收到不寻常的支付指令，怎么判断是不是BEC商业邮件诈骗，核查思路是什么

一封看起来正常的邮件，来自你熟悉的供应商或者合作方，说账户有变动，请你下次把款打到新账户。或者说 CEO 有紧急指示，要求马上向某账户汇款，保密，不要走常规审批。这类邮件，每年在全球造成数十亿美元的损失，而大多数中招的企业，在看到那封邮件时根本没有意识到问题在哪里。

BEC 是怎么运作的

商业邮件诈骗（Business Email Compromise，BEC）并不是靠技术漏洞，而是靠社会工程学——伪装成你信任的人，在"正常流程"里替换关键信息。

常见的几种操作方式：

邮件账户入侵。 攻击者真实入侵了你合作方的邮件账户，或者你公司内部高管的邮件账户，然后以这个账户的身份发出变更指令。邮件地址完全真实，发件人信息完全一致，唯一的问题是操控这个账户的已经不是你认识的那个人了。

仿冒域名。 注册一个高度相似的域名（比如把 company.com 换成 company-ltd.com，或者 c0mpany.com），再仿造同事的邮件格式发出请求。很多人在忙碌中不会仔细看邮件地址，尤其是手机端经常只显示发件人名字而不显示完整邮箱地址。

中间人拦截。 在合同谈判过程中，有人入侵了双方的邮件往来，在适当时机插入了修改版的付款信息，而双方都以为自己在和对方沟通。

CEO 欺诈（权威仿冒）。 冒充公司高管（CEO、CFO），给财务人员发指令，要求紧急转账到某账户，并强调保密和绕过常规审批。利用的是下属对高管指令的服从和不敢追问的心理。

收到不寻常支付指令的核查步骤

第一步：识别"不寻常"的信号。

不是所有变更请求都是诈骗，但以下信号出现时就需要提高警惕：

• 收款账户或公司发生变更
• 付款请求要求绕过常规审批流程
• 有时间压力和保密要求
• 邮件来自高管，但平时不走这个渠道
• 付款金额远超常规
• 邮件域名和以往有细微差异

第二步：绝对不使用这封邮件里的任何联系方式来"确认"。

这是最核心的一步，也是最容易犯错的地方。如果你用这封邮件里的回复地址去"确认"，或者用邮件里附的电话去打过去，你得到的确认是骗子给的，毫无意义。必须用你们之前就已经在用的、独立确认过的联系渠道——从你们的通讯录里找旧的电话号码，给之前用过的旧邮箱地址发邮件。

第三步：对新收款主体做工商核查。

如果付款指令要求打到一家新的公司（而不只是换了账户号码），这家新公司是什么？去公开数据库查：这家公司是不是真实存在、成立时间是什么时候（如果是最近刚注册的，高度可疑）、和你的合作方之间有没有可查的关联（股东、地址、相关人员）。一家刚刚注册、和你认识的合作方没有任何关联的公司，要求你打大额款到里面，就是非常强的风险信号。

第四步：核查账户与公司名的一致性。

通过可信渠道，核实对方提供的收款账户名，是否和他们的公司全名一致。不一致的情况下，要求对方通过原有渠道书面说明不一致的原因，并提供账户证明文件。

组织层面的防范机制

单靠每个员工的判断，是防不住 BEC 的，因为攻击者会选在压力最大、最忙的时候出手。组织层面需要建立的机制：

双重确认规则。 超过一定金额的汇款，必须由两个人独立确认（财务+上级，或者两个财务）。任何账户变更请求，必须由财务之外的另一个人通过独立渠道核实。

变更请求必须走专门流程。 任何收款信息的变更，不管来自谁的邮件，都必须走正式的变更申请流程，不接受邮件直接变更、不接受即时消息直接变更。流程走完之前，按旧信息继续汇款。

定期培训。 让财务、采购、管理团队了解 BEC 的运作方式，识别不寻常信号，不要因为"对方是高管"就跳过核实。

数据核查能帮什么

在核查新收款主体这一环节，我们可以快速帮你查清楚：这家公司是否存在、成立多久、股东是谁、和你原来合作方之间有没有工商层面的关联，出具中文结论供你判断。这是判断"打款指令里的新公司是不是正常关联方"的关键信息。

核查是事前防范工具，不是事后追款工具。一旦款项已经汇出，数据核查能帮你了解对方是什么主体（作为报案和法律追偿的材料），但能追回来的可能性本来就很低。正确的使用方式是在打款之前核查，而不是打款之后来查"是不是被骗了"。

常见问题

Q：邮件的发件人地址和平时一模一样，怎么判断是不是入侵了账户？

邮件发件人地址一致，不能排除是账户被入侵。最直接的判断是：通过账户以外的渠道（电话）联系本人，问他是不是真的发了这封邮件。对方如果说"我没有发过这封邮件"，就是账户入侵，需要让对方立刻修改密码并向 IT 报告。等待对方邮件回复来确认，是没用的——被入侵的账户可以回复任何内容。

Q：这次金额不大，核实太麻烦，直接打了行不行？

不建议，原因有两个：一是小额可能是"测试"，骗子先用小额建立成功记录，再在大额时实施攻击；二是核实流程的建立，是习惯和文化，不是只用在"够大的钱"上。让大家都知道"任何账户变更都要核实"，比"超过多少才核实"更难被绕过。

Q：已经打款出去了，发现是诈骗，第一步做什么？

立刻联系你的开户行，申请紧急止付，说明是诈骗款项。同时报警并向当地相关部门报案。时间越短，止付成功率越高。同时，如果是因为邮件账户被入侵，需要立即采取IT安全措施，防止后续进一步损失。不要因为已经损失就拖，快速行动是挽回的唯一可能。