去年全球因此类攻击损失超30亿美元,而你公司的财务流程可能藏着同样的漏洞。
Zephyr Energy 上周向伦敦证券交易所提交的一份监管文件,揭开了这起典型商业邮件入侵(Business Email Compromise,商业电子邮件诈骗)的冰山一角。这家在英国上市的油气公司披露,其美国子公司的一笔 contractor 付款被黑客半路截走,金额高达70万英镑(约合90万美元)。
钱是怎么丢的?Zephyr 没有透露技术细节,但这类攻击的套路早已成熟。黑客要么攻破邮箱,要么潜入财务系统,在付款流程中把收款账户换成自己控制的账号。等财务部门点击"确认转账",资金便直接流入海外账户。整个过程不需要写一行恶意代码,却比勒索软件更隐蔽——因为邮件是真的,审批流程也是真的,只有收款人那一栏被悄悄改了。
「行业标准」防不住社会工程学
Zephyr 在文件中特别强调,公司原本就采用「行业标准实践」管理技术和支付平台。这句话的潜台词很微妙:我们没有犯低级错误,但对手找到了缝隙。
讽刺的是,商业邮件入侵(BEC)攻击的可怕之处恰恰在于它绕过了大多数技术防御。FBI 今年4月发布的年度网络犯罪报告显示,2024年 BEC 攻击造成的全球损失超过30亿美元,连续多年位居网络犯罪致损榜首。相比之下,勒索软件虽然 headlines 更多,实际经济损失反而排在后面。
Zephyr 的应对是追加「额外安全层」,但具体加了什么、能否追回资金,公司拒绝置评。
这种沉默在上市公司中并不罕见。监管披露往往只满足最低合规要求,真正的技术复盘很少公开。但对于同行来说,70万英镑的学费里藏着更值得细看的细节:攻击发生在哪个环节?是 contractor 的邮箱被入侵,还是 Zephyr 内部系统失守?资金最终流向哪个司法管辖区?这些问题的答案决定了这是一次孤立事件,还是某种新型攻击手法的早期信号。
contractor 付款为何成重灾区
能源行业的项目制运作特性,让它成为 BEC 攻击的高频目标。大型基建项目涉及数十家分包商,付款周期长、金额波动大,财务团队很难对每一笔转账都做到人工复核。黑客通常会提前潜伏数周,研究邮件往来习惯,等到一笔大额付款即将执行时才动手篡改账户信息。
更麻烦的是跨境支付的时间差。Zephyr 的美国子公司向 contractor 付款,资金很可能经过多个中间行,每一层都增加了追踪难度。等发现异常时,钱早已通过地下钱庄或加密货币洗白。
「我们正在与相关银行和顾问合作,尝试追回被转移的资金。」Zephyr 在文件中写道。这句话的措辞很谨慎——「尝试」意味着成功率不确定,「相关银行」暗示涉及多家机构协调。在 BEC 攻击的追款案例中,黄金窗口期通常是转账后的24-72小时,超过这个时限,资金追回概率急剧下降。
一个被低估的防御盲区
大多数公司的财务安全培训聚焦在识别钓鱼邮件,但 BEC 攻击的进阶版本已经不需要骗员工点击链接。攻击者直接控制真实账户,用真实的对话历史发起对话,甚至能模仿特定人员的写作风格。
防御这类攻击需要改变流程而非堆砌技术。比如,任何银行账户变更必须通过第二条独立渠道确认——电话回拨到合同存档的号码,而非邮件中提供的新号码。又比如,大额付款设置延迟到账,为人工复核留出缓冲时间。这些措施不昂贵,但会打断财务人员的操作惯性,推行阻力往往比技术升级更大。
Zephyr 表示事件已得到控制,运营正常进行。但对于持股者和行业观察者来说,真正的悬念是:那70万英镑最终能追回多少?以及,下一家披露类似事件的上市公司会是谁?
你的公司财务流程里,最后一道人工复核环节还能挡住多少精心设计的账户变更请求?
热门跟贴