最近出現一種新的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email CompromiseHYPERLINK BEC)手法，攻擊者會誘騙收件人變更薪資自動轉帳的路徑。根據 CNBC 的報告，這類 BEC 詐騙的數量越來越多；例如位於堪薩斯市的非營利兒福機構「KVC 健康醫療系統」每個月平均會收到二到三次這類郵件。

攻擊者冒充執行長、財務長或薪資主管，將詐騙郵件寄給人資部門人員，要求該職員變更員工的銀行帳戶和轉帳資訊，使該員工的薪資直接存入偽裝帳戶。

[請參閱：不只是企業高層主管，變臉詐騙也將開始鎖定一般員工]

詭計多端的社交工程不斷上演

這種新的 BEC 手法和類似的詐騙都不需要複雜的技術手段，主要是仰賴社交工程攻擊而得逞。歹徒不必使用鍵盤側錄或遠端存取工具來入侵合法的電子郵件帳戶。

在這種新的 BEC 手法中，攻擊者會使用 Gmail 這類免費服務產生社交工程電子郵件，並且在精心製作之下，使偽裝的郵件看似一切合法正當。如同其他類似手法，BEC 攻擊者可能會利用員工博取公司高層青睞的心理，誘使收件人積極回應。

在這種攻擊中，受害者會收到精心編撰的電子郵件；通常行文簡潔有禮，但顯得有些急迫。在報告引用的一封電子郵件範例中，詐騙者要求收件人在下一次發薪之前變更入帳資訊。攻擊者也可能矇騙收件人，防止他們打電話給主管確認，例如在一封電子郵件中，攻擊者寫道「我現在要去開會」，避免收件人立即聯繫對方。

[請參閱：隨著網路安全工具持續發展，會出現更智慧的網路釣魚技術]

電子郵件詐騙影響公司營運和員工士氣

BEC 這類電子郵件詐騙一旦得逞，會給公司和員工帶來沉重負擔。