Business Email Compromise (BEC): jak cyberprzestępcy wyłudzają miliony

Cyfrowa transformacja zwiększa efektywność firm, jednak jednocześnie podnosi poziom zagrożeń cybernetycznych. Jednym z najbardziej niebezpiecznych i jednocześnie niedocenianych zagrożeń jest Business Email Compromise (BEC). To zaawansowane oszustwo wykorzystuje zaufanie, strukturę organizacyjną oraz nieuwagę pracowników. W efekcie firmy tracą znaczne sumy pieniędzy bez użycia złośliwego oprogramowania.

Czym jest Business Email Compromise?

Business Email Compromise to forma cyberprzestępczości oparta na manipulacji i socjotechnice. Przestępcy podszywają się pod zaufane osoby, takie jak dyrektorzy, księgowi lub kontrahenci. Celem ataku jest wymuszenie nieautoryzowanego przelewu lub pozyskanie wrażliwych informacji. W przeciwieństwie do klasycznego phishingu ataki BEC są precyzyjne i trudniejsze do wykrycia. Zazwyczaj nie zawierają linków ani załączników, co utrudnia ich identyfikację.

Jak działają przestępcy?

Ataki BEC poprzedza szczegółowy rekonesans organizacji. Cyberprzestępcy analizują strony internetowe firm, media społecznościowe oraz publiczne rejestry. Dzięki temu poznają strukturę organizacyjną, styl komunikacji i procesy decyzyjne. Często wykorzystują także przejęte konta e-mail z wcześniejszych kampanii phishingowych.

Najczęściej spotykane scenariusze ataków BEC obejmują:

Podszycie się pod CEO lub CFO (CEO fraud) – wiadomość z pilną prośbą o przelew.
Zmianę danych kontrahenta (vendor fraud) – podmianę numeru konta dostawcy.
Przejęcie skrzynki pracownika – wysyłkę poleceń z autentycznego konta e-mail.

Treści wiadomości wywołują presję czasu, wykorzystują autorytet i ograniczają weryfikację.

Skala zagrożenia BEC

Według najnowszego raportu FBI IC3 za 2024 r., opublikowanego w 2025 r., ataki BEC spowodowały około 2,7 mld dolarów strat. Dane te czynią BEC jednym z najbardziej kosztownych rodzajów oszustw internetowych na świecie. Analizy FBI IC3 wskazują również, że łączne „exposed losses” związane z BEC przekroczyły 55,5 mld dolarów globalnie.

W Polsce skutki takich ataków są równie dotkliwe, szczególnie dla średnich i dużych organizacji. Według danych CERT Polska setki tysięcy zgłoszeń phishingowych rocznie tworzą główny wektor prowadzący do ataków BEC. Co istotne, wiele incydentów nadal nie trafia do statystyk z powodu obaw reputacyjnych i konsekwencji wewnętrznych.

Jak chronić firmę przed Business Email Compromise?

1. Zabezpieczenia techniczne

Wdrożenie uwierzytelniania dwuskładnikowego (2FA) dla wszystkich kont e-mail.
Poprawna konfiguracja protokołów SPF, DKIM oraz DMARC dla domen firmowych.
Stałe monitorowanie logowań i wykrywanie anomalii w systemach pocztowych.

2. Procedury operacyjne

Weryfikacja przelewów powyżej ustalonej kwoty przez drugi kanał komunikacji.
Podwójna autoryzacja każdej zmiany danych kontrahenta.
Regularne przeglądy uprawnień oraz dostępów do systemów.

3. Szkolenia i budowanie świadomości

Cykliczne szkolenia z rozpoznawania ataków socjotechnicznych.
Symulacje fałszywych wiadomości e-mail oparte na realnych scenariuszach.
Kampanie edukacyjne prezentujące prawdziwe przypadki ataków BEC.

Jak pomagamy firmom?

Business Email Compromise stanowi realne zagrożenie dla każdej organizacji. Skuteczność ataków wynika głównie z wykorzystania czynnika ludzkiego i zaufania. Dlatego ochrona wymaga połączenia technologii, procedur oraz świadomych pracowników. Warto zastanowić się, czy osoby w Twojej organizacji potrafią rozpoznawać zagrożenie i zapobiegać stratom finansowym oraz reputacyjnym.

Jeśli chcesz wzmocnić odporność zespołu na takie scenariusze, poznaj naszą usługę Aurora Phishing. To praktyczne symulacje i szkolenia, które zwiększają czujność pracowników oraz ograniczają ryzyko kosztownych incydentów.