detecting-business-email-compromise-with-ai

部署 AI 和 NLP 驱动的检测系统,通过分析写作风格、行为模式和上下文异常来识别规避传统基于规则的过滤器的商业邮件欺诈(BEC)攻击。

9 stars

Best use case

detecting-business-email-compromise-with-ai is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

部署 AI 和 NLP 驱动的检测系统,通过分析写作风格、行为模式和上下文异常来识别规避传统基于规则的过滤器的商业邮件欺诈(BEC)攻击。

Teams using detecting-business-email-compromise-with-ai should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-business-email-compromise-with-ai/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-business-email-compromise-with-ai/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-business-email-compromise-with-ai/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-business-email-compromise-with-ai Compares

Feature / Agentdetecting-business-email-compromise-with-aiStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

部署 AI 和 NLP 驱动的检测系统,通过分析写作风格、行为模式和上下文异常来识别规避传统基于规则的过滤器的商业邮件欺诈(BEC)攻击。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 AI 检测商业邮件欺诈

## 概述

AI 驱动的 BEC 检测使用机器学习、NLP 和行为分析来识别不包含恶意链接或附件的复杂冒充攻击。传统基于规则的过滤器会遗漏这些攻击,因为 BEC 完全依赖社会工程学。现代 AI 方法分析写作风格、语调、词汇、语法模式和行为上下文,以确定邮件是否真实来自所声称的发件人。基于 BERT 的模型在 BEC 检测中达到 98.65% 的准确率,AI 增强平台比基于关键词的规则显示出钓鱼识别率提升 25%。

## 前置条件

- AI 驱动的邮件安全平台(Abnormal Security、Tessian、Microsoft Defender)
- 用于基线训练的历史邮件数据(最少 30 天)
- 与邮件平台的集成(Microsoft 365 或 Google Workspace)
- 用于告警关联和调查的 SIEM
- 了解 BEC 攻击类型(FBI IC3 分类)

## 实施步骤

### 步骤一:部署 AI 邮件安全平台

- 选择基于 API 的解决方案(Abnormal Security、Tessian、Ironscales)或增强现有邮件安全网关(SEG)
- 连接到 Microsoft Graph API 或 Google Workspace API
- 允许对历史邮件数据进行 48 小时基线学习期
- 配置集成以扫描入站、出站和内部邮件
- 验证用于消息访问和修复的 API 权限

### 步骤二:配置行为基线

- AI 学习正常通讯模式:谁发邮件给谁、频率、语调
- 为每位用户建立写作风格档案(词汇、句子结构)
- 按角色映射典型请求类型(财务处理付款,HR 处理 PII)
- 邮件元数据基线:典型发送时间、设备、位置
- 将偏离已建立基线的情况标记为异常

### 步骤三:训练 NLP 模型进行 BEC 检测

- 部署基于 Transformer 的模型(BERT、GPT)进行邮件内容分析
- 检测紧迫性和操控性语言模式
- 识别发件人身份与写作风格之间的不匹配
- 分析指示社会工程学压力的情感变化
- 分类邮件意图:信息请求、付款请求、凭据请求

### 步骤四:配置检测策略

- VIP 冒充:AI 将新邮件与已知高管通讯模式进行比较
- 供应商冒充:检测来自供应商仿冒域名的付款变更请求
- 账户入侵:检测员工邮件行为的突然变化
- 供应链 BEC:监控对可信合作伙伴的冒充
- 配置自动封锁与警告横幅与分析师审查的置信度阈值

### 步骤五:与响应工作流集成

- 对高置信度 BEC 检测自动隔离
- 对中等置信度检测添加警告横幅
- 将可疑邮件路由到 SOC 分析师队列进行审查
- 与 SOAR 集成实现自动化响应剧本
- 将 BEC 裁决反馈到训练数据以改进模型

## 工具与资源

- **Abnormal Security**:具有行为分析的基于 API 的 AI 邮件安全
- **Microsoft Defender for O365**:内置 AI 反 BEC 和冒充者分类器
- **Tessian(Proofpoint)**:具有人员层保护的 AI 驱动邮件安全
- **Ironscales**:AI + 人在回路 BEC 检测
- **Darktrace Email**:用于邮件威胁检测的自学习 AI

## 验证

- AI 检测无恶意指标的测试 BEC 邮件(纯社会工程学)
- 写作风格分析识别对已知高管的冒充
- 行为基线标记来自已入侵账户的异常付款请求
- NLP 正确分类测试场景中的紧迫性操控
- 基线训练后误报率低于 0.05%
- 检测率比传统基于规则的过滤器高出 25% 以上

Related Skills

testing-for-email-header-injection

9
from killvxk/cybersecurity-skills-zh

测试 Web 应用程序邮件功能中的 SMTP 头部注入漏洞,这些漏洞允许攻击者注入额外的邮件头部、修改收件人,并通过联系表单实施垃圾邮件中继。

testing-for-business-logic-vulnerabilities

9
from killvxk/cybersecurity-skills-zh

识别应用程序业务逻辑中的缺陷,这些缺陷允许价格操控、工作流绕过和权限提升,超出技术漏洞扫描器的检测范围。

performing-active-directory-compromise-investigation

9
from killvxk/cybersecurity-skills-zh

通过分析认证日志、复制元数据、组策略变更和 Kerberos 票据异常,调查 Active Directory 攻陷事件,识别攻击者持久化机制和横向移动路径。

investigating-phishing-email-incident

9
from killvxk/cybersecurity-skills-zh

调查钓鱼(Phishing)邮件事件,从初始用户举报开始,经过邮件头分析、URL/附件引爆、 受影响用户识别和遏制行动,使用 Splunk、Microsoft Defender 和沙箱分析平台等 SOC 工具。 适用于收到的钓鱼邮件举报需要进行完整事件调查以确定范围和影响时。

implementing-proofpoint-email-security-gateway

9
from killvxk/cybersecurity-skills-zh

部署和配置 Proofpoint Email Protection 作为安全邮件网关,在邮件到达用户收件箱之前检测并拦截钓鱼、恶意软件、BEC 和垃圾邮件。

implementing-email-security-with-dmarc-dkim-spf

9
from killvxk/cybersecurity-skills-zh

通过检查域名的 SPF、DKIM 和 DMARC DNS 记录,审计并验证电子邮件身份验证配置。 使用 dnspython 查询 TXT 记录,验证 SPF 语法和查询次数,核查 DKIM 选择器记录, 解析 DMARC 策略,识别可能导致电子邮件欺骗的错误配置。并生成修复建议。

implementing-email-sandboxing-with-proofpoint

9
from killvxk/cybersecurity-skills-zh

邮件沙箱在隔离环境中引爆可疑附件和 URL,以检测零日恶意软件和规避性钓鱼载荷。Proofpoint 定向攻击防护(TAP)是业界领先的解决方案,使用多阶段沙箱、URL 重写和预测分析。

implementing-dmarc-dkim-spf-email-security

9
from killvxk/cybersecurity-skills-zh

SPF、DKIM 和 DMARC 是邮件认证的三大支柱,共同防止域名伪造、验证消息完整性并定义处理未认证邮件的策略。正确实施可显著减少冒充组织域名的钓鱼攻击。

hunting-for-supply-chain-compromise

9
from killvxk/cybersecurity-skills-zh

狩猎供应链入侵指标,包括木马化软件更新、受损依赖项、未授权代码修改和被篡改的构建产物。

detecting-wmi-persistence

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。

detecting-t1548-abuse-elevation-control-mechanism

9
from killvxk/cybersecurity-skills-zh

通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。

detecting-t1055-process-injection-with-sysmon

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式,检测进程注入技术(T1055),包括经典 DLL 注入、进程镂空和 APC 注入。