关于2026年的有线传输欺诈和商业电子邮件妥协(BEC)的分析参考 - 攻击模式,目标类别,平均损失,以及证据揭示了最大的损失欺诈类别之一。
电线传输欺诈 - 以及其企业变体,商业电子邮件妥协(BEC) - 代表了现代欺诈中每事件损失的最高类别。而其他类别产生了更多的总投诉,BEC和电线欺诈产生了最大的个别交易。 联邦调查局的互联网犯罪投诉中心(IC3)在2025年报告了大约31亿美元的BEC损失,平均每事件损失超过了128,000美元 - 比典型的消费者欺诈更大的订单。
该类别的独特特点是使用基于电子邮件的社交工程来将合法的商业或个人付款重定向到被欺诈控制的账户,与大多数消费者欺诈行为(针对个人被欺诈的金额)不同,BEC和线性欺诈针对支付基础设施本身 - 转移消费者和企业合法计划进行的付款。
BEC和有线传输欺诈通过几个不同的模式运作,每一种都针对不同的交易类型:
| 模式 | 案件分享 | AVG 损失 |
|---|---|---|
| 不动产 / 抵押贷款关闭诈骗 | 28% | $184,000 |
| 供应商 / 供应商 骗局 | 22% | $95,000 |
| 首席执行官 / 执行官假装 | 18% | $78,000 |
| 工资分散 | 11% | $24,000 |
| 律师 / 律师公司假装 | 8% | $215,000 |
| 婚礼 / 事件支付欺诈 | 4% | $45,000 |
| 个人投资 / 退休转移诈骗 | 5% | $340,000 |
| 其他 | 4% | 变量 |
不动产关闭诈骗产生了最高的案件量和重大事故损失,该模式针对房屋买家接近关闭日期 - 诈骗者破坏房地产经纪人,标志性公司或律师的电子邮件帐户,然后向房屋买家发送令人信服的伪造电子邮件,并将关闭资金重定向到被欺诈控制的帐户。
律师伪装类别具有最高的平均损失(215,000美元),因为律师路由交易通常是BEC环境中最大的。个人投资/退休转移类别有更高的平均值(340,000美元),但案件量较低,因为它针对特定高资产的个人。
鉴于房地产封闭欺诈在该类别中占据主导地位,了解其运营结构凸显了更广泛的BEC模式:
第一阶段:认可和账户妥协。 诈骗者通过公开的房地产记录,显示正在进行的销售的MLS列表或侵犯的房地产经纪人电子邮件帐户识别正在进行的房地产交易,侦查可能需要数周时间,确定有关各方(买方,卖方,代理人,标牌公司,律师)和近似的时间表。
第二阶段:电子邮件基础设施部署。 诈骗者在交易链中破坏电子邮件帐户(通常是房地产经纪人或标题公司通过先前的钓鱼活动)或创建模仿合法各方的类似电子邮件域。
步骤三:注射线。 在关闭前几天,诈骗者向买方发送了一封电子邮件,似乎来自合法的方(通常是标题公司或律师),解释了线程指令已“出于安全原因更新”,并提供新的银行账户信息。
第四阶段:筹集资金。 买家将关闭资金转移到被欺诈控制的账户,相信他们正在遵循合法的更新指令。
第五阶段:发现和恢复尝试。 诈骗通常在线完成后几小时或几天被发现,当买家联系标题公司关闭时或标题公司询问尚未抵达的资金时。
房地产背景使得这种欺诈特别破坏性。电线转移欺诈通常针对买家的全部退款资金 - 通常是50万美元至500万美元以上的生命储蓄。
首席执行官和执行官假装BEC的目标是企业账户可支付的流程。
欺诈者破坏或假装高级高管(CEO,CFO,控制员)的电子邮件帐户,他们向会计或账户付费人员发送紧急请求,要求立即转账 - 通常以机密收购,紧急的供应商支付或需要立即采取行动的敏感时间的机会为框架。
共同的操作元素:
| 元素 | 频率 |
|---|---|
| 电子邮件欺骗行政账户 | 72% |
| 破坏了实际的行政账户 | 23% |
| Lookalike 域(公司域的变体) | 5% |
| 语音克隆补充电子邮件请求 | 28%(快速增长) |
| AI个性化请求语言 | 67%(快速增长) |
语音克隆补充已经显著改变了这一模式。2025年,使用人工智能克隆的执行声音来拨打账户付费人员确认电子邮件请求的业务出现了显著增长,电子邮件请求和“首席执行官”的明显语音确认的组合打败了依靠电话验证异常请求的传统验证协议。
供应商发票欺诈占BEC案件的22%,并产生一致的运营损失。
| 模式 | 描述 |
|---|---|
| 更改付款指令 | 诈骗者拦截合法的供应商通信,然后发送“更新银行信息”电子邮件,重定向未来的付款 |
| 虚假入口 | 骗子提交虚构的发票,似乎来自真实的卖家 |
| 手法操纵 | 电子邮件中被拦截的合法发票,银行信息被更改,然后转发给实际收件人 |
| 经销商账户接收 | 诈骗者破坏实际的供应商电子邮件帐户,然后使用这些帐户来重定向正在进行的付款 |
| 寻找销售者域名 | 欺诈者注册类似于真实供应商域名的域名(acme-corp.com 对 acmecorp.com) |
供应商发票类别对缺乏复杂的电子邮件安全和账户可支付控制的中小企业尤其有害。
防范卖方发票欺诈需要:
电线传输欺诈恢复经济学是时间敏感的方式,使立即识别至关重要:
| 从线到恢复行动的时间 | 恢复率 |
|---|---|
| 在24小时内 | ~25% |
| 24~48小时 | ~12% |
| 48~72小时 | ~6% |
| 3~7天 | ~3% |
| 超過7天 | ~1-2% |
由于干预时间,恢复率的剧烈下降反映了欺诈者移动资金的速度。初始线路转移到美国银行的“目的地”账户,但资金通常在几个小时内转移到国际账户,转换为加密货币,或分布在多个“子”账户中。
联邦调查局的金融欺诈杀伤链 - IC3,联邦储备银行和主要银行之间的协调努力 - 已提高了24小时的恢复率,从约15%(2020)到约25%(2025)。
人工智能工具改变了BEC的运营复杂性:
| 使用案例 | 第2024章 收养 | 第2026章 收养 |
|---|---|---|
| AI个性化请求语言 | ~22% | ~67% |
| 克隆高管的声音 | ~3% | ~28% |
| AI生成的发票格式化 | ~15% | ~58% |
| AI辅助的目标研究 | ~18% | ~72% |
| 深度假冒视频为执行者假装 | ~1% | ~11% |
语音克隆的增长特别影响高价值的BEC操作。操作现在将电子邮件请求与使用AI克隆的执行声音的语音“确认”呼叫相结合。
Deepfake视频假装仍在出现(2026年采用11%),但代表着下一个演变。使用人工智能生成的高管要求紧急转让的视频通话的操作开始出现,尤其是在高价值的国际BEC尝试中。
有效的BEC和有线传输欺诈防御需要基于结构而不是检测的方法:
个人房地产买家:
对于企业(应付账户):
对于行政办公室:
普遍原则:
几种BEC和有线传输欺诈模式可能会在2026年加剧:
整合将加速。 到2026年底,语音克隆的采用量将继续从28%增长到50%以上,深伪视频的采用量将从11%增长到潜在的25-30%。
房地产欺诈将继续占主导地位。 房地产交易集中了必要的元素(可预测的时间,大额,多方电子邮件协调,时间压力),使BEC在运营上高效。
跨境恢复将继续困难。 尽管改善了国际合作,但国际上转移并转换为加密货币的资金回收的结构性挑战将继续存在,回收率可能会逐步提高,但仍然令人沮丧的低。
将增加SMB目标。 大型企业通过专门的安全团队和训练有素的员工来改进BEC防御。没有复杂的安全性的小型和中型企业构成越来越有吸引力的目标。
电子邮件安全技术将得到改善。 SPF、DKIM、DMARC的采用不断增长,电子邮件安全供应商越来越多地包括基于人工智能的BEC检测,技术防御的改进可能会跟上运营的复杂性,尽管双方都不会取得决定性优势。
监管压力将逐步增加。 联邦调查局的金融欺诈杀人链已经建立了协调响应的框架,期待持续的运营改进,而不是戏剧性的监管转变。
总分析得出结论:BEC和有线传输欺诈是现代欺诈中最具赌注的类别,每事件损失的订单规模高于典型的消费者欺诈。人工智能整合正在迅速增加操作复杂性。防御需要结构性验证协议而不是基于检测的方法。该类别将持续到2026年,运营商和辩护者之间有效性在没有决定性的解决方案的情况下发生变化。个人和组织的防御依赖于绝对的验证规则,而不依赖于检测人工智能产生的内容质量。
商业电子邮件妥协(BEC)是一个欺诈类别,犯罪分子使用基于电子邮件的社交工程来将合法的业务或个人支付重定向到被欺诈控制的帐户中。
不动产线诈骗针对房屋买家在关闭日期附近。诈骗者破坏房地产经纪人、标志性公司或律师的电子邮件帐户,然后向买家发送令人信服的“更新线路指令”的电子邮件,将关闭资金重定向到被欺诈控制的账户。该类别代表了28%的BEC案件,平均损失为18万4000美元。线路诈骗通常针对买家的全部支付资金 - 通常是50万至500万美元的生命储蓄。
通用规则: 永远不要根据电子邮件发送的指示单独发送资金。 始终使用独立获得的号码(来自标题公司网站或名片,而不是电子邮件)通过电话验证线路指令。 亲自访问标题公司以确认线路细节。 假设任何“更新线路指令”通过电子邮件都是欺诈性的,直到验证。 当提供替代品时使用ACH转账或认证检查。 房地产交易的线路指令基本上从未在最后一刻合法地改变。
骗子妥协或假装高级高管电子邮件帐户,并向会计人员发送紧急请求,要求立即转账 - 通常以机密收购,紧急供应商支付或时间敏感的机会为框架。
人工智能集成已经改变了BEC的有效性。人工智能个性化请求语言从2024年的22%的采用增长到2026年的67%。高管的语音克隆从3%增加到28%。深度伪造视频的执行性伪造正在出现(1%到11%)。操作现在将电子邮件请求与使用人工智能克隆的执行声音的语音“确认”呼叫相结合,打败了依赖于电话确认的验证协议。
恢复时间至关重要 24 小时内: ~25% 恢复率 24-48 小时: ~12% 48-72 小时: ~6% 3-7 天: ~3% 超过 7 天: ~1-2% 剧烈下降反映了欺诈者如何快速转移资金 - 初始线程转移到美国的“目的地”账户,但资金通常在数小时内转移到国际账户,转换为加密货币,或分布在子账户中。
供应商发票欺诈占BEC案件的22%,平均损失为95000美元。模式变化包括:更改的付款指令(欺诈者拦截通信并发送“更新银行信息”电子邮件),假发票插入(制造的发票似乎来自真正的供应商),发票操纵(合法的发票被拦截,银行信息被更改,然后转发),供应商账户接收(欺诈者破坏实际的供应商电子邮件帐户),以及类似的供应商领域。
结构性验证协议比基于检测的方法更有效。对于房地产买家来说:使用独立获得的号码进行电话验证,在可能的情况下进行个人验证。对于企业来说:对供应商银行更改的两人批准,处理更改前24至48小时的等待期,外带验证(电子邮件的单独通讯渠道),紧急压力培训,多人批准门槛。通用原则:紧急是红旗不是跳过验证的理由,合法交易适应了验证时间,防止验证的保密声明尤其可疑。
大型企业通过专门的安全团队,正式账户付费程序和员工培训,改进了BEC防御。没有复杂的安全性的小型企业(SMB)代表着越来越有吸引力的目标。小型企业通常缺乏:专门的电子邮件安全基础设施,正式的供应商验证程序,针对异常转移的两人批准要求,定期的钓鱼模拟培训,以及基于人工智能的BEC检测工具。
金融欺诈杀伤链是联邦调查局(FBI),联邦储备委员会(Federal Reserve)和主要银行之间的协调努力,旨在使欺诈性线路转移的快速恢复。当在72小时内(理想情况下在24小时内)报告欺诈时,杀伤链有时可以冻结资金,然后将资金转移到恢复范围之外。系统已从2020年约15%(2020)提高到25%(2025)。
不 - 假设它们是欺诈性的默认情况下. 对重大交易(房地产关闭,供应商支付,大型业务转让)的合法线路指令基本上从不通过电子邮件在最后一分钟更改。 任何“更新线路指令”电子邮件都应该通过电话验证,使用独立获得的号码(从官方网站或先前的邮件,而不是从电子邮件本身)在任何资金转移之前。
BEC针对特定业务交易 - 通常价值 $50,000-500,000 + - 通过定制的电子邮件基础设施来模仿合法的交易方。 BEC需要更多的侦察,更复杂的电子邮件基础设施和比大规模诈骗更有针对性的时机。 每起损失是更大的订单(BEC的平均值为 $128,000 比诈骗的平均值为 $890),但案件量较低。