商业冒充欺诈随着AI驱动的购物诈骗演变

执行摘要

企业身份验证中的基本弱点使得各种欺诈行为得以发生，从传统的支票兑现计划到复杂的、由人工智能驱动的购物诈骗，导致高价值实物商品的盗窃。根据Recorded Future的Insikt Group的研究，威胁行为者正在利用相同的系统性漏洞——供应商和金融机构无法可靠地验证企业身份——来冒充合法公司，建立欺诈性信用额度，并订购从未支付的商品。这种欺诈即服务的生态系统在零售、制造和物流领域造成了直接的财务损失、供应链中断和声誉损害。

技术分析

Insikt Group研究人员详细描述的欺诈过程并不依赖于软件漏洞，而是依赖于B2B商业中的系统性程序失败。攻击链始于侦察，威胁行为者从公共来源如商业登记册、LinkedIn和财务披露中收集目标公司的信息。利用这些数据，他们创建了令人信服的商业文件伪造品，包括公司注册证书、美国国税局雇主识别号（EIN）确认信和银行对账单。这些文件被用来与批发分销商或零售商建立新账户，通常要求净30或净60的付款条件。

一旦建立了信用，行为者就会下订单购买高转售价值的商品，如设计师服装、电子产品或药品。一个关键技术是使用“装载”订单：从小型合法购买开始建立信任，然后下大的最终订单，该订单将不予支付。欺诈行为通常通过滥用物流网络而加剧；行为者可能使用被盗或合成身份在商业邮件接收机构、空置物业或通过不知情的“金钱骡子”接收货物。研究表明，越来越多地使用AI来自动化这个过程的部分，如生成伪造的企业文件或模仿电子邮件和电话中的沟通风格，以绕过人为审查。

入侵指标

目前没有识别出任何指标。威胁主要通过欺诈性的财务和行政交易表现出来，而不是通过恶意软件或网络入侵，使得技术IOCs不如行为红旗相关。

战术、技术与程序

• T1589.001: 收集受害者身份信息（员工详情）： 收集公司官员、商业登记号码和财务概况的公开可用数据。
• T1588.002: 获取能力（代码签名证书）： 伪造或非法获取官方商业文件和税务ID以支持冒充。
• T1656: 冒充： 创建一个完整合成身份的合法或虚构企业以建立贸易信用。
• T1657: 金融盗窃： 滥用信用条款以获取无支付意图的商品，然后迅速转售（“兑现”）。
• T1658: 供应链拦截： 操纵运输指示并使用投递地址接收被盗商品。

威胁行为者背景

这种活动并未归因于一个特定的命名威胁组织，而是金融动机网络犯罪生态系统的特征，包括专门从事商业电子邮件泄露（BEC）和传统欺诈的行为者。Insikt Group报告直接将使用伪造支票排空企业银行账户的低技术欺诈团伙与利用相同身份差距进行大规模商品盗窃的更高级操作联系起来。向纳入AI工具的演变表明，这些战术正在变得更加可扩展和易于访问，可能会降低对不太复杂犯罪分子的进入门槛。这些行为者的运营安全性很高，因为他们利用一次性数字身份并通过加密货币或被盗商品的转售来洗钱。

缓解措施与建议

组织，特别是在B2B销售和分销领域，必须超越基于文件的验证。建议包括：

• 实施多因素商业验证： 使用独立的、带外渠道来确认新商业客户的合法性。使用官方网站上公开列出的电话号码回拨，而不是申请表上提供的号码。
• 分析行为模式： 监控红旗，如新客户立即要求高信用额度，订单与公司的典型概况严重偏离，或货运地址是商业邮件接收机构或表面上的商业实体的住宅物业。
• 加强尽职调查： 将申请数据与官方政府商业登记册和信用局进行交叉核对。对最近成立的企业保持警惕。
• 建立清晰的内部协议： 定义并执行严格的程序，用于建立新客户账户和批准大宗或不寻常的订单，特别是对于首次客户。
• 合作和共享情报： 参与行业信息共享小组，报告并了解针对您所在行业的企图欺诈计划。