BlogPoradnik

Business Email Compromise — jak rozpoznać atak BEC i się bronić

BEC to atak bez malware — przestępca podszywa się pod CEO lub kontrahenta i wyłudza przelew. Schematy, sygnały ostrzegawcze, realne scenariusze i ochrona SOC.

SecIQ Team8 min czytania

Kluczowe wnioski

  • BEC to nie spam — to celowany atak na konkretną osobę w firmie, najczęściej z działu finansów
  • Straty z BEC globalnie przekraczają 2.7 mld USD rocznie — więcej niż ransomware
  • AI pozwala atakującym generować perfekcyjne e-maile i deepfake'i głosowe
  • Ochrona: Microsoft Defender for Office 365 + SOC + procedury weryfikacji przelewów

Dlaczego BEC jest groźniejszy niż ransomware

Business Email Compromise nie robi hałasu. Nie szyfruje plików, nie wyświetla notatki z żądaniem okupu, nie blokuje systemów. Wygląda jak zwykły e-mail od CEO: „Proszę o pilny przelew na poniższe konto. Sprawa poufna."

I właśnie dlatego jest tak skuteczny.

Ransomware ogłasza się sam — firma wie, że jest atakowana. BEC działa odwrotnie. Firma dowiaduje się o ataku dopiero wtedy, gdy pieniądze są już na koncie pośrednim w innym kraju. Zwykle po 24-48 godzinach. Wtedy odzyskanie jest praktycznie niemożliwe.

Według FBI, straty z BEC przekraczają 2.7 mld USD rocznie — więcej niż z ransomware. W Polsce CERT rejestruje setki zgłoszeń rocznie, a realna skala jest wielokrotnie większa, bo wiele firm nie zgłasza strat. Wstyd? Obawa o reputację? Przekonanie, że „to tylko nasza głupota, nie atak"?

To jest atak. Profesjonalny, zaplanowany i coraz trudniejszy do wykrycia.

Schemat ataku BEC — krok po kroku

Krok 1: Rekonesans

Atakujący zbiera informacje o firmie. Nie losowo — celowo.

  • Kto jest CEO, CFO, głównym księgowym? (LinkedIn, KRS, strona firmowa)
  • Jakie firmy są kontrahentami? (faktury w Google, social media)
  • Kiedy CEO wyjeżdża na konferencję? (posty na LinkedIn)
  • Jak wyglądają e-maile firmowe — stopka, ton, format? (wycieki danych, kontakt przez formularz)

AI automatyzuje ten proces. Skanuje setki firm jednocześnie, buduje profile decyzyjne, identyfikuje najsłabsze ogniwa w łańcuchu przelewów.

Krok 2: Przygotowanie

Atakujący przygotowuje infrastrukturę:

  • Rejestruje domenę łudząco podobną (np. seciq.pl → seciq-pl.com, sec1q.pl, secíq.pl z akcentem)
  • Lub — groźniej — przejmuje prawdziwe konto e-mail pracownika (przez phishing, credential stuffing, wyciek haseł)
  • Przygotowuje e-mail pasujący stylem do komunikacji firmy

W 2026 roku AI generuje e-maile nieodróżnialne od prawdziwych — poprawna gramatyka, ton firmy, kontekst biznesowy. Deepfake'i głosowe pozwalają nawet zadzwonić głosem CEO i potwierdzić „swój" e-mail telefonicznie.

To nie science fiction. To operational reality.

Krok 3: Atak

Najpopularniejsze schematy:

CEO fraud. „Jestem na konferencji, potrzebuję pilnego przelewu 150 000 PLN na to konto. Nie informuj nikogo, sprawa poufna." Działa, bo ludzie boją się odmówić szefowi. Szczególnie, gdy ton e-maila jest autorytatywny i gdy przelew mieści się w zakresie normalnych operacji.

Zmiana konta kontrahenta. „Zmieniliśmy bank. Proszę o aktualizację numeru konta w systemie." E-mail wygląda jak od stałego dostawcy — bo atakujący skopiował format, stopkę, a czasem nawet przejął prawdziwe konto pracownika dostawcy. Firma zmienia numer konta w systemie. Następna faktura trafia na konto atakującego.

Fałszywa faktura. Faktura identyczna jak prawdziwa — te same kolory, logo, NIP — ale z innym numerem konta. Jeśli firma nie weryfikuje numerów kont faktur (a większość nie weryfikuje systematycznie), przelew odchodzi.

Przejęcie konta. Najgroźniejszy wariant. Atakujący przejmuje prawdziwe konto e-mail pracownika. Wysyła wiadomości z autentycznego adresu. Filtry antyspamowe nie reagują, bo to prawdziwy nadawca. DMARC, SPF, DKIM — wszystko poprawne. Obrona jest możliwa tylko przez analizę zachowań: nietypowa godzina, nietypowa treść, nietypowy odbiorca.

Atak na łańcuch dostaw. Wariant coraz częstszy. Atakujący przejmuje konto w firmie partnerskiej — dostawcy IT, biurze rachunkowym, kancelarii prawnej. Z tego konta wysyła faktury lub prośby o dane do wszystkich klientów partnera. Jeden kompromis, wielu poszkodowanych.

Krok 4: Eksfiltracja

Pieniądze przelewane są na konto pośrednie — często w innym kraju UE, co wygląda jak normalny przelew SEPA. Stamtąd natychmiast dalej, zwykle poza Europę. Po 24-48 godzinach bank nie może już cofnąć transakcji.

Czasem atakujący nie celuje w pieniądze. Celuje w dane: listy klientów, umowy, dane osobowe. Te mają wartość na dark webie albo służą do kolejnych ataków.

Realne scenariusze — bo to nie teoria

Scenariusz 1: Główna księgowa i piątkowy przelew. Piątek, 15:30. Główna księgowa dostaje e-mail od CEO: „Proszę o przelew 87 000 PLN na konto poniżej. To zaliczka na usługę konsultingową. Poufne — nie informuj nikogo." CEO jest tego dnia na spotkaniu — nie odbiera telefonu. Księgowa robi przelew. W poniedziałek CEO mówi: „Jaki przelew?" Pieniądze są w Turcji.

Scenariusz 2: Zmiana konta dostawcy. Firma produkcyjna 200 osób. Regularnie płaci faktury dostawcy surowców. Przychodzi e-mail: „Zmieniliśmy bank. Nowy numer konta: [...]." E-mail wygląda identycznie jak poprzednie. Dział księgowości zmienia konto w systemie. Trzy faktury — łącznie 340 000 PLN — trafiają do atakujących. Firma odkrywa problem po telefonie od dostawcy: „Dlaczego nie płacicie?"

Scenariusz 3: Deepfake głosowy. CFO firmy logistycznej otrzymuje telefon od „CEO", który mówi znajomym głosem: „Musimy pilnie przelać 200 000 EUR na konto w Wielkiej Brytanii. Deal zamykamy dzisiaj." Głos jest syntetyczny — AI potrzebuje 3 sekund nagrania z YouTube'a albo podcastu, żeby sklonować głos. CFO robi przelew. Prawdziwy CEO jest w tym czasie na wakacjach.

To nie edge case'y. To scenariusze, które widzimy w raportach CERT Polska i z których uczymy naszych klientów.

Sygnały ostrzegawcze — naucz swój zespół

Rozpoznanie BEC wymaga treningu. Nie jednorazowego szkolenia raz w roku — regularnego powtarzania, symulacji, testowania. Oto sygnały:

Kurs online

Kurs NIS2 dla zarządów i IT managerów

Poznaj wymagania dyrektywy NIS2, harmonogram wdrożenia i kary. 4 moduły, certyfikat ukończenia.

Zapisz się na kurs
  • Pilność — „natychmiast", „dzisiaj", „nie może czekać", „deadline za godzinę"
  • Tajemność — „nie informuj nikogo", „sprawa poufna", „omów to tylko ze mną"
  • Zmiana numeru konta — jakiekolwiek, od kogokolwiek, w dowolnym kontekście
  • Nietypowy ton — CEO, który zwykle pisze formalnie, nagle pisze „hej, potrzebuję przysługi"
  • Odpowiedź na inny adres — nadawca wygląda OK, ale reply-to prowadzi gdzie indziej
  • Presja emocjonalna — „zawiedliśmy klienta", „straciliśmy kontrakt", „to moja odpowiedzialność"
  • Prośba o obejście procedur — „wyjątkowo bez dwóch podpisów", „zrób to teraz, dokumenty dogonimy"

Ostatni sygnał jest szczególnie zdradliwy. Atakujący wie, że firma ma procedury. Dlatego buduje scenariusz, w którym ich obejście wydaje się uzasadnione.

Jak SOC chroni przed BEC

BEC to atak, który wymaga obrony na trzech poziomach: technologia, monitoring i procedury. Żaden z nich osobno nie wystarczy.

Technologia: Microsoft Defender for Office 365

W SecIQ SOC konfigurujemy i monitorujemy:

  • Anti-impersonation — wykrywanie e-maili podszywających się pod znane osoby w firmie. Jeśli ktoś podszywa się pod CEO — Defender to flaguje
  • Safe Links / Safe Attachments — analiza linków i załączników w sandboxie. BEC rzadko zawiera malware, ale warianty hybrydowe — tak
  • Mailbox intelligence — AI uczy się wzorców komunikacji każdego użytkownika i flaguje anomalie. Jeśli księgowa nigdy nie dostawała e-maili od CEO z prośbą o przelew — system to zauważy
  • DMARC/SPF/DKIM — weryfikacja, czy e-mail rzeczywiście pochodzi z deklarowanej domeny. Nie chroni przed przejętym kontem, ale eliminuje proste podszywanie się

Monitoring SOC — to, czego technologia nie złapie

Technologia wyłapie część ataków. Ale przejęte konto z poprawnym DMARC? Deepfake potwierdzający e-mail telefonicznie? Tu potrzebny jest analityk, który patrzy na kontekst.

Nasi analitycy monitorują:

  • Reguły przekierowania poczty — atakujący po przejęciu konta tworzą reguły, które ukrywają ich aktywność. Reguła: „wszystkie e-maile od [kontrahent] przenieś do ukrytego folderu"
  • Logowania z nietypowych lokalizacji do skrzynek pocztowych — szczególnie VPN i proxy
  • Masowe pobieranie list kontaktów lub poczty — sygnał przygotowania do ataku na łańcuch dostaw
  • Tworzenie nowych kont lub zmianę uprawnień — eskalacja po uzyskaniu pierwszego dostępu
  • Anomalie w komunikacji — nagły wzrost e-maili do działu finansów, nowe kontakty, nietypowe godziny

Procedury — druga połowa obrony

Technologia i monitoring to połowa rozwiązania. Druga połowa to procedury, które działają nawet wtedy, gdy e-mail wygląda idealnie:

  • Weryfikacja telefoniczna każdej zmiany numeru konta — na znany numer z bazy kontaktów, nie na numer z e-maila
  • Podwójna autoryzacja przelewów powyżej ustalonej kwoty — dwie osoby muszą zatwierdzić
  • Callback verification — dla przelewów powyżej progowej kwoty firma dzwoni do kontrahenta i potwierdza dane
  • Szkolenia pracowników z rozpoznawania BEC — regularne, nie jednorazowe. Symulacje phishingowe co kwartał
  • Zasada „slow down" — procedura, która mówi: „jeśli e-mail wywiera presję czasową, zwolnij i zweryfikuj"

Procedura brzmi banalnie. Ale banalne procedury ratują firmy przed stratami rzędu setek tysięcy złotych. Warunek: ludzie muszą je znać i muszą wiedzieć, że nie zostaną ukarani za opóźnienie przelewu, gdy weryfikują.

Co zrobić, gdy BEC się udał

Czas jest wszystkim. Każda godzina zmniejsza szansę na odzyskanie pieniędzy.

  1. Natychmiast skontaktuj się z bankiem — zablokuj przelew. Jeśli pieniądze nie opuściły konta pośredniego, jest szansa
  2. Zgłoś do organów ścigania (policja) i CERT Polska
  3. Jeśli podlegasz KSC 2.0 — zgłoś do CSIRT w 24h
  4. Zabezpiecz dowody — e-maile, logi, nagłówki wiadomości, logi logowania
  5. Sprawdź, czy konto nadawcy nie zostało przejęte — zmień hasło, włącz MFA, przejrzyj reguły przekierowania
  6. Poinformuj pracowników — żeby nikt inny nie padł ofiarą tej samej kampanii
  7. Przejrzyj ostatnie przelewy — czy atakujący nie złożył więcej fałszywych dyspozycji

Dlaczego „u nas to się nie zdarzy" to najgorsze założenie

Firmy, które padają ofiarą BEC, nie są naiwne. Mają księgowe z 20-letnim stażem, działy finansów z procedurami, zarządy z doświadczeniem. Atakujący to nie amatorzy wysyłający spam — to profesjonaliści, którzy przez tygodnie budują profil firmy, czekają na odpowiedni moment i uderzają z chirurgiczną precyzją.

Obrona przed BEC to nie jedna warstwa. To kombinacja technologii (Defender for Office 365), monitoringu (SOC, który widzi anomalie w poczcie), procedur (weryfikacja przelewów) i ludzi, którzy wiedzą, na co patrzeć.

W SecIQ te cztery elementy — Ludzie, Technologia, Procedury i AI — działają razem. AI analizuje wzorce komunikacji i flaguje anomalie. Technologia blokuje podszywanie się. Procedury wymagają weryfikacji. A ludzie — nasi analitycy i Twój zespół — podejmują decyzje.

Żadna firma nie jest za mała na atak BEC. Ale każda firma może się przygotować tak, żeby atak nie skończył się przelewem na konto atakującego.

Umów bezpłatną konsultację z SecIQ →

Źródła

FAQ

Co to jest atak BEC?
Business Email Compromise to atak, w którym przestępca podszywa się pod zaufaną osobę (CEO, kontrahenta, dział prawny) i nakłania ofiarę do wykonania przelewu, udostępnienia danych lub zmiany numeru konta. Nie wymaga malware — opiera się na manipulacji.
Jak rozpoznać e-mail BEC?
Sygnały: pilność ('przelej natychmiast'), zmiana numeru konta, nietypowy ton komunikacji, prośba o dyskrecję ('nie mów nikomu'), nadawca wygląda prawidłowo ale odpowiedź idzie na inny adres. Zawsze weryfikuj telefonicznie na znany numer.
Czy antywirus chroni przed BEC?
Nie. BEC nie zawiera malware, więc antywirus go nie wykryje. Potrzebna jest ochrona poczty (Defender for Office 365), monitoring SOC i procedury weryfikacji przelewów powyżej określonej kwoty.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.

O zespole →

Powiązane artykuły

Poradnik

Cyberatak — rodzaje, scenariusze i ochrona firmy

10 min czytania

Poradnik

Cyberbezpieczeństwo dla firm — kompletny przewodnik 2026

12 min czytania

Poradnik

KSC 2.0 — ustawa o krajowym systemie cyberbezpieczeństwa

10 min czytania
Wróć do bloga