Oszustwo na fakturę — podmiana numeru konta
Invoice Fraud
Oszustwo na fakturę podmienia numer konta (IBAN) na prawdziwej fakturze i kieruje przelew do przestępcy. Jak rozpoznać i zabezpieczyć płatności?
MITRE ATT&CK
Taktyka
Collection(TA0009)Technika
Email Collection(T1114)Kluczowe wnioski
- ◆Przestępca przejmuje skrzynkę e-mail dostawcy lub odbiorcy, obserwuje korespondencję o płatnościach i przy realnej fakturze podmienia numer konta na swój
- ◆To najczęstsza przyczyna bezpośredniej straty finansowej MŚP — pojedyncze przelewy to dziesiątki, a często setki tysięcy złotych
- ◆Główny sygnał ostrzegawczy: nagła zmiana numeru konta, presja pilności i prośba o poufność
- ◆Obrona: weryfikacja każdej zmiany IBAN drugim kanałem, MFA na poczcie, monitoring reguł przekierowań, szkolenia księgowości
Czym jest oszustwo na fakturę?
Oszustwo na fakturę (invoice fraud) to finansowa odmiana ataku BEC, w której przestępca doprowadza do przelania płatności na swoje konto zamiast na konto prawdziwego kontrahenta. Nie robi tego przez złośliwe oprogramowanie ani fałszywy link — wykorzystuje prawdziwą fakturę i autentyczną korespondencję, w której zmienia tylko jeden element: numer konta bankowego (IBAN).
To sprawia, że atak jest wyjątkowo trudny do wykrycia. Księgowość widzi znajomego dostawcę, spodziewaną kwotę i logiczny kontekst transakcji. Jedyna różnica — inny numer rachunku — wygląda jak rutynowa zmiana. Dlatego oszustwo na fakturę to najczęstsza przyczyna bezpośredniej straty finansowej w polskich MŚP, a pojedyncze straty sięgają dziesiątek, a nierzadko setek tysięcy złotych.
W odróżnieniu od spear phishingu i BEC na kadrę zarządzającą, który uderza w osoby decyzyjne fałszywym „poleceniem prezesa", oszustwo na fakturę celuje w rutynowy proces płatności — tam, gdzie faktury przechodzą codziennie i szybko.
Jak działa atak?
- Przejęcie dostępu do poczty — przestępca zdobywa dostęp do skrzynki e-mail po stronie dostawcy lub odbiorcy (wykradzione hasło, phishing, brak MFA). Może też zarejestrować domenę łudząco podobną do prawdziwej (literówka:
faktury-firma.plzamiastfirma.pl). - Cicha obserwacja — miesiącami śledzi korespondencję o płatnościach. Uczy się, kto komu wystawia faktury, w jakich kwotach, jakim językiem prowadzona jest komunikacja i kiedy zbliża się termin płatności. Często zakłada w skrzynce reguły przekierowań, by kopie wiadomości trafiały do niego niezauważenie.
- Podmiana IBAN — w momencie, gdy pojawia się realna faktura, przestępca przechwytuje ją i wysyła ofierze wersję z podmienionym numerem konta. Alternatywnie wysyła osobną wiadomość: „Uprzejmie informujemy o zmianie numeru rachunku bankowego — prosimy o aktualizację danych do przelewu".
- Przelew do przestępcy — księgowość realizuje płatność na wskazane konto w dobrej wierze. Pieniądze trafiają na konto słupa.
- Wyprowadzenie środków — kwota natychmiast przechodzi przez kaskadę kont i jest wypłacana lub wyprowadzana za granicę, co drastycznie utrudnia odzyskanie.
Wariant „na prezesa". Pokrewnym schematem jest fałszywe, pilne polecenie przelewu rzekomo od członka zarządu („Potrzebuję, żebyś teraz opłacił tę transakcję, sprawa poufna"). Mechanizm presji jest ten sam, ale to podmiana numeru konta na prawdziwej fakturze pozostaje wariantem najczęstszym i najkosztowniejszym.
Kogo dotyczy w Polsce?
Oszustwo na fakturę uderza przede wszystkim tam, gdzie przelewów jest dużo i idą szybko:
- Działy księgowości i finansów — osoby realizujące płatności na podstawie faktur od stałych kontrahentów
- MŚP bez rozbudowanego IT — firmy produkcyjne, budowlane, logistyczne i handlowe z wieloma dostawcami
- Zarząd i CFO — autoryzujący większe transakcje, będący celem wariantu „na prezesa"
- Samorządy i jednostki publiczne — duże płatności do wykonawców na podstawie faktur i umów
Skala oszustw internetowych w Polsce systematycznie rośnie. Według CERT Polska w 2024 roku oszustwa komputerowe stanowiły zdecydowaną większość obsłużonych incydentów, a liczba zgłoszeń rok do roku wzrosła o kilkadziesiąt procent. Oszustwo na fakturę jest jednym z najbardziej dotkliwych finansowo scenariuszy w tej kategorii — bo prowadzi wprost do utraty realnych pieniędzy, nie tylko danych.
Jak się chronić?
- Weryfikuj każdą zmianę numeru konta drugim kanałem — telefon do kontrahenta na znany numer z bazy (nigdy z e-maila). To najważniejsza pojedyncza bariera.
- Wprowadź procedurę autoryzacji przelewów — próg kwotowy powyżej którego wymagane są dwa podpisy oraz pisemne potwierdzenie zmiany danych bankowych.
- Włącz MFA na wszystkich skrzynkach e-mail — to blokuje przejęcie poczty, od którego cały atak się zaczyna.
- Monitoruj reguły przekierowań w skrzynkach — automatyczny forwarding do zewnętrznych adresów to klasyczny ślad przejętego konta.
- Szkól księgowość i finanse — zespół musi znać sygnały: nagła zmiana IBAN, presja pilności, prośba o poufność, drobna literówka w adresie nadawcy.
- Reaguj natychmiast po wykryciu — telefon do banku o wstrzymanie i odwołanie przelewu (recall), zgłoszenie na policję i do CERT Polska. Liczy się każda godzina.
Jak SecIQ pomaga?
- SecIQ SOC monitoruje skrzynki e-mail 24/7 i wykrywa przejęcia kont: nietypowe logowania, podejrzane reguły przekierowań, dostęp z nieznanych lokalizacji
- Microsoft Defender for Office 365 — ochrona poczty, wykrywanie look-alike domains i anomalii w korespondencji finansowej
- Konfiguracja MFA i Conditional Access — blokada dostępu do poczty z nieznanych urządzeń i lokalizacji, zanim przestępca zacznie obserwację
- Wdrożenie procedur weryfikacji płatności — praktyczna zasada drugiego kanału i progi autoryzacji dopasowane do Twoich procesów
- Szkolenia dla księgowości i zarządu — rozpoznawanie oszustwa na fakturę i wariantu „na prezesa"
Operatorzy SecIQ znają Twoją firmę i Twoje procesy płatności — to nie anonimowy L1. Zamień pojedynczy przelew, który może zniknąć, na spokojną, kontrolowaną procedurę. Umów bezpłatną konsultację.
Źródła
- CERT Polska — Krajobraz bezpieczeństwa polskiego internetu, raporty roczne — statystyki incydentów i oszustw komputerowych w Polsce
- FBI IC3 — Business Email Compromise — dane o stratach z oszustw e-mailowych i invoice fraud
- Związek Banków Polskich — bezpieczeństwo płatności — rekomendacje dotyczące weryfikacji przelewów i ochrony przed oszustwami
Najczęściej zadawane pytania
Czym oszustwo na fakturę różni się od zwykłego phishingu?
Czy da się odzyskać pieniądze po przelewie na konto oszusta?
Jak bezpiecznie zweryfikować zmianę numeru konta dostawcy?
SecIQ Team
Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.
Powiązane ataki
Chroń swoją organizację
SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.
Bezpłatna konsultacja · 15 min · bez zobowiązań