网络钓鱼攻击是网络犯罪分子的流行攻击媒介，因为它们简单有效。精心设计的网络钓鱼电子邮件比零日漏洞更容易开发，但也会产生同样的负面影响。这些攻击旨在掠夺人性。人们希望乐于助人，服从权威，并且在匆忙或遇到压力时更有可能不那么小心。

网络钓鱼者在攻击中利用了这些因素以及更多因素，网络钓鱼电子邮件可以有多种形式。虽然一些网络钓鱼攻击的范围很广，但其他网络钓鱼攻击（如鱼叉式网络钓鱼攻击）则非常适合他们的目标。在某些情况下，攻击者会冒充权威人士或其他受信任方来实现其目标。

网络钓鱼计划也不限于电子邮件。攻击者可以利用企业协作平台和移动设备上的通信应用程序来执行攻击。

此处描述的五种攻击代表攻击者几乎不需要复杂性，但使他们能够从组织中窃取数千万美元。

Facebook 和 Google

2013 年至 2015 年期间，Facebook 和谷歌因网络钓鱼活动扩大而被骗了 1 亿美元。钓鱼者利用了两家公司都使用台湾公司广达作为供应商这一事实。攻击者向冒充广达的公司发送了一系列虚假发票，Facebook 和谷歌都支付了这些发票。

最终，骗局被发现，Facebook 和谷歌通过美国法律体系采取了行动。攻击者在立陶宛被捕并被引渡，通过法律诉讼，Facebook 和谷歌能够从他们被盗的 1 亿美元中追回 4970 万美元。

克里兰银行

比利时的 Crelan 银行是商业电子邮件泄露 (BEC) 骗局的受害者，该公司损失了大约 7580 万美元。这种类型的攻击涉及网络钓鱼者破坏公司内高级管理人员的账户，并指示其员工将资金转移到攻击者控制的账户。Crelan Bank 网络钓鱼攻击是在内部审计期间发现的，该组织能够吸收损失，因为它有足够的内部储备。

FACC

奥地利航空零件制造商 FACC 也因 BEC 骗局而损失了大量资金。2016 年，该组织宣布了这次攻击，并透露一名冒充公司首席执行官的网络钓鱼者指示会计部门的一名员工向攻击者控制的银行账户发送 6100 万美元。

这起案件的不同寻常之处在于该组织选择解雇并对其首席执行官和首席财务官采取法律行动。该公司向两名高管寻求 1100 万美元的赔偿，原因是他们未能正确实施本可以阻止攻击的安全控制和内部监督。该诉讼向组织高管展示了在网络安全方面未进行“尽职调查”的个人风险。

Upsher-Smith 实验室

2014 年，针对明尼苏达州一家制药公司的 BEC 攻击导致攻击者损失超过 3900 万美元。网络钓鱼者冒充 Upsher-Smith Laboratories 的首席执行官，向该组织的应付账款协调员发送电子邮件，指示发送某些电汇，并遵循与攻击者合作的“律师”的指示。

该攻击在中途被发现，使该公司能够召回发送的九个电汇之一。这将公司的成本从 5000 万美元降低到 3900 万美元。尽管有许多错过的“危险信号”，该公司还是决定起诉其银行进行转账。

Ubiquiti 网络

2015 年，总部位于美国的计算机网络公司 Ubiquiti Networks成为 BEC 攻击的受害者，该公司损失了 4670 万美元（他们预计其中至少可以追回 1500 万美元）。攻击者冒充公司首席执行官和律师，并指示公司首席会计官进行一系列转账以完成一项秘密收购。在 17 天的时间里，该公司向俄罗斯、匈牙利、中国和波兰的账户进行了 14 次电汇。

直到 FBI 通知该公司的香港银行账户可能是欺诈的受害者时，该事件才引起 Ubiquiti 的注意。这使公司能够停止任何未来的转移，并试图尽可能多地追回被盗的 4670 万美元（约占公司现金头寸的 10%）。