Blog-如何預防ACH欺詐:8個真正有效的策略1536
Global Payment

ACH詐欺預防:保護企業的8個有效策略

Claire
金融編輯

2025年76%的企業遭遇支付詐欺。了解8個ACH詐欺預防策略——從借記攔截到雙重授權——在詐欺觸達帳戶前將其阻斷。

2026.07.17 10:47:51 · 5分鐘
根據AFP 2026年支付欺詐與控制調查報告——2026年1月對465名美國財務從業者的調研——2025年有76%的企業遭遇支付欺詐攻擊或嘗試性攻擊。ACH交易是第二大被針對的支付方式,在遭受欺詐的企業中有30%涉及ACH借記欺詐。2025年B2B ACH支付量達81億筆,同比增長9.9%。規模越大,風險敞口越大。
損失之後難以追回。收入低於10億美元的企業中,48%報告了實際財務損失;收入超過10億美元的大型企業中這一比例為66%。然而目前僅有17%的企業使用AI工具對抗支付欺詐。大多數企業仍在用人工控制手段應對日益自動化的攻擊。
本文涵蓋8個具體可操作的ACH欺詐預防策略、PhotonPay光子易如何在支付基礎設施層強化風險管控,以及欺詐發生後最初幾小時內應當採取的應對措施。

ACH欺詐是什麼,它如何發生?

ACH欺詐是指通過自動票據交換所(ACH)網絡,利用合法企業銀行賬户發起的未經授權交易。入門門檻極低:銀行路由號和支票賬號——兩者均印在每張支票上——就是攻擊者發起未授權借記所需的全部信息。
以下五種攻擊手法佔據了當今企業ACH欺詐事件的絕大多數。

5種最常見的ACH欺詐類型

  • 未授權ACH借記。 犯罪分子通過被盜支票、數據泄露或網絡釣魚獲取賬户憑證,隨後直接發起借記交易。小額試探性借記往往先於大額提款——識破試探是阻止後續大額損失的關鍵。
  • 商業郵件欺詐(BEC)。 根據AFP 2026年報告,2025年有74%的企業受到BEC影響。攻擊者冒用或入侵企業郵件賬户,插入現有付款流程,提交看似來自已知聯繫人的銀行賬户變更請求,將ACH轉賬重定向至受攻擊者控制的賬户。
  • 賬户接管(ATO)。 通過網絡釣魚、惡意軟件或憑證填充攻擊竊取的登錄憑證,讓攻擊者直接訪問網銀系統。他們從賬户內部發起ACH付款,使交易在網絡層面看起來完全合法。
  • 薪資轉移欺詐。 內部不良行為者或擁有薪資系統訪問權限的攻擊者,篡改直接存款路由信息,將員工薪資重定向至未授權賬户。這類變更往往要經歷多個薪資周期才會被察覺。
  • 供應商冒充。 攻擊者冒充現有供應商,通過郵件申請變更銀行賬户信息。如果沒有電話核實,下一筆計劃中的ACH付款就會進入攻擊者賬户,而非合法供應商。

如何預防ACH欺詐:8個策略

以下每個策略都針對一種特定的攻擊途徑。疊加多重控制措施——而非依賴單一手段——是有效欺詐防控程序與合規打卡之間的本質區別。

1. 啓用ACH借記攔截與過濾

ACH借記攔截指令銀行自動拒絕所有入賬ACH借記請求——無例外,無人工審核。ACH借記過濾器則更精細:只允許來自預先授權公司ID的借記通過,其餘一律攔截。
聯繫您銀行的商業銀行或財資團隊進行設置。對於從不接收外部借記的賬户——內部資金賬户、準備金賬户——完整的借記攔截是最直接的保護。對於運營賬户,使用帶有已批准供應商白名單的借記過濾器。大多數商業銀行免費提供這兩種服務。

2. 對每筆ACH交易要求雙重授權

雙重授權要求兩名不同員工在交易處理前分別完成操作:一人發起,另一人審批。兩個角色必須相互獨立——同一員工不能同時執行兩個步驟。
該控制措施可同時抵禦內部欺詐和BEC攻擊。即便攻擊者獲取了某位員工的憑證並發起付款,也無法完成審批。AFP數據一致將雙重授權列為企業支付欺詐中影響最大的控制措施之一。
將這一規則延伸至付款信息變更,不僅限於交易審批。任何供應商銀行賬户的更新,都應在信息被使用前獲得獨立籤字確認。

3. 啓用ACH主動支付(ACH Positive Pay)

ACH主動支付是銀行端服務:將入賬的ACH借記嘗試與預先提交的已授權交易清單比對。不匹配的條目在結算前被標記,由企業決定放行還是退回。
並非所有銀行都以這個名稱提供該服務。向金融機構明確詢問"ACH Positive Pay"或"ACH借記過濾加決策"功能。對於ACH借記量大的企業,這是最直接的欺詐控制措施之一——它在銀行入口攔截未授權借記,而不是依賴結算後的爭議處理。

4. 在發起付款前核實銀行賬户歸屬

向新供應商發送ACH付款前,或更新現有供應商的銀行賬户信息時,務必核實賬户確實歸屬於真實的收款方。電話核實時使用您自己記錄中的號碼——而非要求變更的郵件中提供的號碼。
Nacha的賬户驗證要求(2021年起生效)規定,ACH發起方在首次借記前須使用商業上合理的方法驗證賬户。微存款驗證、預通知測試和第三方銀行賬户驗證服務均滿足這一標準。這一步驟單獨就能阻止大多數供應商冒充欺詐,在付款發起前將其攔截。

5. 每日監控賬户並配置實時提醒

爭議未授權ACH借記的窗口非常短暫。根據Nacha規則,企業賬户從交易結算日起僅有兩個工作日向發起方存款機構(ODFI)報告未授權交易並申請退款。超過這個窗口,網絡不再保證退款。
為所有高於設定閾值的ACH活動配置實時郵件或短訊提醒,每天登錄網銀查看。攻擊者通常以小額交易測試賬户——一筆未被察覺的1美元或5美元未授權借記,會讓攻擊者確認賬户處於活躍狀態,隨後升級為大額提款。

6. 滿足Nacha基於風險的監控要求

Nacha擴展的欺詐監控規則要求受監管的ACH參與方建立識別可疑授權條目的流程,重點針對BEC、供應商冒充、薪資轉移、賬户接管和社會工程學欺詐。
三項要求直接適用於監控程序:基於風險(而非僅依賴靜態規則)、書面記錄,並每年審查。如果企業通過銀行發起ACH付款,請向ODFI詢問其合規程序如何滿足這些義務——要求書面文件,而非口頭確認。

7. 定期限制和審計ACH訪問權限

將ACH發起和審批權限限制在真正需要的最小員工範圍內。權限蔓延——隨着員工職責變化而累積的權限——是內部欺詐和賬户接管攻擊最常見的推手之一。
至少每季度進行一次正式的訪問權限審查。對職責變更、離職或被終止的員工,立即撤銷其ACH訪問權限。維護一份記錄訪問權限持有者、授權時間和最近審查時間的文檔日誌。

8. 培訓員工識別BEC和社會工程學攻擊

AFP 2026年報告將BEC列為首要支付欺詐手法,2025年有74%的企業受到影響。大多數BEC攻擊不需要任何技術手段——它們依賴緊迫感、隱含的權威感,以及員工不會在行動前核實的假設。
培訓內容應涵蓋:如何識別仿冒域名(payables@vendor-corp.co對比payables@vendorcorp.com)、收到付款信息變更郵件時的處理流程,以及在批准任何修改過的ACH付款前如何使用內部上報程序。每季度開展模擬釣魚測試,比年度一次性培訓更能準確衡量員工意識水平。

PhotonPay光子易如何強化您的支付欺詐防護

運營層面的ACH控制措施在銀行賬户層面防禦欺詐。PhotonPay光子易在支付基礎設施層增加了欺詐防控——通過實時檢測和多重驗證控制,在可疑交易發起或到達結算前將其攔截。
PhotonPay光子易持有PCI-DSS Level 1認證——支付安全合規的最高等級——並在包括FCA和FINTRAC在內的多個司法管轄區持有監管牌照。其欺詐防控架構直接針對ACH用户最常遭受攻擊的漏洞。
欺詐風險
PhotonPay光子易防控措施
未授權交易發起
多層次付款審批流程,付款釋放前需獨立授權
賬户接管
多因素身份驗證(MFA)和3DS 2.0,在登錄憑證之外增加驗證層
收款方身份欺詐
KYC/AML核查,在付款處理前確認收款方身份
異常交易模式
AI/ML異常檢測,24小時全天候監控交易行為,實時標記偏差
商户端欺詐信號
商户風險監控識別模式異常——交易激增、高風險地理位置——在付款前預警
敏感賬户數據暴露
代幣化技術將支付憑證替換為非敏感令牌,從交易鏈中消除原始賬户數據
AFP 2026年報告顯示,目前僅有17%的企業使用AI驅動工具進行欺詐防控。PhotonPay光子易的AI驅動監控在各類付款場景中應用一致的風險控制標準——檢測行為異常、異常地理位置和設備層面信號,這些都是人工規則系統所遺漏的。
同時管理國內付款和跨境交易的企業,可了解PhotonPay光子易的企業支付解決方案國際企業支付基礎設施如何將多層欺詐控制整合至各類支付場景。

企業遭遇ACH欺詐後應如何應對

速度決定能否追回損失。對於企業ACH賬户,Nacha規則允許從交易結算日起兩個工作日內提交未授權退款申請。超過該窗口,追回資金需要接收行的主動配合,網絡不再提供保障。
按以下順序行動:
  1. 第一步:立即聯繫銀行的ACH運營團隊。 使用Nacha退款代碼R10(消費者未授權借記)或R29(企業客户聲明未授權)申請退款。直接聯繫ACH欺詐或商業銀行團隊——普通客服可能無權限發起退款申請。
  2. 第二步:限制或關閉被入侵賬户。 將剩餘運營餘額轉移至乾淨賬户,立即對被入侵賬户施加ACH借記攔截。
  3. 第三步:向FBI互聯網犯罪投訴中心(IC3)在ic3.gov提交舉報。 如欺詐通過BEC手段發起,FBI資產追回團隊可能提供協助——但僅限於及時舉報、資金仍可追蹤的情況。
  4. 第四步:對5,000美元以上的交易向FinCEN報告。 金融機構須提交可疑活動報告(SAR)。對於重大損失,諮詢法律顧問了解額外報告義務和網絡保險理賠要求。

ACH欺詐預防常見問題

爭議ACH欺詐扣款的時限是多久?

對於企業賬户,Nacha規則允許從結算日起兩個工作日內報告未授權ACH借記並申請退款。個人賬户依據美國E條例享有60天窗口期。企業的截止期限是硬性規定——錯過窗口將大幅降低追回可能性,並解除銀行的退款義務。

欺詐發生後ACH付款可以撤銷嗎?

ACH交易可在兩個工作日的企業窗口期內,使用Nacha退款代碼(R10針對消費者未授權,R29針對企業未授權)申請退款。超出窗口期後,撤銷需要接收行的主動配合,網絡不提供保障。這就是為什麼日常監控和快速舉報比任何欺詐後補救措施都更為關鍵。

ACH主動支付和ACH借記攔截有什麼區別?

ACH借記攔截自動拒絕所有入賬ACH借記——一律不放行。ACH主動支付將入賬借記與預批准清單比對,標記不匹配條目供人工審核,而非全部拒絕。借記攔截適用於不應接收任何外部借記的賬户;主動支付更適合有合法外部借記、需要選擇性批准的運營賬户。

我怎麼知道企業是否面臨ACH欺詐風險?

每家開具支票、通過ACH處理薪資或供應商付款、或接受ACH借記的企業都面臨固有風險——賬號和路由號碼印在每張支票上。ACH交易量大、多名員工擁有銀行訪問權限或頻繁變更供應商付款信息的企業,面臨最高風險敞口,根據AFP 2026年報告的數據尤為突出。

ACH比電匯更安全嗎?

電匯一旦發出通常不可撤銷——沒有退款窗口,沒有網絡追回機制。ACH交易可在Nacha兩個工作日的企業窗口期內申請退款,提供有限但真實的追迴路徑。然而由於發起未授權借記的門檻更低,ACH欺詐遠比電匯欺詐更為普遍。關於各類支付方式的成本和風險比較,請參閲我們的國際電匯費用指南

立即開通PhotonPay光子易賬戶