This story was originally published on CFO Dive. To receive daily news and insights, subscribe to our free daily CFO Dive newsletter. Dive Brief: Cyber insurance prices are expected to remain flat through at least the first half of 2026, after “market softening conditions” that began three years ago have now mostly stabilized, according to global insurance broker Arthur J. Gallagher & Co. The industry’s pricing has retreated from the highs that occurred in the very beginning of the “hard market cycle” o ...

当前应付账款欺诈的主要类型与手法 - 虚假银行账户变更请求是增长最快的威胁，欺诈者冒充合法供应商要求“更新”银行信息，导致付款被转至犯罪账户 澳大利亚联邦警察报告此类攻击在两年内激增43%，单次损失常达六至七位数 [1] - 人工智能生成的欺诈技术，如深度伪造语音通话和合成发票，使欺诈更难被察觉，这些骗局利用了应付账款部门对熟悉声音和文件格式的天然信任 [2] - 商业电子邮件入侵是主要手段，攻击者使用相似域名冒充供应商或高管 美国联邦调查局报告过去五年BEC骗局累计造成超过140亿美元损失，应付账款部门是最常见目标之一 [2] - 重复和篡改发票，欺诈者提交经微小调整的合法发票，如新号码、略改日期或变更银行账户，指望工作过度的员工忽略差异 [3] - 利用手动流程的内部欺诈，能够接触供应商数据的员工可在无审计追踪的情况下操纵银行信息或创建虚假供应商 注册舞弊审查师协会估计账单欺诈事件的中位损失为每起14万美元 [3] 欺诈激增的驱动因素与现状 - 欺诈频率、复杂性和财务影响正以前所未有的速度加速 根据2025年AFP支付欺诈与控制调查，71%的组织去年成为支付欺诈目标，超过三分之一的攻击涉及虚假银行账户变更请求 [8] - 有限的员工培训是薄弱环节，根据普华永道2025年全球经济犯罪调查，不到三分之一的财务员工接受定期的反欺诈教育 [4] - 薄弱或不一致的控制措施，许多组织仍依赖手动验证或分散的供应商入驻流程 [5] - 数据泄露助长了针对性攻击，为诈骗者提供了冒充真实供应商所需的一切信息 [5] - 犯罪手段日趋复杂，当今欺诈者使用AI生成文本、克隆标识甚至深度伪造音频来制造令人信服的虚假请求 [5] - 对电子邮件的依赖构成风险，近90%的发票和付款通信仍通过不安全的电子邮件渠道进行，为欺骗创造了无尽机会 [6] - 美国联邦调查局互联网犯罪投诉中心报告2024年商业电子邮件入侵损失超过30亿美元，较前一年增长近20% [6] 传统流程的缺陷与挑战 - 传统供应商入驻和主数据流程存在诸多漏洞，手动流程引入错误和延迟，缺乏验证意味着欺诈者可未被察觉地通过，分散的数据隐藏了危险信号 [15] - 缺乏实时检查增加了合规风险，未对OFAC、制裁或纳税人识别号数据库进行实时检查会带来合规风险，通过电子邮件收集的银行详细信息容易被截获，无审计追踪则无法追溯批准人与时间 [15] - 全球验证的复杂性，对于向全球供应商付款的公司，银行账户验证更为复杂 不同国家使用不同系统，如IBAN、SWIFT代码、本地路由号码，使得标准化检查困难 据LexisNexis Risk Solutions研究，仅约40%的全球银行系统提供实时验证 [14] - 手动检查方式已难以应对，随着交易量增长，依赖电话和电子邮件确认的方法无法扩展 每次手动检查需15-30分钟，大量请求下难免有疏漏 [17][19] - 人为错误不可避免，在压力下，即使经验丰富的员工也可能错过一位数的更改或点错按钮 根据PYMNTS 2024年AP效率研究，58%的应付账款专业人士承认因时间限制至少偶尔跳过验证步骤 [20] - 无审计追踪即无问责，口头确认不留记录，无法证明合规性 [18] 欺诈事件的后果与影响 - 财务损失仅是开始，注册舞弊审查师协会估计支付欺诈的中位损失为每起15万美元，但许多实际案例损失更高 [21] - 声誉受损，供应商对公司的控制失去信心，可能要求更严格的付款条件 [23] - 运营中断，调查、追回工作和返工消耗资源 [23] - 监管风险，缺失审计追踪可能导致合规罚款 [23] - 员工士气受挫，欺诈事件后的压力和内疚可能导致倦怠和人员流动 [23] 防范欺诈的最佳实践与解决方案 - 标准化银行变更流程，用正式、有记录的工作流程取代临时更新，使用安全在线门户处理所有供应商银行账户变更请求，要求提供作废支票或银行信函等官方文件，并建立明确的审批角色 [24] - 独立验证银行账户所有权，绝不只依赖供应商提供的信息，使用第三方数据或自动化工具确认账户属于供应商的法律实体 [22][25] - 标记并升级高风险变更，并非所有请求都相同，应优先审查高价值或高频供应商、国际账户以及标准程序外提出的请求 [26][30] - 自动化验证流程，自动化将供应商验证从反应性控制转变为预防性控制 根据AFP数据，通过自动验证每笔付款，可消除人为错误并将欺诈尝试减少60%以上 所有操作都有时间戳，每次批准和验证都有记录，形成完整的审计追踪 [28] - 自动化工作流程的典型环节包括：通过安全门户进行供应商注册、结构化数据提交、基于可信数据库的实时验证、自动审批路由以及与ERP系统的无缝集成 [30] 自动化验证解决方案的关键能力 - 评估自动化银行账户验证工具时需关注：与ERP系统的无缝集成、对国际银行账户的支持、实时所有权验证、针对不匹配情况的内置警报与升级功能以及全面的审计文档 [29][31]

全球数据泄露趋势 - 2023年全球发生55亿用户账户数据泄露事件 较2024年增长800% [2] - 2025年数据泄露数量预计将创历史新高 [2] 安联人寿数据泄露案例 - 2023年7月16日遭遇供应链攻击导致数据泄露 [3] - 黑客通过社会工程学手段伪装成IT服务台员工 [4] - 通过云客户关系管理系统窃取140万美国客户数据 [3] - 泄露数据包含姓名 地址 出生日期 社会安全号码 联系方式和保单信息等敏感财务数据 [4] 云服务安全漏洞 - 企业依赖云服务商和外部合作伙伴管理数据存在安全风险 [5] - 社会工程学攻击无需高技术含量 仅需心理操纵即可获取数据访问权限 [6] 企业防护措施 - 需建立持续网络安全意识计划 兼顾技术与人因要素 [7] - 应实施零信任策略 对所有访问进行验证并加密敏感数据 [7] - 敏感系统需采用双因素认证 即使密码被盗仍能保护数据 [7] - 可利用AI工具识别和阻止异常行为 [7]

数据泄露事件 - 美国保险巨头Allianz Life确认在2025年7月中旬发生数据泄露事件，黑客窃取了"大多数"客户、金融专业人士和员工的个人信息 [1] - 泄露发生在7月16日，黑客通过社会工程技术入侵第三方云CRM系统，获取了包含客户信息的数据库 [2] - 公司已向缅因州总检察长提交法律要求的文件披露此事，但未立即公布受影响客户数量 [3] 受影响范围 - Allianz Life拥有140万客户，其母公司Allianz在全球拥有超过1.25亿客户 [3] - 公司表示没有证据表明网络其他系统受到损害，并已通知FBI [3] - 公司未透露是否收到黑客的赎金要求或确认黑客组织身份 [4] 行业背景 - 这是过去一个月针对保险行业的一系列数据泄露事件中的最新一起，包括主要补充健康保险提供商Aflac [5] - 谷歌安全研究人员6月报告称发现保险行业多起入侵事件，归因于使用社会工程技术的黑客组织Scattered Spider [5] - 该黑客组织此前曾针对英国零售业、航空运输业和硅谷科技巨头 [6] 后续措施 - 根据缅因州文件，公司计划在8月1日左右开始通知受影响个人 [6]