当一封看似来自“高管领导力培训机构”的邮件出现在企业应付账款人员的收件箱,附带伪造的高管沟通记录和接近5万美元的发票时,很少有人能意识到,这是一场横跨三大洲的工业化诈骗陷阱的开端。2024年年中被Fortra FIRE团队锁定的Scripted Sparrow犯罪集团,正以每月300万至660万封定向邮件的量级,构建起一个覆盖全球的BEC(商务电邮诈骗)攻击机器。其独特的“伪装-筛选-收割”闭环、精准的流程漏洞利用和持续进化的反检测技术,已让全球企业累计损失数百万美元,成为新时期网络诈骗的典型范本。
一、犯罪帝国:横跨三洲的工业化运作体系
Scripted Sparrow的可怕之处,在于其彻底摆脱了传统诈骗的“作坊式”模式,构建起一套标准化、规模化的犯罪生态,从人员部署到基础设施均呈现高度组织化特征。
(一)全球化分布式团队
该集团成员遍布尼日利亚、南非、土耳其、加拿大、美国三大洲五国,形成了无固定总部的去中心化运作模式。为隐藏真实身份与位置,成员普遍使用VPN、浏览器地理位置欺骗插件和远程桌面协议(RDP)开展操作,曾出现5秒内将GPS定位从旧金山切换至多伦多的极端伪装案例。团队通过Telegram等加密通讯工具协同,实现了情报收集、邮件投递、资金转移等环节的高效配合。
(二)规模化基础设施集群
支撑其海量攻击的是一套庞大的资源储备:注册119个仿冒域名(偏好NameSilo和Dynadot注册商)、245个网页邮箱账号,以及256个用于接收赃款的“骡子银行账户”。更值得警惕的是,其76%的欺诈PDF附件(发票、W-9表格)通过Skia图形库自动化生成,无需人工干预即可完成批量制作,极大提升了攻击效率。Fortra研究显示,仅其中一个关联域名korn ferry.ws就已针对23家企业的70名用户发起攻击,按市场覆盖率推算,其单条攻击线索背后可能对应7万条实际投递记录。
(三)指数级攻击体量
自2024年6月活跃以来,Scripted Sparrow的攻击规模持续扩大,2025年9月达到峰值660万封。这些邮件并非盲目群发,而是精准锁定企业应付账款部门员工,且已出现瑞典语等非英文版本,显示其正在加速向全球非英语市场扩张,本地化适配能力不断提升。截至2025年底,Fortra团队已记录496起明确攻击事件,而实际受影响的企业数量可能数以万计。
二、猎杀闭环:四步走的精准诈骗流程
Scripted Sparrow摒弃了传统BEC“直接指令付款”的简单模式,设计了一套环环相扣的四阶段攻击流程,通过心理操控与风险控制的结合,将付款成功率提升至新高度。
(一)情报与伪装:构建可信身份叙事
攻击的起点是精准情报收集,团伙会通过公开渠道搜集目标企业高管姓名、职务、联系方式,以及应付账款部门员工邮箱等核心信息。在此基础上,他们伪装成“高管教练/领导力培训机构”,如“The Catalyst Executive Circle”“精英高管联盟”等听起来极具权威性的机构,构建虚假身份背书。
更关键的是,攻击者会伪造完整的“机构-高管”邮件回复链,将虚构的咨询合作沟通记录嵌入邮件正文,让财务人员误以为该笔支出已获得高管提前认可,从源头降低警惕性。同时,自动化生成标准化的欺诈材料,包括金额固定为49,927美元的发票(刻意低于5万美元常见审批阈值)和伪造的W-9税务表格,形成“身份-沟通-凭证”三位一体的可信叙事。
(二)两阶段投递:筛选高价值目标
为规避邮件安全网关检测并验证目标轻信度,团伙采用独特的两阶段投递模式:
- 第一阶段发送“缺附件诱饵邮件”,声称邮件包含发票和W-9表格却故意不附加,引导收件人主动回复索要。这一步的核心目的是筛选出愿意配合的潜在受害者,建立初步信任对话,同时避免过早暴露骡子账户信息。
- 第二阶段在收到受害者回复后,立即发送带欺诈附件的邮件,附带详细的转账指引。此时受害者已进入“主动配合”状态,且邮件互动模式更接近正常业务沟通,极大降低了被拦截或质疑的概率。
(三)收款与洗钱:切断溯源路径
一旦受害者完成付款,资金会迅速流入预先准备的骡子账户。为逃避追踪,团伙采用“多层转账+虚拟货币洗白”的组合模式:先通过多个中间账户快速拆分资金,再转入虚拟货币钱包完成跨境转移,整个过程通常在24至48小时内完成,让执法部门难以追溯资金流向。
(四)案例实证:一场精准的流程诈骗
某跨国企业应付账款员工收到署名“精英高管联盟”的邮件,正文包含该机构与公司CEO的“历史沟通记录”,声称已完成高管领导力培训,随信附上49,927美元发票及W-9表格(实际未附)。员工按常规回复索要附件后,收到了伪造的PDF文件,因金额未达审批上限,且有“高管沟通记录”背书,直接完成付款流程。直到财务对账时发现异常,才核实CEO从未接触过该机构,而资金已通过三层转账转入土耳其某骡子账户,最终仅追回不足10%的损失。
三、核心优势:区别于传统BEC的四大进化特征
Scripted Sparrow之所以能在短时间内形成规模化威胁,关键在于其精准抓住了企业防御漏洞,形成了四大核心竞争优势,彻底颠覆了传统BEC攻击逻辑。
(一)社会工程学升级:从“指令式”到“叙事式”
传统BEC多直接冒充CEO发送付款指令,易被员工识别;而该团伙构建完整的“机构-高管”合作叙事,通过伪造历史邮件链营造“长期合作”假象,让付款请求更具合理性。这种“叙事式”欺骗更符合企业业务场景,信任门槛更低,成功率提升3至5倍。
(二)金额设计精准:利用流程漏洞降低阻力
49,927美元的固定金额并非随机选择,而是精准卡在多数企业5万美元的审批阈值以下。这一设计让付款请求可通过常规流程审批,无需高层额外确认,恰好利用了企业财务“小额快速支付”的效率诉求,大幅降低操作阻力。
(三)自动化与风控结合:兼顾规模与安全
团伙通过Skia库自动化生成邮件和附件,实现百万级批量投递;同时通过两阶段筛选机制,仅向“主动回复”的目标暴露核心支付信息,有效降低骡子账户因频繁使用而被标记的风险,实现了“规模扩张”与“风险控制”的平衡。
(四)反检测技术迭代:绕过传统防御体系
为突破邮件安全网关,团伙采用“无附件首封邮件”策略,规避附件检测规则;通过篡改邮件头信息、伪造发件人信誉值,绕过发件人验证机制;更通过模仿正常业务沟通的互动模式,降低邮件安全系统的风险评分,投递成功率比传统BEC攻击高出60%以上。
四、未来趋势:三大演进方向加剧防御挑战
基于对其运作模式和行业趋势的分析,Scripted Sparrow的攻击策略将呈现三大演进方向,未来威胁将进一步升级。
(一)地域扩张:加速非英语市场渗透
目前已出现的瑞典语邮件表明,团伙正针对不同地区定制本地化话术和文件,下一步可能向德语、法语、西班牙语等主流非英语市场扩张,通过语言适配降低目标警惕性,扩大攻击覆盖面。
(二)技术融合:引入AiTM提升欺诈逼真度
参考微软近期披露的BEC攻击趋势,Scripted Sparrow可能引入AiTM(中间人攻击)技术,通过伪造企业登录页面窃取员工邮箱凭据,进而获取真实的内部沟通记录和格式模板,让伪造的邮件链、发票更难被识别。同时可能采用住宅IP代理服务,让攻击来源更接近目标所在地,规避“不可能的旅行”检测规则。
(三)产业链协同:整合更多黑产资源
未来可能与域名黑市、虚拟货币洗钱平台、身份信息交易市场深度协同,获取更优质的仿冒域名、更隐蔽的洗钱通道和更精准的企业情报,进一步提升攻击效率和抗打击能力。此外,可能将攻击目标从中小企业向大型企业和金融机构延伸,单笔欺诈金额可能突破10万美元。
五、防御突围:技术-流程-人员三位一体策略
面对Scripted Sparrow这类工业化BEC攻击,单一的技术防御已难以奏效,必须构建“技术拦截+流程加固+人员赋能”的三位一体防御体系,实现全链路风险管控。
(一)技术防御:构建多层检测屏障
- 部署高级邮件安全网关,开启发件人身份验证(DMARC)、邮件头篡改检测、附件静态分析等功能,重点拦截“声称有附件却无附件”的异常邮件。
- 引入PDF元数据检测工具,识别Skia库生成的自动化文档特征,对批量出现的相似格式PDF进行标记预警。
- 建立网络行为监控系统,重点监测短时间内大量发送至应付账款部门的邮件、异常IP登录(尤其是跨境IP)、频繁修改登录地址等行为。
- 采用多因素身份验证(MFA),尤其是针对邮件系统和财务系统,避免凭据被盗后引发的账户冒用。
(二)流程加固:堵住管理漏洞
- 修订付款审批规则,将49,927美元等接近阈值的金额纳入“高风险区间”,强制要求电话或当面核实高管,禁止仅通过邮件确认付款。
- 建立供应商白名单制度,所有合作机构的银行账户信息需通过官方渠道核实备案,禁止通过邮件接收账户变更通知。
- 规范财务操作流程,要求所有付款必须通过ERP系统发起,关联合同、订单等凭证,禁止直接依据邮件发起支付。
- 建立应急响应机制,明确可疑付款的上报流程、资金冻结路径和执法对接渠道,缩短响应时间。
(三)人员赋能:提升识别能力
- 针对应付账款团队开展专项培训,重点讲解“伪造邮件链”“缺附件诱饵”“精准金额设计”等Scripted Sparrow典型特征,每月进行模拟攻击测试。
- 建立可疑邮件上报激励机制,鼓励员工对“高管相关”“培训机构”“接近审批阈值金额”的付款请求保持警惕,及时上报核查。
- 定期分享行业最新攻击案例,让员工了解BEC攻击的进化趋势,避免形成固定认知误区。
六、结语:对抗工业化诈骗的长期战役
Scripted Sparrow的崛起,标志着BEC攻击已进入“工业化、精准化、全球化”的新阶段。其运作模式不再是单一的技术诈骗,而是融合了社会工程学、流程漏洞利用、黑产资源整合的复合型犯罪。对企业而言,防御这类威胁不能依赖临时补丁,而需建立动态进化的安全体系——技术层面持续更新检测规则,流程层面不断堵塞管理漏洞,人员层面保持警惕意识。
随着数字化转型的深入,企业对邮件沟通的依赖度短期内难以降低,BEC攻击的土壤将长期存在。未来,攻击与防御的对抗将聚焦于“智能化”与“精准化”的博弈。只有提前布局、多维防控,才能在这场与犯罪集团的长期战役中占据主动,守护企业的财务安全与数据安全。
