在短短12個月內，攻擊者試圖通過供應商郵件欺詐(Vendor Email Compromise, VEC)竊取超過3億美元，其中7%的攻擊涉及曾參與過之前攻擊的員工，據Abnormal AI的數據顯示。

供應商郵件欺詐風險隨企業規模增大而上升

員工難以區分合法郵件與攻擊郵件，特別是當這些郵件看似來自可信賴的供應商時，在員工人數達到50000人或以上的大型組織中，員工對VEC郵件進行進一步操作(如回復或轉發)的比率最高。

在所有地區，大型企業中72%閱讀過VEC郵件的員工會繼續與其互動，采取后續行動，如回復或轉發。

“基于電子郵件的社交攻擊從未如此令人信服或有效，”Abnormal AI的CIO Mike Britton表示。“攻擊者正在劫持合法的供應商對話線程，并精心制作復雜的郵件，這些郵件能夠繞過傳統的防御措施而不被發現，由于員工認為這些郵件是真實的，他們正以驚人的速度與之互動?！?/p>

電信行業的VEC參與率最高，達到71.3%，遠高于排名第二的能源/公用事業行業的56%。銷售角色，尤其是初級銷售人員，是最脆弱的群體之一，初級銷售人員對已閱讀的VEC攻擊郵件的參與率高達86%。

VEC威脅在EMEA地區上升

盡管該地區的企業對商業郵件欺詐(BEC)攻擊保持高度警惕，但它們仍特別容易受到VEC攻擊。

例如，在EMEA地區，VEC的參與率比BEC高出90%，且重復參與VEC的比率是任何地區中最高的，是BEC的兩倍多，這表明員工更信任外部方(如供應商)，而非內部來源，這使得他們特別容易受到供應商偽裝攻擊的影響。

此外，EMEA地區的企業對VEC的報告率在所有地區中最低(0.27%)，但對BEC的報告率最高(4.22%)。

電子郵件安全報告不足

只有1.46%的已讀文本型高級電子郵件攻擊被報告。以一家擁有1500-3000名員工的中型企業為例，在2024年3月至2025年3月期間，其每月平均收到的文本型高級攻擊郵件約為每1000個郵箱560封，這意味著，每月估計有840-1680起攻擊未被報告給安全團隊。對于大型企業而言，這一數字可能更高。

一些員工可能認為，只要他們不與攻擊者互動，就已經履行了對組織的義務，但安全專業人員知道，刪除郵件而不報告可能同樣具有破壞性，因為這消除了安全運營中心(SOC)團隊調查、修復相關消息并采取措施減少類似攻擊漏洞的機會。

每當員工需要判斷郵件是否合法時，人為錯誤的風險就會增加，如果他們判斷錯誤，網絡犯罪分子將毫不猶豫地利用這一機會，并造成影響整個企業的財務后果。

“雖然VEC的數量仍然低于網絡釣魚或勒索軟件，但其成功率——以及潛在的財務影響——要大得多，特別是隨著攻擊性AI使攻擊者更容易冒充可信賴的供應商，”Britton補充道，“為了防止代價高昂的人為錯誤，企業必須超越被動培訓，采取主動防御措施，在威脅到達收件箱之前就將其攔截?！?/p>