Atak BEC: jak rozpoznać CEO fraud i ochronić firmę

W 2023 roku FBI odnotowało globalne straty z tytułu ataków BEC na poziomie 2,9 miliarda dolarów — i to tylko przypadki zgłoszone. Business Email Compromise nie wymaga zaawansowanego złośliwego oprogramowania: wystarczy sprytnie sfałszowana wiadomość e-mail i chwila nieuwagi pracownika działu finansów. Jeśli chcesz wiedzieć, jak działa ten atak, jak go rozpoznać i — przede wszystkim — jak skutecznie chronić firmę przed stratą, ten poradnik jest dla Ciebie.

Czym jest atak BEC (Business Email Compromise)?

BEC to kategoria cyberataku, w której przestępca podszywa się pod zaufaną osobę lub instytucję — najczęściej prezesa firmy, dyrektora finansowego, kontrahenta lub prawnika — aby nakłonić ofiarę do wykonania przelewu lub ujawnienia poufnych danych. Kluczowe jest to, że atak opiera się wyłącznie na inżynierii społecznej, a nie na wirusach czy exploitach.

Według raportu Verizon DBIR 2024, ataki BEC odpowiadają za niemal 9% wszystkich naruszeń bezpieczeństwa danych w sektorze biznesowym. W Polsce przypadki Business Email Compromise Polska są regularnie odnotowywane przez CERT Polska — w raporcie za 2023 rok phishing i spoofing (podstawa BEC) stanowiły łącznie ponad 64% zgłoszonych incydentów.

Jak BEC różni się od zwykłego phishingu?

Phishing jest zazwyczaj masowy i mało spersonalizowany. Atak BEC jest ukierunkowany (ang. spear phishing) — przestępca wcześniej zbiera informacje o firmie: strukturę organizacyjną, imiona i nazwiska kadry zarządzającej, nazwy kontrahentów, terminy płatności. Wiadomość wygląda wiarygodnie, bo jest wiarygodna w szczegółach.

Główne warianty ataku BEC

Nie istnieje jeden schemat BEC. Przestępcy stosują kilka sprawdzonych scenariuszy, dopasowując je do branży i struktury ofiary.

CEO fraud email — schemat krok po kroku

To najczęstszy wariant w Polsce. Pracownik działu finansowego otrzymuje e-mail rzekomo od prezesa z prośbą o pilny, poufny przelew — często z dopiskiem „nie konsultuj z nikim, sprawa jest wrażliwa biznesowo". Adres nadawcy wygląda prawie identycznie jak prawdziwy (np. jan.kowalski@firma-pl.com zamiast jan.kowalski@firma.pl). Presja czasowa i autorytet nadawcy wyłączają krytyczne myślenie.

Fake Invoice — zmiana numeru konta

Atakujący monitoruje korespondencję między firmą a jej dostawcą (po przejęciu jednej ze skrzynek lub przez spoofing domeny), a następnie w odpowiednim momencie wysyła fakturę z zmienionym numerem rachunku bankowego. Treść, logo i styl dokumentu są identyczne jak oryginał. Straty w tym wariancie sięgają średnio kilkudziesięciu tysięcy złotych na incydent.

Jak rozpoznać atak BEC? Sygnały ostrzegawcze

Większość ataków BEC można wykryć, jeśli pracownicy wiedzą, na co zwracać uwagę. Poniżej lista konkretnych czerwonych flag.

Techniczne sygnały w nagłówkach wiadomości

• Adres „Reply-To" różni się od adresu „From" — to klasyczny spoofing. Wiadomość wygląda jak od prezesa, ale odpowiedź trafi do atakującego.
• Domena nadawcy różni się o jeden znak — tzw. typosquatting (np. firmaa.pl, firma-pl.com, firna.pl).
• Brak podpisu DKIM lub SPF fail — widoczne w nagłówkach technicznych wiadomości (w każdym kliencie pocztowym można je sprawdzić).
• Wiadomość pochodzi z zewnętrznego serwera mimo że adres wygląda jak wewnętrzny — wskazuje na przejęcie konta lub spoofing.

Behawioralne sygnały w treści

• Prośba o pilny przelew poza standardową procedurą zatwierdzania.
• Polecenie zachowania pełnej poufności wobec innych pracowników.
• Zmiana numeru konta bankowego kontrahenta tuż przed terminem płatności.
• Wiadomość wysłana poza godzinami pracy lub z urządzenia mobilnego (co tłumaczy ewentualne błędy stylistyczne).
• Prośba o dane osobowe pracowników (numery PESEL, PIT-y) bez wyraźnego kontekstu biznesowego.

Jak chronić firmę przed BEC — procedury krok po kroku

Ochrona przed atakiem na firmową pocztę wymaga działań na trzech poziomach: technicznym, proceduralnym i ludzkim. Żaden z nich nie wystarczy samodzielnie.

Poziom 1: Zabezpieczenia techniczne poczty

Pierwsza linia obrony to prawidłowa konfiguracja infrastruktury e-mail. Bezpieczeństwo poczty firmowej opiera się na trzech standardach uwierzytelniania:

• SPF (Sender Policy Framework) — rekord DNS wskazujący, które serwery mogą wysyłać pocztę w imieniu Twojej domeny. Bez SPF każdy może podszyć się pod Twój adres.
• DKIM (DomainKeys Identified Mail) — kryptograficzny podpis wiadomości. Odbiorca może zweryfikować, że e-mail nie był modyfikowany po wysłaniu.
• DMARC (Domain-based Message Authentication, Reporting and Conformance) — polityka określająca, co zrobić z wiadomościami, które nie przejdą SPF/DKIM. Ustawienie p=reject blokuje spoofing Twojej domeny u odbiorców.

Wdrożenie wszystkich trzech rekordów to minimum dla każdej firmy wysyłającej pocztę firmową. Narzędzia takie jak MailerPRO wymuszają poprawną konfigurację SPF i DKIM już na etapie onboardingu, co eliminuje podstawowy wektor ataku spoofingowego.

Poziom 2: Uwierzytelnianie wieloskładnikowe (MFA)

Przejęcie konta e-mail pracownika (wariant Account Compromise) jest możliwe, gdy atakujący zdobędzie hasło — przez phishing, wyciek z innego serwisu lub atak brute force. MFA (Multi-Factor Authentication) sprawia, że samo hasło nie wystarczy. Wdrożenie MFA na wszystkich skrzynkach firmowych redukuje ryzyko przejęcia konta o ponad 99% według danych Microsoft.

Poziom 3: Procedury weryfikacji przelewów

Technologia nie zastąpi procedur. Każda firma powinna wdrożyć zasadę weryfikacji kanałem alternatywnym dla każdej zmiany danych bankowych i każdego niestandardowego przelewu:

1. Otrzymujesz e-mail ze zmianą numeru konta kontrahenta → dzwonisz pod znany wcześniej numer telefonu (nie ten z e-maila) i potwierdzasz zmianę głosowo.
2. Prezes prosi o pilny przelew e-mailem → weryfikujesz bezpośrednio (osobiście, telefonicznie, przez komunikator wewnętrzny), zanim wykonasz operację.
3. Dla przelewów powyżej ustalonego progu (np. 10 000 zł) wymagane są dwa podpisy lub zatwierdzenie przez drugą osobę.

Procedury powinny być zapisane w formie dokumentu wewnętrznego i podpisane przez pracowników. W kontekście RODO (art. 32 RODO — środki techniczne i organizacyjne) brak takich procedur może być traktowany jako naruszenie obowiązku ochrony danych, jeśli atak skutkuje wyciekiem danych osobowych.

Poziom 4: Szkolenia pracowników

Najsłabszym ogniwem zawsze jest człowiek. Regularne szkolenia z rozpoznawania ataków BEC powinny obejmować:

• Praktyczne ćwiczenia z analizy nagłówków e-mail (każdy pracownik działu finansów powinien umieć sprawdzić adres Reply-To).
• Symulowane ataki phishingowe — wewnętrzne testy sprawdzające czujność zespołu.
• Jasne scenariusze: „co robię, gdy otrzymuję prośbę o pilny przelew od prezesa".
• Procedurę zgłaszania podejrzanych wiadomości do działu IT bez obawy przed konsekwencjami.

Szkolenia powinny odbywać się co najmniej raz w roku, a nowi pracownicy powinni przechodzić je w ramach onboardingu — szczególnie osoby z dostępem do finansów i danych kadrowych.

Poziom 5: Monitoring i reagowanie na incydenty

Nawet najlepsze zabezpieczenia nie dają 100% gwarancji. Dlatego niezbędny jest plan reagowania na incydent BEC:

• Natychmiastowy kontakt z bankiem po wykryciu nieautoryzowanego przelewu — w Polsce banki mają obowiązek podjęcia próby zatrzymania transakcji (zgodnie z ustawą o usługach płatniczych, art. 46). Czas reakcji jest kluczowy — przelew można cofnąć tylko przed jego rozliczeniem.
• Zgłoszenie do CERT Polska (incydent.cert.pl) oraz na Policję — cyberprzestępczość jest ścigana z art. 287 Kodeksu karnego (oszustwo komputerowe).
• Analiza powłamaniowa — ustalenie, czy atakujący miał dostęp do skrzynki (Account Compromise), co może oznaczać naruszenie danych osobowych wymagające zgłoszenia do UODO w ciągu 72 godzin (art. 33 RODO).
• Dokumentacja całego incydentu na potrzeby ubezpieczyciela (polisy cyber) i ewentualnego postępowania.

BEC a RODO — obowiązki prawne polskich firm

Atak BEC często skutkuje naruszeniem danych osobowych — szczególnie w wariancie Data Theft (kradzież danych kadrowych) lub Account Compromise (dostęp do korespondencji zawierającej dane klientów). W takim przypadku administrator danych ma obowiązek:

• Zgłosić naruszenie do Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od jego wykrycia (art. 33 RODO), chyba że naruszenie nie powoduje ryzyka dla praw i wolności osób fizycznych.
• Poinformować osoby, których dane dotyczą, jeśli naruszenie może powodować wysokie ryzyko (art. 34 RODO).
• Udokumentować naruszenie w rejestrze naruszeń (art. 33 ust. 5 RODO).

Brak zgłoszenia lub nieterminowe zgłoszenie może skutkować administracyjną karą pieniężną do 10 milionów euro lub 2% rocznego obrotu (art. 83 ust. 4 RODO). UODO w Polsce nałożył już kilka kar za nieprawidłowe postępowanie po incydentach bezpieczeństwa.

Checklista: minimalne zabezpieczenia przed BEC

Poniższa lista to punkt startowy dla każdej firmy, która chce realnie ograniczyć ryzyko ataku BEC:

1. ✅ Wdrożony rekord SPF dla wszystkich domen firmowych
2. ✅ Skonfigurowany DKIM na serwerach wysyłających pocztę
3. ✅ Polityka DMARC p=quarantine lub p=reject
4. ✅ MFA aktywne na wszystkich skrzynkach firmowych
5. ✅ Pisemna procedura weryfikacji zmian danych bankowych kontrahentów
6. ✅ Zasada podwójnego zatwierdzania przelewów powyżej ustalonego progu
7. ✅ Roczne szkolenia pracowników z rozpoznawania BEC/phishingu
8. ✅ Zdefiniowana procedura reagowania na incydent (kontakt z bankiem, CERT, UODO)
9. ✅ Rejestr naruszeń danych osobowych prowadzony zgodnie z RODO

Podsumowanie

Atak BEC to nie science fiction — to realne zagrożenie, które każdego roku kosztuje polskie firmy miliony złotych. Dobra wiadomość jest taka, że zdecydowana większość ataków BEC jest możliwa do wykrycia i zablokowania przy stosunkowo niewielkim nakładzie pracy: poprawna konfiguracja poczty, MFA, procedury weryfikacji i przeszkoleni pracownicy eliminują 90% wektorów ataku. Zacznij od checklisty powyżej — wdróż brakujące punkty jeden po drugim, zaczynając od SPF/DKIM/DMARC i MFA. To inwestycja liczona w godzinach pracy, która może uchronić firmę przed stratą liczoną w setkach tysięcy złotych. Jeśli korzystasz z własnych serwerów SMTP do wysyłki firmowej poczty, upewnij się, że narzędzie, którego używasz — jak MailerPRO — wspiera i weryfikuje te konfiguracje. Bezpieczeństwo poczty firmowej zaczyna się od fundamentów.