美国联邦调查局 (FBI) 今天表示，商业电子邮件泄露 (BEC) 诈骗造成的损失金额每年都在持续增长，在 2019 年 7 月至 2021 年 12 月期间，已确定的全球暴露损失增加了 65%。

从 2016 年 6 月到 2019 年 7 月，IC3 收到了有关 241,206 起国内和国际事件的受害者投诉，暴露的美元损失总额为 43,312,749,946 美元。

FBI 表示：“根据向 IC3 报告的 2021 年财务数据，位于泰国和香港的银行是欺诈资金的主要国际目的地。”

“往年排名前两位的中国，2021年排名第三，其次是墨西哥和新加坡。”

这是在互联网犯罪投诉中心 (IC3) 网站上发布的新公共服务公告中披露的，该公告是对 2019 年 9 月之前的 PSA 的更新，当时 FBI 表示，受害者在 2016 年 6 月至 2019 年 7 月期间报告的 BEC 攻击损失 达到了总额超过 260 亿美元。

根据 IC3 2021 互联网犯罪报告 [ PDF ]，BEC 诈骗是去年报告的受害者总损失最高的网络犯罪类型。

根据记录的 19,954 起与针对个人和企业的 BEC 攻击有关的投诉，受害者报告称，2021 年损失近 24 亿美元。

2021 年报告的 BEC 损失（FBI）
BEC骗局？
BEC 诈骗者正在使用各种策略（包括社会工程、网络钓鱼和黑客攻击）来破坏商业电子邮件帐户，这些帐户将习惯于将付款重定向到攻击者控制的银行帐户。

在这种类型的骗局（也称为 EAC 或电子邮件帐户泄露）中，骗子通常会针对小型、中型和大型企业。尽管如此，如果付出的代价是值得的，他们也会攻击个人。

他们的成功率也很高，因为他们通常会冒充目标信任的人，例如业务合作伙伴或公司高管。

然而，正如 FBI 在 PSA 警报中解释的那样，“骗局并不总是与资金转移请求相关联”。

“一种变体涉及破坏合法的商业电子邮件账户，并要求员工提供个人身份信息、工资和税务报表 (W-2) 表格，甚至是加密货币钱包。”

BEC防御指导
FBI 还 提供了 有关如何防御 BEC 诈骗企图的指导：

使用辅助渠道或双重身份验证来验证更改帐户信息的请求。
确保电子邮件中的 URL 与其声称来自的企业/个人相关联。
请注意可能包含实际域名拼写错误的超链接。
避免通过电子邮件提供任何形式的登录凭据或 PII。请注意，许多要求您提供个人信息的电子邮件可能看起来是合法的。
验证用于发送电子邮件的电子邮件地址，尤其是在使用移动或手持设备时，确保发件人的地址与发件人相符。
确保启用员工计算机中的设置以允许查看完整的电子邮件扩展。
定期监控您的个人财务账户是否存在违规行为，例如存款丢失。
联邦执法机构建议那些成为 BEC 欺诈受害者的人立即联系他们的银行要求召回资金。

还敦促他们尽快在 BEC.ic3.gov上向 FBI 提出投诉，无论损失金额多少。