想像一下:你的財務主管收到一封來自 CEO 的郵件,語氣急切地要求立即匯款給一個「新供應商」。郵件的語法完美、格式正確、甚至引用了一個真實的專案代號。財務主管照辦了——然後公司就損失了數百萬元。
這不是假設。商業電子郵件詐騙(Business Email Compromise, BEC) 是目前全球企業面臨的最昂貴網路威脅之一。
數字說明一切
根據 FBI 網路犯罪中心(IC3) 2024年報告指出:
| 指標 | 數據 |
|---|---|
| 2024 年 BEC 損失 | 27.7 億美元 |
| 2022-2024 三年累計損失 | 近 85 億美元 |
| 2024 年通報案件數 | 21,442 件 |
| 遭受 BEC 攻擊的企業比例 | 63% |
| 2025 Q1 電匯型 BEC 增幅 | +33% |
在所有網路犯罪類型中,BEC 的單次損失金額僅次於投資詐騙,但它的「成功率」更高——因為攻擊的不是系統漏洞,而是人的信任。
AI 讓 BEC 更加致命
過去 BEC 郵件可能因為拼字錯誤或語法不通順而被識破。但 AI 改變了遊戲規則:
- 生成式 AI 驅動的釣魚郵件暴增 1,265%
- 36% 的資料外洩事件以釣魚攻擊為初始媒介
- AI 能根據目標的 LinkedIn 職位、公司新聞、產業用語,客製化出幾乎無懈可擊的郵件
根據 Abnormal AI 的 2025 上半年報告,77% 的進階攻擊被歸類為釣魚,BEC 攻擊量在 2023-2024 年間成長超過 50%。企業每週遭遇「供應商電郵詐騙」(VEC)的機率高達 70%。
企業如何防禦
- 建立匯款雙重確認流程:任何超過門檻的匯款,必須透過電話或當面確認,不能僅憑郵件
- 部署 AI 郵件安全系統:能分析寄件者行為模式、偵測語意異常和寄件位址偽造
- 定期社交工程演練:模擬 BEC 攻擊測試員工警覺度,將防詐融入企業文化
- 管控供應商變更流程:任何付款資訊變更都需要經過獨立管道驗證
BEC 的核心武器不是技術——是信任。防禦的關鍵也不只是更好的郵件過濾器,而是讓每個員工都成為一道防線。
資料來源:FBI IC3 Annual Report 2024、Abnormal AI H1 2025 Report、Deepstrike Phishing Statistics 2025、APWG Trends Report Q1 2025