复制此链接到微信打开阅读全部已发布文章 

不要关闭它标签！我知道很少有词组比商业、电子邮件和妥协更无趣。

但这不是一篇无聊的文章：这是一篇关于电子邮件骗子的文章，根据联邦调查局的说法，他们每年通过诈骗人们赚取 260 亿美元。

所以，商业电子邮件诈骗确实很严重。这种犯罪行为背后的骗子会向您发送冷电子邮件，假装是您同事，以获取资金或信息。

您可能会收到一封看似来自公司 CEO 的电子邮件，要求您快速执行购买礼品卡等操作，或者您可能会收到一封看似来自公司员工的电子邮件，要求您更改他们的直接存款信息。

这种骗局本身可以采取多种形式，但最终目的是以某种方式从您或您工作的企业中窃取资金。

对于任何从事办公室工作的人来说，花点时间学习如何识别这些电子邮件都是值得的。我和几位专家进行了交谈，他们给了我一些有用的建议。

总是质疑紧迫性

当我向两位网络安全专家询问 BEC 商业电子邮件犯罪欺诈问题时，我以为他们会以技术建议为先。但两人都从情感开始。

这是有道理的：虽然此类欺诈发生在计算机上，但其核心是心理操纵。因此，要发现电子邮件诈骗，就需要了解自己的感受。

如果一封电子邮件引起了情绪反应，请退后一步，等你冷静下来再读一遍，十多年来一直致力于教育人们防范电子邮件诈骗。托卡佐夫斯基强调，制造虚假的紧迫感对于防范此类诈骗至关重要。

诈骗带来的压力会让你不敢质疑其前提。被卷入此类骗局的人……情绪会变得非常失控，这会让你的批判性思维能力下降，而批判性思维正是此类骗局运作的关键部分。

网络安全公司威胁研究员Selena Larson更进一步。她说：我不知道你是否可以打印这个，但说实话：呼吸就好。慢下来，深呼吸。这实际上可以帮助你更清晰、更理性地思考。

离开你的电脑或手机，批判性地思考。这是友人会发给我的电子邮件吗？这是要求我做的合乎逻辑的事情吗？

如果发送电子邮件的人要求您保持沉默，您应该特别怀疑。

诈骗者会把你和你的同伴隔离开来，他们站在权威的位置上对你说，‘请保密，只在我们之间说。’

这种社会工程学让人们觉得他们必须采取某种紧急行动，而且你不能告诉任何人。

所以这是第一步：控制你的情绪。是的，如果你在要求很高的领域工作，这可能会很困难。但这是你最好的第一道防线，你的雇主会感谢你（或者，至少他们应该感谢你）。

始终通过第二个渠道确认

既然你怀疑这个紧急请求的合法性，那就检查一下电子邮件是否来自声称的发件人。最好的办法就是询问，但要小心。

如果你收到了这样的电子邮件，一定要拿起电话拨打你认为合法的号码，不要依赖电子邮件中的电话号码，这个号码属于威胁者。

这一点至关重要：电子邮件中的任何联系信息都可能被泄露，有时甚至被巧妙地泄露。

使用您已在手机中保存的联系人电话号码，或在官方网站或官方公司目录中查找电话号码。

即使电子邮件中的号码看起来正确，这也适用，因为有些诈骗者会不遗余力地获取与他们冒充的人的电话号码相似的电话号码，希望您拨打该号码而不是真实号码。

有许多与实际电话号码相差两位数的电话号码。

给给你发电子邮件的人打电话（使用你 100% 确定是真实的号码），确认请求是否真实。或者，如果他们在办公室，直接当面询问他们。

重点是要在最初的电子邮件之外的某个地方确认任何紧急请求。即使这个人是你的领导或其他大人物，也不要担心浪费他们的时间。

被冒充的人宁愿有人花时间确认，也不愿在恶意交易中损失数千或一百万美元。

检查电子邮件地址

联系假定的发件人并不总是可行的。如果不能，您可以使用一些技巧来识别电子邮件是真是假。第一：检查电子邮件地址并确保它来自公司域。

务必检查您收到电子邮件的域名，有时这很明显；例如，您的 CEO 可能不会从 Gmail 帐户向您发送电子邮件。有时它会更加隐蔽；众所周知，欺诈者会购买与他们试图欺诈的公司相似的域名，所有这些都是为了看起来合法。

还值得检查一下电子邮件签名是否与电子邮件发件地址相匹配。

如果你查看页脚，他们会使用公司的实际域名使其看起来合法，但这与电子邮件地址不匹配，请记住，差异可能很微妙。

相似的域名非常常见：有人会做一些细微的变化，比如用“l”代替“i”，让它看起来合法。

如果你怀疑，一种测试方法是将地址的一半域名复制并粘贴到浏览器中。如果你没有看到网站，那么你可能正在处理一个假冒网站。

您可以通过点击回复并检查“收件人”字段中显示的电子邮件地址来识别。

如果该电子邮件地址与电子邮件看起来发件的电子邮件地址不同，则您很可能正在处理虚假请求。

遵循正确的协议

虽然这很无聊，但防范商业电子邮件诈骗的最佳方法可能是老式的官僚机构。

如果针对诈骗的常见目标（例如大额购买或更新数据库中的财务信息）制定了流程，那么您的公司就不太可能成为此类诈骗的受害者。

从流程的角度来看，大多数情况下，购买某物的请求需要经过人力资源和采购部门的审核，如果你通过电子邮件收到这样的请求，要求你绕过常规流程，请保持怀疑态度。

必须有书面记录。有人说‘从你的个人账户购买’，这种流程是不会发生的。

一家健康的公司可能不应该使用电子邮件作为重要财务流程的工作流程。例如，如果你想更改你的直接存款信息，这对工作流程来说是一种糟糕的做法。

领导者：保持沟通畅通

还有最后一条建议，这条建议是针对公司内部的领导者的：不要做出让人误以为骗子是你的行为。

如果你经常给员工发电子邮件并要求紧急帮助，同时告诉人们对这些请求保持沉默并且不要通过官方渠道工作，那么你的公司成为此类骗局受害者的可能性就会增加。

另一方面，如果你创造了一种透明的公司文化，那么你就会让公司变得更强大、更具有抵抗力。

重要的一步是确保你正在努力培养一种开放的沟通文化。许多组织的结构方式是尽量减少各级之间的沟通。

在这样的组织中，“越级会议”很有帮助。这是一种会议形式，高级经理在没有中层经理在场的情况下与中层经理的直接下属会面，跳过层级，以建立所有级别之间更强大的沟通途径。

领导者应该牢记的另一件事是，如果您的公司成为此类骗局的受害者，公开谈论这件事是多么重要。

无论遭遇何种骗局，人们都会感到羞耻，这种感觉很糟糕，这也是这些骗局得以持续进行的原因之一。

公开谈论这件事可以帮助当事人、他们的同龄人和同事学会如何保护自己。

什么是语音网络钓鱼？

摩洛哥网络犯罪猖獗，执法机构发挥创造力

国际刑警组织如何打击网络犯罪的 6 个事实

网络犯罪分子如何利用人工智能发送垃圾邮件

网络犯罪分子如何收集有关其目标的个人信息？

什么是远程访问木马 (RAT)：垃圾邮件背后的威胁