detecting-business-email-compromise
商业邮件欺诈(BEC)是一种复杂的欺诈方案,攻击者冒充高管、供应商或可信合作伙伴,诱骗员工转账、共享敏感数据或更改付款信息。本技能涵盖使用邮件网关规则、行为分析和财务流程控制进行 BEC 检测。
Best use case
detecting-business-email-compromise is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
商业邮件欺诈(BEC)是一种复杂的欺诈方案,攻击者冒充高管、供应商或可信合作伙伴,诱骗员工转账、共享敏感数据或更改付款信息。本技能涵盖使用邮件网关规则、行为分析和财务流程控制进行 BEC 检测。
Teams using detecting-business-email-compromise should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/detecting-business-email-compromise/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How detecting-business-email-compromise Compares
| Feature / Agent | detecting-business-email-compromise | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
商业邮件欺诈(BEC)是一种复杂的欺诈方案,攻击者冒充高管、供应商或可信合作伙伴,诱骗员工转账、共享敏感数据或更改付款信息。本技能涵盖使用邮件网关规则、行为分析和财务流程控制进行 BEC 检测。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 检测商业邮件欺诈 ## 概述 商业邮件欺诈(BEC)是一种复杂的欺诈方案,攻击者冒充高管、供应商或可信合作伙伴,诱骗员工转账、共享敏感数据或更改付款信息。与传统网络钓鱼不同,BEC 通常不包含恶意链接或附件,完全依赖社会工程学。本技能涵盖使用邮件网关规则、行为分析和财务流程控制进行 BEC 检测。 ## 前置条件 - 具有 BEC 检测功能的邮件安全网关 - 了解组织财务流程和审批链 - 对邮件日志和 SIEM 平台的访问权限 - 熟悉社会工程学策略 ## 核心概念 ### BEC 攻击类型(FBI IC3 分类) 1. **CEO 欺诈**:攻击者冒充 CEO,请求紧急电汇 2. **账户入侵**:员工邮件账户被入侵,用于向供应商请求付款 3. **虚假发票方案**:发送带有更改银行账户信息的"供应商"假发票 4. **律师冒充**:冒充法律顾问进行紧急保密转账 5. **数据窃取**:向人力资源部门索取 W-2 表格、税务表格或 PII ### 检测指标 - 紧迫性和保密性语言("机密"、"不要与他人讨论") - 新的或更改的付款指令 - 超出正常模式的高管通讯 - 显示名称匹配高管但邮件域名不同 - Reply-To 地址与 From 地址不同 - 发件人与收件人之间的首次通讯模式 - 请求礼品卡或加密货币 ## 实施步骤 ### 步骤一:配置 BEC 特定邮件规则 - 标记来自外部域名但显示为 VIP 的邮件 - 检测金融关键词与紧迫性语言的组合 - 对财务/会计人员的首次发件人发出告警 - 检查 Reply-To 域名不匹配 ### 步骤二:部署行为分析 - 为每位用户建立正常通讯模式基线 - 检测异常请求(异常收件人、异常时间、异常请求类型) - 监控邮件转发规则更改(T1114.003) ### 步骤三:实施财务控制 - 超过阈值的电汇双重授权 - 付款信息更改的带外验证(电话回调) - 供应商付款变更验证流程 - 对财务团队进行 BEC 危险信号培训 ### 步骤四:监控账户入侵 - 检测邮件登录地址的不可能旅行 - 对邮件转发规则创建发出告警 - 监控邮箱委托更改 - 检查隐藏 BEC 相关邮件的收件箱规则 ## 工具与资源 - **Microsoft Defender for O365 Anti-BEC**:内置 BEC 检测 - **Proofpoint Email Fraud Defense**:BEC 专项解决方案 - **Abnormal Security**:AI 驱动的 BEC 检测 - **FBI IC3 BEC 公告**: https://www.ic3.gov/ - **FinCEN BEC 公告**:金融机构指导 ## 验证 - BEC 检测规则在测试场景中触发 - 财务控制在演练中阻止未授权转账 - 账户入侵检测发现模拟攻击 - 安全意识评估中的 BEC 易感性降低
Related Skills
testing-for-email-header-injection
测试 Web 应用程序邮件功能中的 SMTP 头部注入漏洞,这些漏洞允许攻击者注入额外的邮件头部、修改收件人,并通过联系表单实施垃圾邮件中继。
testing-for-business-logic-vulnerabilities
识别应用程序业务逻辑中的缺陷,这些缺陷允许价格操控、工作流绕过和权限提升,超出技术漏洞扫描器的检测范围。
performing-active-directory-compromise-investigation
通过分析认证日志、复制元数据、组策略变更和 Kerberos 票据异常,调查 Active Directory 攻陷事件,识别攻击者持久化机制和横向移动路径。
investigating-phishing-email-incident
调查钓鱼(Phishing)邮件事件,从初始用户举报开始,经过邮件头分析、URL/附件引爆、 受影响用户识别和遏制行动,使用 Splunk、Microsoft Defender 和沙箱分析平台等 SOC 工具。 适用于收到的钓鱼邮件举报需要进行完整事件调查以确定范围和影响时。
implementing-proofpoint-email-security-gateway
部署和配置 Proofpoint Email Protection 作为安全邮件网关,在邮件到达用户收件箱之前检测并拦截钓鱼、恶意软件、BEC 和垃圾邮件。
implementing-email-security-with-dmarc-dkim-spf
通过检查域名的 SPF、DKIM 和 DMARC DNS 记录,审计并验证电子邮件身份验证配置。 使用 dnspython 查询 TXT 记录,验证 SPF 语法和查询次数,核查 DKIM 选择器记录, 解析 DMARC 策略,识别可能导致电子邮件欺骗的错误配置。并生成修复建议。
implementing-email-sandboxing-with-proofpoint
邮件沙箱在隔离环境中引爆可疑附件和 URL,以检测零日恶意软件和规避性钓鱼载荷。Proofpoint 定向攻击防护(TAP)是业界领先的解决方案,使用多阶段沙箱、URL 重写和预测分析。
implementing-dmarc-dkim-spf-email-security
SPF、DKIM 和 DMARC 是邮件认证的三大支柱,共同防止域名伪造、验证消息完整性并定义处理未认证邮件的策略。正确实施可显著减少冒充组织域名的钓鱼攻击。
hunting-for-supply-chain-compromise
狩猎供应链入侵指标,包括木马化软件更新、受损依赖项、未授权代码修改和被篡改的构建产物。
detecting-wmi-persistence
通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。
detecting-t1548-abuse-elevation-control-mechanism
通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。
detecting-t1055-process-injection-with-sysmon
通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式,检测进程注入技术(T1055),包括经典 DLL 注入、进程镂空和 APC 注入。