攻击与威胁
发票诈骗
别称: 收款人变更诈骗, 供应商诈骗
定义
攻击者发送伪造发票或篡改真实发票,把付款引流到他们控制的银行账户的诈骗手法。
发票诈骗位于商业邮件诈骗和财务内控的交叉点。攻击者可能伪造供应商地址、劫持其真实邮箱,或注册相似域名,随后发送 "更换收款账户" 的通知或经过篡改的 PDF 发票,把 IBAN/SWIFT 改为自己。更高级的变种会插入到已存在的邮件线程中(线程劫持),在财务正等待真实发票时下手。防御措施包括通过已知电话进行账户变更核验、对供应商主数据的管控、付款的双重审批、严格的 DMARC reject 策略,以及对外部或相似域名邮件的明显警示。
示例
- 与供应商相似的域名在季度付款前向财务发送 "更新后的银行信息"。
- 被劫持的供应商邮箱在原有报价邮件中回复一份附带攻击者 IBAN 的 PDF 发票。