防范企业邮件诈骗：BEC攻击原理与应对策略 (ZH)

一封来自CEO的紧急邮件：要求立即进行电汇，目标是一个新的银行账户，并强调不要与任何人讨论。发件人地址看起来正确无误，语气也符合CEO的风格，请求内容也并非异常到令人起疑。两天后，资金不翼而飞——而CEO从未发送过那条消息。

企业邮件诈骗（BEC）是针对组织机构的高收益欺诈类型之一。此类诈骗不依赖恶意软件，也不利用系统漏洞——仅仅通过一封极具说服力的邮件，并利用比任何核实流程都快的执行速度来达成目的。本文将探讨各类主要的BEC变体如何运作、为何如此有效，以及身份验证基础设施如何阻止它们。

主要观点

• BEC是一种社会工程学欺诈：攻击者冒充或入侵受信任的电子邮件身份，以重定向资金或数据。
• 四种主要变体——CEO诈骗、供应商/发票诈骗、工资转移和账户盗用——共享一个机制：它们滥用既有的信任关系来绕过正常的控制措施。
• 当缺乏二次信号来验证请求时，攻击就会成功。仅凭电子邮件是不足够的。
• Didit通过邮件验证（0.03美元/次）来捕获可疑发件人地址，通过身份核查和KYB在付款前验证收款人和供应商，并通过交易监控实时标记异常支付，从而弥补这些漏洞。
• 一笔未被阻止的BEC支付造成的损失，远超所有核查成本的总和。

什么是企业邮件诈骗？

BEC是一种欺诈行为，攻击者通过伪造合法邮件——包括伪造地址、注册相似域名或盗用真实账户——来诱骗员工转账、更改支付信息或泄露凭据。

其显著特点是它不攻击系统；它攻击的是人和流程。没有可供扫描的有效载荷，也没有可供匹配的特征码。一封精心制作的BEC邮件可以绕过所有垃圾邮件过滤器，因为对于过滤器而言，它就是一封正常的邮件。

主要的攻击类型

CEO诈骗（高管冒充）

攻击者冒充高级管理人员——CEO、CFO、总法律顾问——向财务部门发送紧急、保密的请求，要求将资金电汇到新账户。这种紧迫性和保密性是故意的：它们阻止目标向任何人核实请求。发件人通常是看起来相似的域名（例如company-corp.com而非company.com）或被盗用的真实账户，内容往往是根据目标的姓名和高管的日程表进行研究后编写的。

供应商和发票诈骗

攻击者冒充已知供应商，告知应付账款部门供应商的银行账户已更改，从而将下一笔付款重定向到新账户。这种方法之所以有效，是因为更改银行详细信息是例行事件，而非异常请求。欺诈行为只有在真正的供应商追讨逾期发票时才会浮出水面。

工资转移

攻击者冒充员工，要求人力资源部或薪资部门在下一次发薪前更改其直接存款信息。目标是内部薪资处理人员，因此在员工报告工资缺失之前，这笔交易看起来是合法的。

账户盗用（ATO-enabled BEC）

在这种情况下，攻击者不是伪造，而是实际拥有账户。通过凭证钓鱼或撞库攻击，一个真实账户（通常是财务或采购部门的账户）被盗用，BEC请求从真实的地址发出。这是最难防范的变体，因为所有的认证信号都表明发件人是合法的。

BEC为何如此代价高昂

电汇在召回窗口期内通常是不可逆的，因此当合法方追查时，资金往往已经转移。信任是预先建立的——请求来自您的CEO、供应商或员工，因此核实似乎没有必要。紧迫性和保密性抑制了本可以捕获欺诈的控制措施，而相似域名只需几美元即可注册。凭借一个看似合理显示名称，大多数收件人根本不会深究。

Didit如何提供帮助

BEC利用支付链中三个环节的身份验证漏洞：供应商入职时、收款人信息变更时以及交易执行时。Didit的模块解决了所有这三个问题。

邮件验证 — 在建立信任之前捕获可疑发件人

Didit的邮件验证模块（每次检查0.03美元）在两秒内完成OTP发送和检查，并提供风险信号层。对于BEC，风险信号最为重要：

• 泄露暴露 — 地址出现在已知数据泄露事件中，表明其可能已被泄露或盗用
• 一次性邮箱提供商检测 — 临时或一次性域名，与为攻击创建的账户一致
• 可送达性 — 该地址不接受邮件，因此“供应商”只能发送而不能接收回复
• 域名信誉 — 域名是新建的、已被标记的或显示出相似特征

返回的警告代码包括：BREACHED_EMAIL、DISPOSABLE_EMAIL、UNDELIVERABLE_EMAIL、DUPLICATED_EMAIL。您可以在业务控制台中配置每个代码是触发批准、审核还是拒绝。对于供应商或收款人入职，将DISPOSABLE_EMAIL和UNDELIVERABLE_EMAIL设置为强制审核是一种低投入、高信号的捕获方式。在供应商入职、收款人注册或处理银行信息变更时运行此功能，而不仅仅是在注册时。

身份验证 — 确认请求者身份属实

对于工资转移和内部账户变更请求，验证会话提供了一个无可辩驳的二次信号：要求进行简短的身份核查，以确认键盘前的人是注册员工。

KYC核心流程（身份验证 + 被动活体检测 + 人脸1:1匹配 + IP/设备分析）每次会话费用为0.33美元。Didit的SDK涵盖Web、iOS、Android、React Native和Flutter，因此您可以通过单个API调用将其嵌入到您的人力资源或薪资门户中，并通过webhook或决策端点读取结果。设备信号也有帮助：如果会话来自从未与该员工关联过的设备或IP，将触发DUPLICATED_DEVICE_FINGERPRINT或EXPECTED_IP_ADDRESS_MISMATCH。

商业验证（KYB） — 在首次付款前验证供应商

供应商发票欺诈之所以奏效，是因为新供应商有时是基于信任入职的——一封电子邮件、一份签署的PDF、一个电话。商业验证（KYB，2.00美元起）通过程序化链条弥补了这一漏洞：

• 注册查询 — 确认公司存在并在其管辖区域内活跃
• UBO提取和高管数据 — 揭示实际控制该实体的人员
• 实体AML筛选 — 根据1300多个制裁、PEP和不良媒体列表检查企业和主要负责人
• 关联KYC会话 — 每个UBO都可以通过完整的个人身份检查，从而在实体和个人之间建立联系

一个新注册的公司、一个无法送达的电子邮件地址、并且没有注册记录的供应商，正是BEC操作者创建的典型档案。KYB在第一张发票支付之前就能发现这些问题。

交易监控 — 实时标记异常支付

即使有严格的入职控制，BEC仍然可能劫持现有关系：攻击者入侵真实供应商的电子邮件，请求更改真实账户的银行信息。供应商是真实的，发票也是真实的——只有目的地改变了。

交易监控（每笔交易0.02美元）捕获行为异常：支付给供应商从未使用的账户、超出其历史范围的金额，或频率的突然变化。规则引擎提供11个预设的捆绑包，涵盖速度、金额、交易对手和地理位置，您还可以在此基础上添加自定义规则。匹配项进入案件管理进行人工审核，并且AWAITING_USER自动修复循环可以在较低风险的支付在原始用户完成身份重新验证后才继续进行。

用例

应付账款 — 供应商入职和银行信息变更

在添加新供应商或更改支付信息时运行邮件验证 + KYB。一次性域名或注册信息缺失可以在任何支付发生之前阻止欺诈性供应商。

人力资源和薪资 — 员工薪资账户变更

每当员工更改直接存款信息时，要求进行KYC步骤。生物识别+活体检测确认员工本人在场；设备和IP信号确认会话源自已知上下文。

财务运营 — 对外电汇监控

对对外资金流进行交易监控。标记首次交易对手、超出历史阈值的支付以及最近添加的账户，并在执行前将其路由给审核员。

平台和市场支付

如果您的产品向企业或自由职业者支付资金，BEC式欺诈是平台层面的风险。对企业收款人进行KYB和注册时的邮件验证是基本控制措施。

如何与Didit集成

所有检查都在Didit验证会话中运行。使用包含您所需模块（邮件验证、KYC、KYB、交易监控）的工作流创建会话，然后通过webhook或决策端点读取结果。

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "vendor-onboarding-456",
    "callback": "https://yourapp.com/webhook"
  }'

curl 'https://verification.didit.me/v3/session/{sessionId}/decision/' \
  -H 'x-api-key: YOUR_API_KEY'

完整参考：邮件验证 · KYB · 交易监控 · 数据模型。

常见问题

BEC与普通网络钓鱼有何不同？

网络钓鱼通常通过诱骗用户在某个地方输入凭据来窃取凭据。BEC跳过了这一步——它使用看似可信的邮件直接操纵目标进行电汇或更改银行信息。无需窃取凭据；如果目标仅仅遵从，攻击就会成功。

如果攻击者使用他们已入侵的真实账户，邮件验证如何帮助？

对于账户盗用变体，泄露暴露信号最为相关：如果地址出现在已知泄露数据集中，则表明该账户可能已被盗用。可送达性和域名信誉信号有助于识别相似域名。账户盗用是仅凭地址最难捕获的变体——这就是为什么将邮件检查与行为交易监控相结合至关重要。

新供应商何时需要KYB？

在首次付款之前。运行KYB的成本（每个实体2.00美元起）相对于欺诈性电汇来说可以忽略不计。至少，每当添加新收款人或现有收款人银行信息更改时，都应触发KYB。

Didit是否覆盖欧盟和美国以外的企业？

是的。商业验证覆盖220多个国家和地区的注册机构，AML筛选覆盖1300多个全球列表，交易监控处理法定货币和加密货币。Didit是唯一一家获得欧盟成员国政府（西班牙国库/西班牙银行/SEPBLAC）正式认证，证明其比亲自核查更安全的身份提供商。

准备好开始了吗？

BEC既是一个流程问题，也是一个技术问题——但正确的技术能使流程控制在大规模下可行。Didit的邮件验证、身份核查、KYB和交易监控可以组合成您的入职和支付流程所需的确切工作流。

• 了解模块 → 邮件验证 · KYB · 交易监控
• 查看价格 → didit.me/pricing — 邮件验证0.03美元，KYB 2.00美元起，交易监控0.02美元/笔
• 免费开始 → business.didit.me — 每月500次免费验证，无最低要求