Skill

detecting-business-email-compromise-with-ai

Deploys AI/NLP-driven detection system for business email compromise (BEC) attacks, analyzing writing style, behavior patterns, and contextual anomalies to catch rule-evading fraud.

security

ai-ml

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

AI 驱动的 BEC 检测使用机器学习、NLP 和行为分析来识别不包含恶意链接或附件的复杂冒充攻击。传统基于规则的过滤器会遗漏这些攻击，因为 BEC 完全依赖社会工程学。现代 AI 方法分析写作风格、语调、词汇、语法模式和行为上下文，以确定邮件是否真实来自所声称的发件人。基于 BERT 的模型在 BEC 检测中达到 98.65% 的准确率，AI 增强平台比基于关键词的规则显示出钓鱼识别率提升 25%。

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

detecting-business-email-compromise-with-ai

Deploys AI/NLP systems to detect business email compromise attacks by analyzing writing style, behavioral patterns, and contextual anomalies. For SOC threat hunting and incident response.

asi

detecting-business-email-compromise-with-ai

5.9k

Deploys AI/NLP systems to detect business email compromise attacks by analyzing writing style, behavioral patterns, and contextual anomalies in emails.

7 files

cybersecurity-skills

detecting-business-email-compromise

Detects business email compromise (BEC) attacks using email gateway rules, behavioral analysis, and financial controls. Useful for phishing defense against executive impersonation and fraud.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

使用 AI 检测商业邮件欺诈

概述

前置条件

AI 驱动的邮件安全平台（Abnormal Security、Tessian、Microsoft Defender）
用于基线训练的历史邮件数据（最少 30 天）
与邮件平台的集成（Microsoft 365 或 Google Workspace）
用于告警关联和调查的 SIEM
了解 BEC 攻击类型（FBI IC3 分类）

实施步骤

步骤一：部署 AI 邮件安全平台

选择基于 API 的解决方案（Abnormal Security、Tessian、Ironscales）或增强现有邮件安全网关（SEG）
连接到 Microsoft Graph API 或 Google Workspace API
允许对历史邮件数据进行 48 小时基线学习期
配置集成以扫描入站、出站和内部邮件
验证用于消息访问和修复的 API 权限

步骤二：配置行为基线

AI 学习正常通讯模式：谁发邮件给谁、频率、语调
为每位用户建立写作风格档案（词汇、句子结构）
按角色映射典型请求类型（财务处理付款，HR 处理 PII）
邮件元数据基线：典型发送时间、设备、位置
将偏离已建立基线的情况标记为异常

步骤三：训练 NLP 模型进行 BEC 检测

部署基于 Transformer 的模型（BERT、GPT）进行邮件内容分析
检测紧迫性和操控性语言模式
识别发件人身份与写作风格之间的不匹配
分析指示社会工程学压力的情感变化
分类邮件意图：信息请求、付款请求、凭据请求

步骤四：配置检测策略

VIP 冒充：AI 将新邮件与已知高管通讯模式进行比较
供应商冒充：检测来自供应商仿冒域名的付款变更请求
账户入侵：检测员工邮件行为的突然变化
供应链 BEC：监控对可信合作伙伴的冒充
配置自动封锁与警告横幅与分析师审查的置信度阈值

步骤五：与响应工作流集成

对高置信度 BEC 检测自动隔离
对中等置信度检测添加警告横幅
将可疑邮件路由到 SOC 分析师队列进行审查
与 SOAR 集成实现自动化响应剧本
将 BEC 裁决反馈到训练数据以改进模型

工具与资源

Abnormal Security：具有行为分析的基于 API 的 AI 邮件安全
Microsoft Defender for O365：内置 AI 反 BEC 和冒充者分类器
Tessian（Proofpoint）：具有人员层保护的 AI 驱动邮件安全
Ironscales：AI + 人在回路 BEC 检测
Darktrace Email：用于邮件威胁检测的自学习 AI

验证

AI 检测无恶意指标的测试 BEC 邮件（纯社会工程学）
写作风格分析识别对已知高管的冒充
行为基线标记来自已入侵账户的异常付款请求
NLP 正确分类测试场景中的紧迫性操控
基线训练后误报率低于 0.05%
检测率比传统基于规则的过滤器高出 25% 以上