BEC: oszustwo „na prezesa”, które kosztuje najwięcej
Business Email Compromise to jedno z najkosztowniejszych oszustw dla firm. Pokazujemy, jak działa podmiana faktury i „pilny przelew od prezesa”.
Nie każdy najkosztowniejszy atak wygląda spektakularnie. Business Email Compromise (BEC) to oszustwo, w którym nie ma złośliwego oprogramowania ani szyfrowania — jest za to e-mail, który przekonuje kogoś w firmie do wykonania przelewu na konto przestępcy. To jedna z najdroższych kategorii oszustw dla przedsiębiorstw, bo celuje w procesy i zaufanie, a nie w technologię.
Dwa najczęstsze warianty
„Pilny przelew od prezesa”. Pracownik działu finansów dostaje wiadomość rzekomo od zarządu: „jestem na spotkaniu, potrzebuję pilnie zrealizować przelew, to poufne”. Presja, autorytet i tajność wyłączają zwykłą weryfikację.
Podmiana faktury (invoice fraud). Przestępca podszywa się pod stałego dostawcę i informuje o „zmianie numeru konta”. Kolejna faktura zostaje opłacona — na rachunek oszusta. Ten wariant bywa poprzedzony przejęciem skrzynki e-mail, o czym piszemy przy phishingu KSeF i gov.pl.
Dlaczego to działa
- Autorytet i pośpiech. Prośba „od prezesa” z presją czasu zniechęca do zadawania pytań.
- Realizm. Przy przejętej skrzynce atakujący zna kontekst — nazwiska, ton, historię korespondencji, terminy płatności.
- Luka proceduralna. Jeśli zmiana numeru konta nie wymaga niezależnego potwierdzenia, jeden e-mail wystarczy, by przekierować pieniądze.
Jak się bronić — proces przed technologią
BEC rozbraja się głównie procedurą, nie narzędziem:
- Weryfikacja drugim kanałem. Każdą zmianę numeru konta i każdy nietypowy przelew potwierdzaj telefonicznie — na znany wcześniej numer, nie z e-maila.
- Zasada dwóch par oczu dla płatności powyżej progu.
- Jasna ścieżka „zatrzymaj i sprawdź” — pracownik musi mieć prawo wstrzymać „pilny” przelew bez obawy o reakcję przełożonych.
Warstwa techniczna, która pomaga
- SPF, DKIM i DMARC utrudniają podszywanie się pod Twoją domenę.
- Oznaczanie e-maili spoza organizacji i wykrywanie podobnych domen (typosquatting).
- MFA na skrzynkach — przejęta poczta to paliwo dla BEC.
Najważniejszy wniosek: przy BEC to procedura płatności jest systemem bezpieczeństwa. Firma, która weryfikuje zmiany konta drugim kanałem, jest odporna nawet na bardzo przekonujący e-mail. Jeśli chcesz przetestować odporność swoich procesów, skontaktuj się z nami.
Źródła i dalsza lektura: CERT Polska, FBI IC3 — BEC.