BEC – jak hakerzy okradają firmy przez e-mail

Czym jest BEC i dlaczego niszczy firmy finansowo

Business Email Compromise (BEC) to wyrafinowany atak socjotechniczny, w którym cyberprzestępca podszywa się pod zaufaną osobę – prezesa firmy, dyrektora finansowego, kontrahenta lub prawnika – i nakłania pracownika do wykonania przelewu, ujawnienia poufnych danych albo zmiany danych bankowych. W odróżnieniu od klasycznego phishingu, BEC jest ukierunkowany precyzyjnie: jeden cel, jedna ofiara, jedna transakcja.

Według raportu FBI Internet Crime Complaint Center (IC3) za rok 2023, ataki BEC odpowiadają za straty rzędu 2,9 miliarda dolarów rocznie tylko w Stanach Zjednoczonych. W skali globalnej, w ciągu ostatniej dekady straty przekroczyły 55 miliardów dolarów. W Polsce przypadki są coraz częstsze – choć firmy rzadko je nagłaśniają z obawy o reputację. Ofiarą BEC pada nie tylko wielki biznes: MŚP są wyjątkowo narażone, bo często brakuje im formalnych procedur autoryzacji transakcji.

Co ważne: BEC nie wymaga zaawansowanego złośliwego oprogramowania. Skuteczny atak można przeprowadzić przy użyciu jedynie e-maila i dobrej znajomości struktury firmy. Dlatego tradycyjny antywirus ani firewall w większości przypadków go nie powstrzyma.

Najpopularniejsze scenariusze ataków BEC

Ataki BEC przybierają kilka powtarzających się form. Znajomość tych scenariuszy to pierwszy krok do obrony:

• CEO fraud (oszustwo prezesa) – haker podszywa się pod prezesa lub właściciela firmy i pisze do księgowej lub CFO z pilną prośbą o przelew. Zazwyczaj tłumaczy, że jest na spotkaniu lub za granicą i nie może rozmawiać przez telefon.
• Fałszywa faktura dostawcy – przestępca przejmuje konto e-mail dostawcy lub rejestruje domenę łudząco podobną do jego domeny, a następnie wysyła fakturę ze zmienionym numerem konta bankowego.
• Przejęcie konta (Account Takeover) – haker zdobywa dostęp do prawdziwego konta mailowego pracownika (np. przez phishing) i prowadzi korespondencję z jego skrzynki. Odbiorca nie ma powodów do podejrzeń.
• Atak na dział HR – przestępca podszywa się pod pracownika i prosi o zmianę numeru konta bankowego do wypłaty wynagrodzenia.
• Atak prawnika – haker udaje obsługującego firmę prawnika i prosi o pilny przelew związany z transakcją biznesową lub ugodą sądową.

Każdy z tych scenariuszy łączy jedna wspólna cecha: presja czasu i autorytet nadawcy. Ofiara ma działać szybko i dyskretnie – bez możliwości weryfikacji.

Jak hakerzy przygotowują atak BEC – rekonesans i techniki

Skuteczny atak BEC poprzedza staranny wywiad. Zanim przestępca wyśle jakikolwiek e-mail, przez tygodnie zbiera informacje o firmie i jej pracownikach:

• LinkedIn – kto jest prezesem, CFO, kto zajmuje się finansami i płatnościami
• Strona firmowa i media społecznościowe – stopki mailowe, nazewnictwo stanowisk, imiona i nazwiska
• Rejestry publiczne (KRS, CEIDG) – struktura właścicielska, dane kontaktowe
• Kalendarze i konferencje branżowe – kiedy prezes jest niedostępny, np. wymieniony jako prelegent na konferencji za granicą

Do samego ataku hakerzy stosują kilka technik:

• Typosquatting – rejestracja domeny podobnej do firmowej, np. firma-pl.com zamiast firma.pl lub firrrna.pl
• Spoofing nagłówka From – fałszowanie widocznego adresu nadawcy w kliencie pocztowym ofiary
• Przejęcie prawdziwego konta – najgroźniejsza forma: haker ma autentyczny dostęp do skrzynki po wcześniejszym ataku phishingowym i prowadzi korespondencję z prawdziwego adresu
• Kompromitacja dostawcy (Vendor Email Compromise) – atak nie na firmę, lecz na jej zaufanego kontrahenta, skąd pochodzi korespondencja do docelowej ofiary

Cały proces jest celowy i cierpliwy. Haker może obserwować skrzynkę przez tygodnie, zanim zdecyduje się działać – dobierając idealny moment i treść wiadomości.

Jak rozpoznać atak BEC – czerwone flagi

Ataki BEC są zaprojektowane tak, by wyglądały jak normalna korespondencja biznesowa. Mimo to istnieje kilka charakterystycznych sygnałów ostrzegawczych:

• Pilna prośba o przelew – szczególnie gdy prezes jest na spotkaniu, w podróży lub niedostępny przez telefon
• Prośba o zachowanie poufności – nikomu o tym nie mów, to poufna sprawa, nie informuj innych działów
• Zmiana numeru konta bankowego – dostawca prosi o aktualizację danych płatniczych tuż przed terminem płatności faktury
• Adres e-mail różni się od poprzednich wiadomości – nawet jedna litera w domenie, zmieniona końcówka (.eu zamiast .pl) lub dodatkowy myślnik
• Styl pisania odbiega od normy – prezesi rzadko piszą w środku nocy, używają innych zwrotów lub piszą w języku angielskim, gdy zawsze pisali po polsku
• Brak podpisu lub zmieniona stopka – atakujący często pomijają szczegóły, które mają zaufani nadawcy

Kluczowa zasada: każda nieoczekiwana prośba o przelew lub zmianę danych finansowych wymaga weryfikacji telefonicznej – na numer znany wcześniej, nigdy podany w podejrzanym e-mailu.

Jak chronić firmę przed atakami BEC – procedury i technologia

Ochrona przed BEC wymaga połączenia rozwiązań technicznych z procedurami organizacyjnymi. Żadne z tych podejść osobno nie wystarczy.

Procedury i polityki organizacyjne:

• Wprowadź zasadę dwuosobowej autoryzacji dla przelewów powyżej ustalonego limitu (np. 5 000 zł) – dwie osoby muszą zatwierdzić każdą transakcję
• Ustal obowiązkową weryfikację telefoniczną każdej zmiany danych bankowych dostawcy – na numer z historycznej bazy kontaktów, nigdy z przesłanego maila
• Stwórz i przeszkol cały zespół finansowy z procedury: co zrobić, gdy prezes prosi o pilny przelew przez e-mail
• Określ wprost, że polecenia przelewów nigdy nie mogą być wydawane wyłącznie przez e-mail – zawsze wymagają potwierdzenia innym kanałem

Techniczne środki ochrony:

• SPF, DKIM i DMARC – konfiguracja tych rekordów DNS chroni przed podszywaniem się pod Twoją domenę i pomaga wykryć spoofing nadawcy
• MFA na kontach e-mail – utrudnia przejęcie skrzynki po kradzieży hasła przez phishing
• Zaawansowane filtrowanie poczty (np. Microsoft Defender for Office 365) – analiza nagłówków, reputacja domeny, wykrywanie podejrzanych wzorców w korespondencji
• Szkolenia antyphishingowe – regularne ćwiczenia z symulowanymi atakami BEC uczą pracowników rozpoznawania zagrożeń w praktyce
• Monitoring kont e-mail – alerty przy logowaniu z nowych urządzeń lub nieznanych lokalizacji geograficznych

NovaSys pomaga firmom z Wrocławia i okolic wdrożyć zarówno konfigurację techniczną poczty, jak i przeprowadzić szkolenia dla pracowników. Audyt IT pozwala ocenić aktualne luki w zabezpieczeniach i wskazuje priorytety do naprawy.

Co zrobić, gdy firma padnie ofiarą ataku BEC

Czas działa na niekorzyść ofiary BEC. Przelew może zostać cofnięty – ale tylko w ciągu kilku godzin od wykonania. Jeśli podejrzewasz, że doszło do ataku, działaj natychmiast:

1. Zadzwoń do banku – poinformuj o podejrzanym przelewie i poproś o wstrzymanie transakcji lub procedurę SWIFT Recall. Każda godzina jest na wagę złota.
2. Zabezpiecz dowody – nie usuwaj podejrzanych e-maili. Zrób zrzuty ekranu i zapisz pełne nagłówki wiadomości (szczegóły techniczne nadawcy).
3. Zgłoś do Policji i CERT Polska – zgłoszenie przez cert.pl jest bezpłatne i pomaga w walce z cyberprzestępczością na poziomie krajowym.
4. Poinformuj ubezpieczyciela – jeśli firma posiada polisę cyberubezpieczenia, większość wymaga zgłoszenia incydentu w ciągu 24–72 godzin od wykrycia.
5. Wykonaj analizę powłamaniową – ustal, jak doszło do ataku: czy konto e-mail zostało przejęte, czy była to fałszywa domena. To pozwoli zapobiec kolejnym incydentom.
6. Przeszkol zespół – każdy incydent to szansa na wzmocnienie procedur i podniesienie świadomości pracowników.

Pamiętaj: wiele firm wstydzi się przyznać do błędu i zwleka ze zgłoszeniem. To najgorsze możliwe działanie. Im szybciej reagujesz, tym większe szanse na odzyskanie środków.