Defaults.Exposed › Glossary › 商业邮件诈骗（BEC）

商业邮件诈骗（BEC）

Also known as: BEC, 冒充高管诈骗, 假发票诈骗, 改账户诈骗

BEC 是一种骗局：罪犯冒充你的邮件身份，诱使你的员工或客户汇错款、改错银行账户——而收紧你域名的邮件设置，能堵死他们得手的一条关键途径。

它是什么

商业邮件诈骗建立在人们对邮件的信任之上。罪犯冒充目标信任的某个人——老板、财务、熟识的供应商——借这层伪装让对方汇钱或改银行账户。它没有破门抢劫，靠的是一封有说服力的邮件在恰当时机出现。

常见手法：一封看起来「来自老板」的假「紧急付款」请求，或者一封「来自供应商」、附带新银行账户的假发票，而那个账户其实悄悄归骗子所有。

为什么这关系到你的生意

BEC 是代价最高的骗局之一，恰恰因为它瞄准的是正常的商业行为：人们照常付发票、照常听从老板的指示。一次得手就能把一笔真实款项直接送进罪犯口袋，而钱往往再也追不回来。

它对中小企业打击尤其重——你有真实的资金在流动，却通常没有庞大的安全团队对每一笔请求复核。当邮件看起来确实来自你自己的域名时，连谨慎的员工也会中招。

怎么判断 / 该怎么做

你关不掉人的贪念，但你能拿走罪犯最趁手的工具之一——发出看起来真的像来自你域名的邮件的能力。锁死 DMARC（设为拒收），再配上 SPF 与 DKIM，就能阻止攻击者伪造你的确切地址。再加一条简单规矩：任何付款或改银行账户的要求，都用你早已掌握的号码打电话核实。免费检测你的域名；邮件方面的修复都是免费的。从 DMARC 修复指南 开始。

Want to fix this on your own domain? See the free guide →