疑有 BEC 活动时，应该怎么做？

不寻常的、意外的或突然的请求表明可能存在 BEC 攻击。用户应该向安全运营团队报告潜在的 BEC 邮件。他们还可以与声称的邮件来源进行反复核实。

想象一下，会计 Bob 收到 CFO Alice 的一封电子邮件：

Bob，

我需要给一个客户发送一些他最喜欢的比萨店的礼品卡。请购买 10,000 美元的比萨礼品卡，并将它们转移到这位客户的电子邮件地址：[email protected]。

请尽快完成这项工作。这具有高度的时间敏感性。我们不希望失去这位客户。

我正在登机，在接下来的几个小时内将无法联系上。

-Alice

这个请求让 Bob 觉得很不寻常：向客户提供披萨礼品卡通常不是会计部门的工作。他打电话给 Alice，以防万一她还没有“登机”。她接听了电话，而且并不清楚她给他发送请求的事情。她也没有登机。于是，Bob 检测到了一次 BEC 攻击。

还有哪些技术措施可以检测和阻止 BEC 攻击？

先进的网络钓鱼基础设施检测

一些电子邮件安全提供商会提前抓取 Web 以检测命令和控制 (C&C) 服务器、虚假网站以及攻击者将在 BEC 活动或网络钓鱼攻击中使用的其他元素。这需要使用 Web 爬网程序机器人来扫描互联网的大片区域（搜索引擎也使用 Web 爬网程序机器人，但目的不同）。提前识别攻击基础设施使提供商能够在发送非法电子邮件时立即阻止它们，即使它们原本可能会通过安全过滤器。

机器学习分析

机器学习是一种方法，会基于大型数据集自动预测结果。它可用于检测异常活动——例如，Cloudflare 机器人管理使用机器学习作为识别机器人活动的一种方法。为了阻止 BEC 攻击，机器学习可以帮助识别异常请求、非典型电子邮件流量模式和其他异常情况。

分析电子邮件线程

由于 BEC 攻击者经常尝试回复现有线程以增加其电子邮件的合法性，因此一些电子邮件安全提供商会监视线程以查看线程中的“发件人”或“收件人”电子邮件是否突然更改。

自然语言处理

这意味着在电子邮件中寻找关键短语，以了解一组给定的电子邮件联系人通常对应的主题。例如，可以跟踪组织中的特定人员与谁就汇款、客户关系或任何其他主题通信。如果 Bob 收到的电子邮件（来自上面的示例）很少涉及客户关系，那么在来自“Alice”的电子邮件中包含“客户”和“失去这个客户”等短语可能表明该电子邮件是 BEC 攻击的一部分。

Cloudflare Email Security 如何检测 BEC？

Cloudflare Email Security 的设计宗旨是捕获大多数 SEG 无法检测的 BEC 攻击。它使用上述多种方法来进行检测：爬取互联网数据以发现攻击者用于策划攻击的基础设施、采用机器学习分析、分析电子邮件线程、分析电子邮件内容等。

电子邮件仍然是最大的攻击手段之一，这使得电子邮件安全对如今的企业而言更加重要。了解 Cloudflare Email Security 的工作原理。

常见问题解答

商业电子邮件泄露 (BEC) 是否属于社会工程学攻击？

社会工程学攻击会操纵用户采取有利于攻击者的行动。商业电子邮件泄露 (BEC) 是一种社会工程学攻击，它利用电子邮件诱骗受害者，通常是诱使受害者向攻击者汇款或发送敏感数据。BEC 电子邮件几乎完全依赖于操纵性社会工程学技术，因此，它们通常不包含恶意电子邮件的典型特征，例如危险的链接或不受信任的附件。

BEC 电子邮件中常见的社会工程学技术有哪些？

BEC 电子邮件通常包含为意外请求而编造的一些似是而非的理由。此类邮件会激起收件人的紧迫感，因为发件人冒充权威人士。而且 BEC 电子邮件不鼓励验证，敦促收件人在采取行动之前，不要与所谓的发件人核实。组合运用这些技术，可能会让善意的人立即采取行动，甚至还没来得及思考。例如，诈骗者可能会冒充收件人公司的首席执行官，要求收件人将钱转入某个账户，否则将被解雇。

BEC 攻击中的电子邮件假冒的工作原理是什么？

在 BEC 攻击中，攻击者通过伪造电子邮件地址或模仿写作风格，冒充收件人信任的人员（通常是公司高管），使其请求在受害者看来是合法的。

BEC 攻击者如何利用紧迫感和权威性欺骗受害者？

攻击者会使用“紧急”、“重要”或“提醒”等词语，营造一种紧迫感，并冒充公司的高级管理人员，迫使收件人在未核实请求的情况下迅速采取行动。

攻击者如何撰写个性化 BEC 电子邮件？

攻击者会研究企业和个人，撰写定制邮件内容，通常会提及真实项目或人员，以便提高电子邮件的可信度。

BEC 攻击中的‘低流量攻击’是什么意思？

BEC 属于低流量攻击，通常只涉及一两封电子邮件。这使得它们更加难以检测到，因为不足以达到电子邮件流量激增的阈值来触发安全警报。

为什么传统安全工具更难检测到 BEC 电子邮件？

BEC 电子邮件很少包含恶意软件、链接或附件。为了使这些电子邮件更可信，攻击者可能会从受信任的邮件服务器或电子邮件地址发送此类邮件。由于邮件通常包含纯文本并模仿常规电子邮件流量，传统过滤器很难将其识别为威胁。

机器学习如何帮助检测 BEC 攻击？

高级安全解决方案使用机器学习来分析典型的电子邮件流量，并识别可能表明存在 BEC 攻击的异常情况。

什么是防范 BEC 攻击的多层安全方法？

有效的 BEC 防范措施会综合运用技术防御（例如：机器学习和电子邮件监测）、用户培训，以及对异常请求进行独立验证的流程。

入门

电子邮件协议基础知识

网络钓鱼与垃圾邮件

电子邮件协议

词汇

学习中心导航