Wyłudzenia realizowane przez pocztę elektroniczną należą do najpoważniejszych zagrożeń dla firm w Polsce i na świecie. Przestępcy podszywają się m.in. pod kontrahentów, dostawców czy osoby z zarządu, by nakłonić do przelewów na duże kwoty lub przejąć wrażliwe informacje. Atak typu BEC (Business Email Compromise) może dotknąć każdą organizację, niezależnie od jej skali.
W najnowszym materiale wideo kampanii „Bankowcy dla CyberEdukacji” pokazano, że z pozoru zwyczajna wiadomość może doprowadzić do poważnego incydentu związanego z bezpieczeństwem.
Wideo wyjaśnia, na czym polega to oszustwo.
Na czym polega oszustwo BEC?
W schemacie BEC oszust nawiązuje kontakt z pracownikiem firmy – najczęściej z finansów, księgowości lub administracji – i udaje znaną oraz zaufaną osobę. W praktyce może to być:
- stały dostawca lub kontrahent informujący o „zmianie numeru konta”,
- partner biznesowy domagający się natychmiastowej płatności,
- członek zarządu, który „pilnie zleca przelew”,
- osoba na stanowisku kierowniczym, która naciska, by nie konsultować sprawy z nikim innym.
Adres e-mail bywa niemal nie do odróżnienia od prawdziwego. Zdarza się też, że przestępcy przejmują skrzynkę pocztową i prowadzą korespondencję, mając dostęp do historii wiadomości. W takich przypadkach rozpoznanie oszustwa może być bardzo trudne.
Jak działają przestępcy?
Ataki BEC wykorzystują dopracowaną socjotechnikę. Cyberprzestępcy:
- zbierają dane o firmie, jej strukturze i kontrahentach,
- gdy uzyskają dostęp do poczty – analizują korespondencję,
- tworzą wiadomości dopasowane stylem i tonem do osoby, pod którą się podszywają,
- wywierają presję czasu, używając sformułowań typu „pilne”, „płatność dziś”, „audyt”.
Ofiara często orientuje się, że została zmanipulowana dopiero po wykonaniu przelewu. Środki trafiają na konto oszustów i są szybko przekazywane dalej, co uniemożliwia ich odzyskanie.
Skala zagrożenia rośnie
Jak wskazuje Raport Antyfraudowy BIK 2025, 32% firm z sektora MŚP miało do czynienia z próbami wyłudzeń, a ponad 34% przedsiębiorstw było celem cyberataków. Ponad połowa organizacji deklaruje, że podobne incydenty powtarzały się wielokrotnie – nawet do 10 razy w ciągu roku. Wśród najczęstszych metod wymieniane są fałszywe e-maile oraz faktury z podmienionym numerem rachunku, czyli działania typowe dla Business Email Compromise.
Związek Banków Polskich oraz partnerzy kampanii apelują, aby:
- dokładnie weryfikować adres e-mail nadawcy – różnica jednej litery może oznaczać próbę oszustwa,
- nietypowe lub pilne prośby o płatność potwierdzać innym kanałem (np. telefonicznie lub podczas spotkania),
- nie działać pod presją czasu, bo pośpiech sprzyja cyberprzestępcom,
- wprowadzać procedury sprawdzania przelewów i zmian numerów rachunków.
W przypadku padnięcia ofiarą cyberoszusta kampania zachęca, by nie wstydzić się i zgłosić sprawę.
O kampanii
„Bankowcy dla CyberEdukacji” to inicjatywa Związku Banków Polskich, Fundacji. Warszawski Instytut Bankowości, Bankowego Centrum Cyberbezpieczeństwa oraz Policji i banków. Celem kampanii jest edukowanie użytkowników Internetu w obszarze cyberzagrożeń oraz budowanie świadomości, jak chronić siebie i bliskich przed oszustami.
