Socjotechnika
Wysoki
ZarządCFOKsięgowość

Oszustwo na fakturę — podmiana numeru konta

Invoice Fraud

Oszustwo na fakturę podmienia numer konta (IBAN) na prawdziwej fakturze i kieruje przelew do przestępcy. Jak rozpoznać i zabezpieczyć płatności?

4 min czytaniaPrzykład: Gmina Ostrowice i wiele polskich firm padło ofiarą podmiany numeru konta na fakturze — przelewy trafiały do przestępców zamiast do prawdziwych wykonawców
Udostępnij
Skrzynka odbiorcza — Microsoft OutlookSkrzynka odbiorcza1📤 Wysłane📝 Robocze🗑 Kosz⚠ Spam✉ Odpowiedz↗ Prześlij dalej🗑 Usuń⚑ FlagaStal-Bud — Księgowość09:15Re: Faktura FV/2026/0847 — zmiana numeru kontaRe: Faktura FV/2026/0847 — zmiana numeru kontaSStal-Bud Sp. z o.o. — Księgowość<[email protected]>09:15do: ty› Wątek: RE: RE: Faktura FV/2026/0847 (płatność do 20.07)Dzień dobry,w nawiązaniu do naszej korespondencji dot. faktury FV/2026/0847informujemy o zmianie numeru konta bankowego. Prosimy o realizacjęprzelewu na nowy rachunek podany poniżej:PL61 1090 1014 0000 0712 1981 2874Prosimy o pilną realizację jeszcze dziś — zamykamy okres rozliczeniowy.Sprawę prosimy traktować poufnie; w tym tygodniu nie kontaktujcie sięz nami telefonicznie.📎 Faktura_korekta.pdfNagła zmiananumeru konta!Literówka w domeniedostawca-sp.plzamiast dostawca.plPresja czasuma wymusićszybki przelewProśba o poufnośćblokuje weryfikacjęTO BYŁO OSZUSTWO NA FAKTURĘ— symulacja ataku —97%incydentów CERTPolska '25 to oszustwasetki tys. złtypowa strataMŚP z BEC< 15 minreakcja SOCSecIQseciq.pl

Kluczowe wnioski

  • Przestępca przejmuje skrzynkę e-mail dostawcy lub odbiorcy, obserwuje korespondencję o płatnościach i przy realnej fakturze podmienia numer konta na swój
  • To najczęstsza przyczyna bezpośredniej straty finansowej MŚP — pojedyncze przelewy to dziesiątki, a często setki tysięcy złotych
  • Główny sygnał ostrzegawczy: nagła zmiana numeru konta, presja pilności i prośba o poufność
  • Obrona: weryfikacja każdej zmiany IBAN drugim kanałem, MFA na poczcie, monitoring reguł przekierowań, szkolenia księgowości

Czym jest oszustwo na fakturę?

Oszustwo na fakturę (invoice fraud) to finansowa odmiana ataku BEC, w której przestępca doprowadza do przelania płatności na swoje konto zamiast na konto prawdziwego kontrahenta. Nie robi tego przez złośliwe oprogramowanie ani fałszywy link — wykorzystuje prawdziwą fakturę i autentyczną korespondencję, w której zmienia tylko jeden element: numer konta bankowego (IBAN).

To sprawia, że atak jest wyjątkowo trudny do wykrycia. Księgowość widzi znajomego dostawcę, spodziewaną kwotę i logiczny kontekst transakcji. Jedyna różnica — inny numer rachunku — wygląda jak rutynowa zmiana. Dlatego oszustwo na fakturę to najczęstsza przyczyna bezpośredniej straty finansowej w polskich MŚP, a pojedyncze straty sięgają dziesiątek, a nierzadko setek tysięcy złotych.

W odróżnieniu od spear phishingu i BEC na kadrę zarządzającą, który uderza w osoby decyzyjne fałszywym „poleceniem prezesa", oszustwo na fakturę celuje w rutynowy proces płatności — tam, gdzie faktury przechodzą codziennie i szybko.

Jak działa atak?

  1. Przejęcie dostępu do poczty — przestępca zdobywa dostęp do skrzynki e-mail po stronie dostawcy lub odbiorcy (wykradzione hasło, phishing, brak MFA). Może też zarejestrować domenę łudząco podobną do prawdziwej (literówka: faktury-firma.pl zamiast firma.pl).
  2. Cicha obserwacja — miesiącami śledzi korespondencję o płatnościach. Uczy się, kto komu wystawia faktury, w jakich kwotach, jakim językiem prowadzona jest komunikacja i kiedy zbliża się termin płatności. Często zakłada w skrzynce reguły przekierowań, by kopie wiadomości trafiały do niego niezauważenie.
  3. Podmiana IBAN — w momencie, gdy pojawia się realna faktura, przestępca przechwytuje ją i wysyła ofierze wersję z podmienionym numerem konta. Alternatywnie wysyła osobną wiadomość: „Uprzejmie informujemy o zmianie numeru rachunku bankowego — prosimy o aktualizację danych do przelewu".
  4. Przelew do przestępcy — księgowość realizuje płatność na wskazane konto w dobrej wierze. Pieniądze trafiają na konto słupa.
  5. Wyprowadzenie środków — kwota natychmiast przechodzi przez kaskadę kont i jest wypłacana lub wyprowadzana za granicę, co drastycznie utrudnia odzyskanie.

Wariant „na prezesa". Pokrewnym schematem jest fałszywe, pilne polecenie przelewu rzekomo od członka zarządu („Potrzebuję, żebyś teraz opłacił tę transakcję, sprawa poufna"). Mechanizm presji jest ten sam, ale to podmiana numeru konta na prawdziwej fakturze pozostaje wariantem najczęstszym i najkosztowniejszym.

Kogo dotyczy w Polsce?

Oszustwo na fakturę uderza przede wszystkim tam, gdzie przelewów jest dużo i idą szybko:

  • Działy księgowości i finansów — osoby realizujące płatności na podstawie faktur od stałych kontrahentów
  • MŚP bez rozbudowanego IT — firmy produkcyjne, budowlane, logistyczne i handlowe z wieloma dostawcami
  • Zarząd i CFO — autoryzujący większe transakcje, będący celem wariantu „na prezesa"
  • Samorządy i jednostki publiczne — duże płatności do wykonawców na podstawie faktur i umów

Skala oszustw internetowych w Polsce systematycznie rośnie. Według CERT Polska w 2024 roku oszustwa komputerowe stanowiły zdecydowaną większość obsłużonych incydentów, a liczba zgłoszeń rok do roku wzrosła o kilkadziesiąt procent. Oszustwo na fakturę jest jednym z najbardziej dotkliwych finansowo scenariuszy w tej kategorii — bo prowadzi wprost do utraty realnych pieniędzy, nie tylko danych.

Jak się chronić?

  1. Weryfikuj każdą zmianę numeru konta drugim kanałem — telefon do kontrahenta na znany numer z bazy (nigdy z e-maila). To najważniejsza pojedyncza bariera.
  2. Wprowadź procedurę autoryzacji przelewów — próg kwotowy powyżej którego wymagane są dwa podpisy oraz pisemne potwierdzenie zmiany danych bankowych.
  3. Włącz MFA na wszystkich skrzynkach e-mail — to blokuje przejęcie poczty, od którego cały atak się zaczyna.
  4. Monitoruj reguły przekierowań w skrzynkach — automatyczny forwarding do zewnętrznych adresów to klasyczny ślad przejętego konta.
  5. Szkól księgowość i finanse — zespół musi znać sygnały: nagła zmiana IBAN, presja pilności, prośba o poufność, drobna literówka w adresie nadawcy.
  6. Reaguj natychmiast po wykryciu — telefon do banku o wstrzymanie i odwołanie przelewu (recall), zgłoszenie na policję i do CERT Polska. Liczy się każda godzina.

Jak SecIQ pomaga?

  • SecIQ SOC monitoruje skrzynki e-mail 24/7 i wykrywa przejęcia kont: nietypowe logowania, podejrzane reguły przekierowań, dostęp z nieznanych lokalizacji
  • Microsoft Defender for Office 365 — ochrona poczty, wykrywanie look-alike domains i anomalii w korespondencji finansowej
  • Konfiguracja MFA i Conditional Access — blokada dostępu do poczty z nieznanych urządzeń i lokalizacji, zanim przestępca zacznie obserwację
  • Wdrożenie procedur weryfikacji płatności — praktyczna zasada drugiego kanału i progi autoryzacji dopasowane do Twoich procesów
  • Szkolenia dla księgowości i zarządu — rozpoznawanie oszustwa na fakturę i wariantu „na prezesa"

Operatorzy SecIQ znają Twoją firmę i Twoje procesy płatności — to nie anonimowy L1. Zamień pojedynczy przelew, który może zniknąć, na spokojną, kontrolowaną procedurę. Umów bezpłatną konsultację.

Źródła

Oszustwo na fakturęBECInvoice FraudPodmiana IBANPrzejęcie poczty
FAQ

Najczęściej zadawane pytania

Czym oszustwo na fakturę różni się od zwykłego phishingu?
Tu nie ma podejrzanego linku ani załącznika. Faktura jest prawdziwa, korespondencja autentyczna, a jedyna zmiana to numer konta. Przestępca wysyła ją z przejętej lub łudząco podobnej skrzynki, więc księgowość nie widzi klasycznych oznak oszustwa. Dlatego skuteczność tego ataku jest wysoka.
Czy da się odzyskać pieniądze po przelewie na konto oszusta?
Szansa rośnie tylko przy natychmiastowej reakcji. Po wykryciu należy od razu zadzwonić do swojego banku z prośbą o wstrzymanie i próbę odwołania przelewu (recall) oraz zgłosić sprawę na policję i do CERT Polska. Środki szybko przechodzą przez kaskadę kont słupów, więc każda godzina zmniejsza szanse odzysku.
Jak bezpiecznie zweryfikować zmianę numeru konta dostawcy?
Zasada drugiego kanału: zadzwoń do kontrahenta pod numer, który już masz w bazie — nigdy pod numer z e-maila proszącego o zmianę. Potwierdź nowy IBAN głosowo z osobą, którą znasz. Do momentu potwierdzenia realizuj przelew na dotychczasowe, znane konto.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Bezpłatna konsultacja · 15 min · bez zobowiązań