Fake CEO, fake invoice – jak działają oszustwa BEC i jak się bronić?

1. Wprowadzenie – BEC to nie phishing. To oszustwo biznesowe.

Business Email Compromise (BEC) to jeden z najgroźniejszych i najskuteczniejszych typów ataków cyberprzestępczych. Nie polega na „kliknięciu w link”. Nie wykorzystuje wirusów, trojanów, ransomware. Nie musi przełamywać żadnego firewalla.

Działa, bo uderza w to, co zawsze zawiedzie prędzej czy później:
komunikację, zaufanie i rutynę pracowników.

📊 Dlaczego BEC działa tak skutecznie?

• Atak wygląda jak zwykła korespondencja biznesowa – bez ostrzeżeń, bez czerwonych flag
• Przestępcy nie włamują się – oni podszywają się pod znane osoby lub firmy
• Wiadomość trafia dokładnie do tej osoby, która decyduje o przelewie lub zmianie konta
• BEC działa, bo atakowana jest procedura – nie technologia

💸 Straty liczone są w miliardach

• Według FBI, tylko w 2022 roku straty globalne z tytułu BEC przekroczyły 2,7 miliarda dolarów
• W Polsce coraz częstsze są przypadki oszustw „na fakturę” i „na zarząd” – dotykają głównie MŚP i spółek z zagranicznymi właścicielami

⚠️ Najczęstsze skutki ataku BEC:

• Utrata realnych pieniędzy (przelew na fałszywe konto)
• Odpowiedzialność finansowa zarządu i działu księgowości
• Stres, panika, utrata reputacji i zaufania w organizacji
• Trudności z odzyskaniem środków (czas + współpraca międzynarodowa)

BEC to atak, który wygląda jak zwykły dzień w firmie. A kończy się przelewem, którego nie da się cofnąć.

2. Jak działa atak typu fake CEO?

Atak typu fake CEO to klasyczna forma BEC, w której cyberprzestępca podszywa się pod członka zarządu (najczęściej prezesa, dyrektora finansowego lub właściciela firmy), aby skłonić pracownika – zazwyczaj w dziale księgowości – do zrealizowania pilnego przelewu.

Brzmi absurdalnie? A jednak działa. Bo kluczowa jest psychologia – presja, autorytet i brak czasu.

🧠 Typowy przebieg ataku:

📧 1. E-mail „od prezesa”

• Nadawca: prezes@firma-xyz.com albo domena wyglądająca niemal identycznie (firma-xyz.com vs firma–xyz.com)
• Temat: "Pilny przelew – tylko do Twoich rąk"
• Treść: krótka, stanowcza, pełna zaufania:

„XYZ Group zamyka ważną transakcję. Potrzebuję, żebyś dziś do 14:00 wykonał przelew na 87 000 EUR. Nie pytaj nikogo, to poufne.”

🔁 2. Potwierdzenie i uzyskanie zaufania

• Atakujący prowadzi korespondencję – zna nazwiska, tytuły, styl pisania
• Wysyła „umowę” lub „uzgodnienie” jako załącznik (często z logotypami, podpisem)

💸 3. Przelew

• Ofiara wykonuje przelew – bo „tak kazał szef”
• Nie dzwoni, nie weryfikuje – bo dostała jasne polecenie i nie chce podważać autorytetu
• Przelew trafia na konto przestępców (często w UE, ale sterowane z zewnątrz)

🧨 Efekt:

• Utrata pieniędzy – często bezpowrotna
• Zarząd dowiaduje się po fakcie
• Bank nie zawsze może zatrzymać środki (zależy od czasu i jurysdykcji)
• Czasem ofiara ukrywa incydent z obawy przed konsekwencjami

Atak fake CEO działa, bo wykorzystuje dokładnie te mechanizmy, które każda dobrze działająca firma ma: szacunek, procedury, decyzyjność. I zamienia je przeciwko Tobie.

3. Oszustwa typu fake invoice – jak przestępcy kradną pieniądze legalnie

Nie musisz kliknąć w link. Nie musisz instalować wirusa.
Wystarczy, że zapłacisz fakturę... na niewłaściwe konto.
Tym właśnie są oszustwa typu fake invoice – najbardziej „legalne” z przestępstw cybernetycznych. Działają cicho, bez alertów i bardzo skutecznie.

📄 Jak działa scenariusz fake invoice?

📩 1. Podszycie się pod znanego kontrahenta

• Atakujący przechwytuje (lub podrobi) adres e-mail dostawcy
• Przesyła fakturę z nowym numerem konta bankowego
• Wszystko wygląda jak zawsze: logo, podpis, numer faktury, styl wiadomości

🔄 2. Komunikacja prowadzona w języku firmy

• Treść maila:

„Z powodu zmiany banku, prosimy o zaktualizowanie numeru konta. Nowy numer jest widoczny na fakturze 2024/04/111.”

• Czasem dołącza „potwierdzenie” z banku
• Bywa, że korespondencja wygląda jak „forward” od innej osoby w firmie

💸 3. Księgowość wykonuje przelew

• Faktura wygląda jak każda inna
• Konto „nowe, ale logiczne” (UE, Polska, Szwajcaria)
• Nikt nie dzwoni, nie pyta, nie weryfikuje

📌 Efekt: pieniądze lądują u przestępców – a faktyczny dostawca… upomina się o należność

🧨 Jak przestępcy zdobywają dostęp do faktur?

• Przejęcie skrzynki e-mail pracownika lub dostawcy (phishing / credential stuffing)
• Obserwacja komunikacji e-mail (business recon)
• Złośliwe makra w plikach .docx/.xls z funkcją forwarding mail
• Social engineering – np. podszycie się pod nowego księgowego

⚠️ Kto odpowiada za szkodę?

• Formalnie – najczęściej ten, kto wykonał przelew
• Dostawca powie: „nie otrzymaliśmy środków”
• Firma traci pieniądze i często relację biznesową

Oszustwo fakturowe to atak na procedurę, nie na technologię. Działa najlepiej tam, gdzie ludziom wydaje się, że „to tylko przelew”.

4. Jak przestępcy przygotowują się do ataku?

W przeciwieństwie do masowych kampanii phishingowych, oszustwa BEC (Business Email Compromise) są poprzedzone precyzyjnym rekonesansem. To nie przypadek, że wiadomość trafia do właściwej osoby, zawiera poprawne dane i jest wysłana w idealnym momencie.

To efekt działań przypominających analizę konkurencji, tylko w wersji przestępczej.

🕵️ Etap 1: Rekonesans organizacyjny

• Analiza strony WWW firmy:
  – zarząd, CFO, dział finansów, struktura, dane kontaktowe
  – informacje o dostawcach, partnerach, wydarzeniach, certyfikatach
• LinkedIn i social media:
  – kto pracuje w księgowości, kto awansował, kto publikuje „przesiadka do biura w Berlinie”
  – idealny moment na „fałszywego prezesa”

📌 Przestępcy często wiedzą więcej o Twojej firmie niż nowy pracownik.

💻 Etap 2: Przejęcie skrzynki e-mail lub obserwacja komunikacji

• Phishing / credential stuffing do skrzynki pracownika (np. z marketingu)
• Reguła automatycznego przekazywania e-maili do adresu zewnętrznego
• Obserwacja faktur, komunikacji z kontrahentami, terminów płatności

📌 Wiele fake invoice powstaje po realnym przejęciu komunikacji z kontrahentem

✍️ Etap 3: Stylizacja wiadomości

• Wiadomość wygląda jak z Twojej firmy: podpis, język, godzina wysyłki
• Użycie rzeczywistej domeny (po przejęciu) lub bardzo podobnej (np. firm4.com zamiast firma.com)
• Wprowadzenie „elementu presji” lub „zaufania”:

„Temat już uzgodniony z zarządem”,
„Tylko Ty jesteś w temacie – proszę o dyskrecję.”

🔁 Etap 4: Wyczekanie idealnego momentu

• Dzień z dużym obciążeniem (koniec miesiąca, urlopy, zamknięcia)
• Zmiana zarządu, CFO na urlopie, nowy dostawca
• Przelew „na szybko”, „przed weekendem”, „do 14:00”

📌 Celem jest złapanie ofiary na rutynie i presji decyzyjnej.

Atak BEC to nie przypadek. To przemyślana kampania socjotechniczna – a Twoja firma jest celem, bo wygląda „łatwo”.

5. Różnice między BEC a phishingiem – i dlaczego klasyczne filtry nie działają

Wiele firm myśli:

„Mamy filtr antyspamowy, mamy antywirusa, mamy EDR – jesteśmy bezpieczni.”
To błąd. Bo BEC (Business Email Compromise) nie działa jak phishing.
To atak bez złośliwego linku, bez załącznika, bez malware.
A więc... nie generuje alertu technicznego.

🔄 Phishing vs BEC – porównanie

📉 Dlaczego klasyczne zabezpieczenia nie wystarczają?

• Brak linku = brak detekcji przez antyphishing
• Zaufany nadawca (np. przejęta skrzynka) = brak alertu
• Realistyczny język = nie ma „czerwonych flag”
• Treść nie zawiera słów kluczowych ani sygnatury malware

📌 Systemy techniczne widzą mail. Człowiek widzi decyzję finansową.

📬 Co zatem działa przeciwko BEC?

• Weryfikacja zachowań, nie tylko treści (UEBA, behavioral analysis)
• Kontrola nad procesem decyzyjnym (np. weryfikacja przelewu)
• Szkolenie ludzi z typowych mechanizmów presji i autorytetu
• Ochrona tożsamości i komunikacji (DMARC, SPF, DKIM, MFA)

BEC to atak, który przechodzi przez wszystkie filtry – bo nie wygląda jak atak. A jedyna ochrona to procedura, świadomość i kultura weryfikacji.

6. Jakie firmy są najczęstszym celem BEC?

Oszustwa BEC nie wybierają firm przypadkowo. Atakujący celują tam, gdzie istnieje odpowiednia mieszanka:
– pieniądze w obiegu,
– rozproszona decyzyjność,
– presja czasu,
– i słabe procedury weryfikacyjne.

Wbrew pozorom, nie trzeba być korporacją – wystarczy być firmą, która przelewa pieniądze. Czyli… praktycznie każdą.

🎯 Najczęstsze cele ataków BEC:

💼 1. Firmy z sektora MŚP (małe i średnie przedsiębiorstwa)

• Brak działu bezpieczeństwa, słabe procedury
• Często jedna osoba odpowiada za HR, finanse i IT
• Wysoka rotacja, mniej formalnych zabezpieczeń

📌 Idealny cel: jedna osoba decyduje o przelewach i ufa “mailowi od szefa”

🧾 2. Biura rachunkowe, księgowe, kancelarie

• Mają dostęp do wielu kont, firm, systemów
• Pracują z wieloma klientami jednocześnie – trudniej zweryfikować każdy szczegół
• Wysoka wiarygodność – łatwo podszyć się pod nich

📌 Często są celem pośrednim: atak na nich = atak na ich klientów

🌍 3. Firmy eksportujące, operujące w wielu walutach i krajach

• Przelewy międzynarodowe = mniejsza czujność na nowe konta
• Strefy czasowe = trudniejsza weryfikacja telefoniczna
• Komunikacja po angielsku / e-mail jako główny kanał

📌 BEC często uderza „na granicy komunikacyjnej” – gdy nie wiadomo, kto ma rację

🏗️ 4. Sektor przemysłowy i usługowy

• Wysokie faktury, wiele dostawców, częsta rotacja projektów
• Duże kwoty → jeden przelew = wysoka skuteczność ataku
• Często brak bezpieczników w stylu „callback verification”

📌 Wystarczy jedno podszycie się pod dostawcę – i przelew leci

👔 5. Firmy z rozproszonym zarządem lub strukturą właścicielską

• Centrala w innym kraju = “nieweryfikowalne decyzje z góry”
• Managerowie mają dużą autonomię = mniej kontroli
• Atakujący wykorzystuje fakt, że "prezes rzadko pisze, ale jak już pisze, to nie dyskutujemy"

BEC celuje nie w „bogate” firmy – tylko w takie, w których da się przejąć procedurę i trafić w moment.

7. Jak się bronić? 10 zasad anty-BEC dla każdej firmy

BEC nie zatrzymasz firewallem. Nie zablokujesz antywirusem. Nie wykryje go SIEM bez kontekstu.
To nie technologia – to procedura, komunikacja i czujność ludzi.
Dlatego najlepszą ochroną przed BEC jest połączenie prostych reguł, zdrowego rozsądku i dobrze ustawionych procesów.

✅ 1. Zasada weryfikacji przelewów (tzw. callback)

– Każda zmiana numeru konta = weryfikacja telefoniczna na niezależny numer
– Nigdy nie na numer z maila, PDF-a czy podpisu

✅ 2. Zakaz realizowania „poufnych przelewów na już”

– Jeśli ktoś prosi o przelew poza procedurą, poza systemem, poza godzinami – musi być zgłoszony
– Nawet jeśli to „prezes” – szczególnie wtedy

✅ 3. Weryfikacja domen i nadawców e-mail

– DMARC, SPF, DKIM – techniczne zabezpieczenia tożsamości e-mail
– Automatyczne oznaczanie podobnych domen (np. firm@xyz-company.com vs @xyzcompany.com)
– Filtry i whitelisty dla domen zaufanych

✅ 4. MFA wszędzie tam, gdzie loguje się księgowość

– MFA do systemów finansowych, e-maila, CRM
– Brak MFA = przejęta skrzynka = BEC level 2

✅ 5. Szkolenie finansów i HR z socjotechniki, nie tylko phishingu

– Treningi z mechanizmów: presja, autorytet, poufność
– Scenariusze „co byś zrobił, gdyby prezes kazał Ci zrobić przelew”

✅ 6. Polityka „Zero wstydu” przy zgłoszeniu podejrzenia

– Lepiej zatrzymać przelew niż bać się, że „to głupie pytanie”
– Promowanie czujności, nie karanie za ostrożność

✅ 7. Automatyzacja reguł i weryfikacji w systemach płatności

– Alerty na nowe konta, odbiorców spoza UE, faktury > X zł
– Kontekstowe blokady i potwierdzenia przez 2 osoby

✅ 8. Logowanie i monitorowanie dostępu do skrzynek e-mail

– Alerty na logowania z nowych krajów, IP, urządzeń
– Audyt uprawnień i reguł przekazywania poczty

✅ 9. Procedura reakcji na podejrzany przelew / próbę BEC

– Kogo powiadomić, co zablokować, gdzie zadzwonić
– Czas = pieniądz = szansa na odzyskanie środków

✅ 10. Realne testy: kampanie BEC-symulacyjne

– Symulacje e-maili od „zarządu”, „dostawców”, „audytorów”
– Tylko test pokazuje, gdzie są słabe punkty – i komu trzeba pomóc

BEC to nie kwestia „czy” – tylko „czy jesteś gotowy, gdy się wydarzy”.

8. Co zrobić, jeśli Twoja firma padnie ofiarą BEC?

Gdy już klikniesz „wyślij” – czas zaczyna działać przeciwko Tobie.
Im szybciej zareagujesz, tym większa szansa na odzyskanie środków.
BEC to nie tylko incydent IT – to kryzys finansowy i operacyjny. Dlatego potrzebna jest procedura działania – jeszcze zanim dojdzie do przelewu.

🛑 Krok 1: Natychmiastowe wstrzymanie płatności

• Jeśli przelew został wykonany – dzwoń do banku od razu, nie czekaj na odpowiedź mailową
• Poproś o zatrzymanie przelewu i uruchomienie procedury recall / blokady środków

📌 Czas reakcji to krytyczny czynnik – po kilku godzinach pieniądze mogą być już wycofane z konta pośredniego

📞 Krok 2: Zgłoś incydent do CSIRT i organów ścigania

• W Polsce: zgłoszenie do CSIRT NASK / GOV / MON – zależnie od sektora
• Zgłoszenie przestępstwa do Policji i/lub prokuratury (najlepiej przez Dział Prawny)

📌 Zgłoszenie umożliwia działania banków, prokuratury, Interpolu (np. w przypadku kont zagranicznych)

👥 Krok 3: Poinformuj zarząd i zespół reagowania kryzysowego

• Zwołaj IR Team: IT, Finanse, Zarząd, Legal, Security
• Ocen sytuację: ile, kiedy, jak, kto wykonał przelew
• Zabezpiecz logi, e-maile, komunikację – będą dowodem

🔍 Krok 4: Analiza wewnętrzna (forensics)

• Czy atak był wynikiem socjotechniki, przejęcia konta, błędu procesowego?
• Czy ktoś jeszcze mógł mieć dostęp do skrzynki e-mail / systemu ERP?
• Czy reguły przekazywania poczty nie zostały ustawione wcześniej?

📌 Celem jest wyciągnięcie wniosków, a nie „znalezienie winnego”

📣 Krok 5: Komunikacja i raporty

• Przygotuj komunikat wewnętrzny (do pracowników)
• Jeśli incydent dotyczy danych osobowych – zgłoszenie do UODO w ciągu 72h
• Rozważ informację dla klientów lub partnerów (jeśli dotyczy ich bezpośrednio)

🔁 Krok 6: Zmiana procedur i wzmocnienie zabezpieczeń

• Aktualizacja polityki weryfikacji płatności
• Szkolenie działu finansów i IT
• Wdrożenie blokad, dodatkowych potwierdzeń, DLP, DMARC

BEC nie zatrzyma się na jednej próbie. Jeśli raz się udało – wrócą.
Dlatego reakcja to nie tylko odzyskanie pieniędzy, ale też zbudowanie odporności na kolejny raz.

9. Self-check: Czy jesteś podatny na oszustwo BEC?

Poniższa ankieta pomoże Ci sprawdzić, czy Twoja firma ma luki w procesach, które mogą zostać wykorzystane przez oszustów BEC. Odpowiedz: TAK / NIE / NIE WIEM

🧠 Obszar: ludzie i procesy

1. Czy każda zmiana numeru konta dostawcy jest weryfikowana telefonicznie?
2. Czy masz formalną procedurę autoryzacji przelewów powyżej określonej kwoty?
3. Czy dział finansów przeszedł szkolenie z ataków BEC i socjotechniki?

📧 Obszar: komunikacja i technologia

1. Czy stosujesz DMARC, SPF i DKIM na swojej domenie?
2. Czy Twoje skrzynki pocztowe mają MFA?
3. Czy masz system monitorowania reguł przekazywania e-maili i logowań do poczty?

💰 Obszar: finanse i odpowiedzialność

1. Czy każda duża płatność jest zatwierdzana przez min. 2 osoby?
2. Czy masz alerty lub blokady w systemie płatności na nowe konta bankowe?
3. Czy wiesz, kto w firmie może podjąć decyzję o przelewie bez zgody przełożonego?

🔄 Obszar: reakcja i gotowość

1. Czy masz procedurę reakcji na próbę oszustwa BEC (plan IR)?
2. Czy wiesz, do którego banku i instytucji zgłosić incydent?
3. Czy przeprowadzałeś testowe symulacje BEC (np. „na prezesa”) w ostatnich 12 miesiącach?

📊 Wyniki interpretacyjne:

• 10–12 x TAK: Jesteś dobrze przygotowany – masz zarówno procedury, jak i świadomość w zespole.
• 6–9 x TAK: Twoja firma ma potencjał, ale potrzebuje wzmocnienia i testów.
• 0–5 x TAK: Ryzyko BEC jest wysokie – atak to tylko kwestia czasu lub przypadku.

W ostatnim rozdziale pokażę, jak Security Network może pomóc Ci zabezpieczyć finanse i procesy przed oszustwami BEC.

10. CTA – Zabezpiecz finanse i procesy przed BEC z Security Network

BEC to jedno z najbardziej kosztownych zagrożeń, jakie czyhają dziś na firmy.
Nie wymaga wirusa, exploita ani kodu. Wystarczy zaufanie i brak procedury.
Jeśli chcesz mieć pewność, że przelewy w Twojej firmie nie kończą się w rękach przestępców – czas działać.

Security Network pomoże Ci:

✅ Zmapować ryzyka BEC i przeprowadzić testy (symulacje fake CEO, fake invoice)
✅ Przeprowadzić audyt procesów finansowych i komunikacyjnych
✅ Wdrożyć techniczne zabezpieczenia: DMARC, SPF, DLP, MFA, monitoring skrzynek
✅ Przygotować i wdrożyć politykę anty-BEC oraz plan reakcji (IRP)
✅ Przeszkolić dział finansów i zarząd z realnych scenariuszy socjotechnicznych
✅ Wspierać Twoją firmę w sytuacji incydentu – od blokady przelewu po kontakt z organami

🎯 BEC to kosztowny błąd – ale możesz go uniknąć.
👉 Skontaktuj się z nami
Zabezpiecz finanse, ludzi i reputację – zanim ktoś zrobi to za Ciebie.