AI让商业电邮诈骗难辨识企业如何应对-墙外头条

作者：Adam H. Douglas／张纯之编译

联邦调查局（FBI）的报告指出，2025年网络犯罪造成的损失超过200亿美元，而商业电子邮件诈骗（Business Email Compromise，BEC）是第二大攻击方式，小型企业是其主要诈骗目标。

BEC是一种定向诈骗手法，犯罪分子会冒充可信联络人，例如供应商、会计师，甚至公司CEO，要求企业进行电汇、支付发票或更改银行账户资讯，以此来窃取企业的资金。

而AI使这类攻击更难被识破，因为它能生成高度个人化的邮件，模仿真实写作风格与既有商业关系，使企业难以辨识欺诈。

等到您意识到出问题时，汇出的钱通常已经消失。电汇资金一旦离开美国国内银行系统，几乎无法追回。不过，有5项零成本的验证步骤，可以帮助企业大幅降低风险。

与通常的钓鱼诈骗有何不同

BEC并不是典型的钓鱼邮件。通常不会出现可疑链接、不会拼错银行名称，也不会有“中了乐透”之类内容。

一般钓鱼邮件会向数千人发送相同内容，希望有人点击。BEC则完全相反：它是针对您的企业的客制化诈骗手段。

多年来，人们辨识电邮诈骗的方法，通常是检查文法错误、不自然措辞，或寄件者名称与网域不符。但这种方式如今已经失效。

而AI工具现在可以做到：1. 抓取LinkedIn个人档案、网站与公开的商业文件，以分析您的供应商关系与公司架构；2. 分析写作样本，复制特定人物的语气与风格；3. 生成包含真实项目、真实发票号码与真实业务历史的电子邮件；4. 写出毫无破绽的英文，不再出现过去常见的错字与语病。

结果就是，这些邮件读起来完全像是财务长或合作多年的供应商所写。过去识别诈骗的常用做法，面对能大规模生成欺骗内容的AI工具，已经被彻底削弱。

以下两种情境，经常发生在小企业与自由工作者身上。

情境一：假供应商发票

您收到一封看似来自合作两年的供应商的邮件，地址乍看正确，邮件提到最近合作的项目，并附上一张更新后的发票，其中包含新的银行账户资讯，语气也与该供应商平时的沟通方式一致。

您完成付款后，才发现真正供应商的账户根本没有收到钱。

情境二：高管要求电汇

您收到一封来自公司老板或高级合伙人的邮件，邮件称某笔交易今天必须完成，需要立刻汇款，内容强调急迫性与保密性。写作风格吻合，金额也在公司平常交易范围内。于是您就汇款了。

遭遇上述两种诈骗手段，小企业可能一笔转账就损失数十万美元。

大型企业通常拥有多层付款审批制度、专门的诈骗侦测软件，以及内部的网络安全团队，但中小企业通常没有。

在许多小企业中，单一员工可能就拥有完整的电汇权限，无需二次审批。犯罪分子了解这点，并系统性地加以利用。

实际上，企业无需专业软件或网络安全团队，也能降低BEC风险。您需要做的是养成一些习惯。

1. 建立“打电话确认”制度。凡涉及付款、电汇或更改银行账户资讯的要求，都应透过电话确认，而且必须使用公司原本记录中的电话号码，而非邮件内提供的号码。

2. 制定付款变更政策。明确规定，不得仅依电子邮件更新供应商或员工的银行信息；必须要求书面申请，并进行即时电话确认。

3. 把“急迫性”视为警讯。急迫感是BEC攻击常见的操控手法。如果邮件要求您跳过正常审批流程，即使邮件看起来再真实，也应放慢脚步。

4.检查真正的寄件网域。显示名称可能是“Sarah at Metro Supplies”，但实际地址可能是sarah@metro-supplies-llc.net，而非sarah@metrosupplies.com。相似网域是BEC常见的工具。

5. 要求双重授权。即使只有两人营运的公司，也应规定：超过一定金额的电汇，必须有第二人批准。

有可能，但无法保证。因为电汇速度极快，资金通常在数小时内就会流向海外账户。

企业一旦怀疑遭到诈骗，应立即联络银行要求撤回电汇，并向联邦调查局（FBI）网络犯罪投诉中心（IC3）提交报案，网址为ic3.gov。如果损失重大，应直接联络当地FBI办公室。

若能在24至48小时内采取行动，最有机会追回部分或全部资金；一旦资金离开美国国内银行系统，追回难度将大幅提高，很多情况下甚至无法追回。

此外，也应检查保险保障范围。一般商业责任保险通常不涵盖资金转账诈骗；网络责任保险或犯罪保险附加条款，可能提供保障。

如果企业经常处理电汇、供应商发票或客户财务资料，那么建议您与商业保险经纪人讨论增加网络责任保险或犯罪保险附加条款。对小企业而言，相比潜在的损失，保费可能并不算高。◇

本文代表作者本人观点，仅供一般信息参考。