【安全资讯】英国能源公司Zephyr Energy因支付欺诈损失70万英镑

概要：

在数字化支付日益普及的今天，针对企业财务流程的网络欺诈正构成严峻威胁。近日，专注于美国落基山脉地区资产开发的英国上市能源公司Zephyr Energy plc披露，其一家美国子公司遭遇了一次“高度复杂”的网络攻击，导致一笔约70万英镑的承包商付款被悄然重定向至攻击者控制的账户。这一事件凸显了即使不直接入侵核心网络，攻击者也能通过操纵合法业务流程窃取巨额资金。

主要内容：

此次事件的核心在于攻击者成功劫持了常规的支付流程。Zephyr Energy并未详细说明攻击的具体技术细节，但根据事件描述，这很可能是一起典型的商业邮件欺诈（BEC）或供应链支付欺诈。攻击者可能通过钓鱼邮件或其他社会工程学手段，窃取了财务人员的凭证或诱骗其更改了收款方账户信息，从而在合法的付款请求中植入了恶意指令。

攻击的成功关键在于其高度隐蔽性和对正常业务流程的模仿。资金在看似常规的支付操作中被转移至第三方账户，直到事后核查才发现异常。这种攻击不依赖于复杂的恶意软件或零日漏洞，而是利用了支付授权流程中可能存在的人为疏忽或验证环节的薄弱点。

事件发生后，Zephyr Energy迅速采取了应对措施，包括通知执法部门、与银行及外部顾问合作试图追回资金，并对自身系统进行了审查。公司强调日常运营未受影响，并已加强了安全措施， likely 包括更严格的支付验证流程、对供应商银行信息变更的强化控制，以及推行大额转账前的电话确认制度。

尽管公司表示有充足的营运资金来消化此次损失，但这一事件为所有企业敲响了警钟：在2026年的网络安全环境下，针对财务系统的定向欺诈已成为一种高效且危险的攻击手段，防御重点需从单纯的网络边界防护扩展到对关键业务流程的深度监控与验证。