Wróć do encyklopedii
Zagrożenie krytyczne — wysoki priorytet obrony
Socjotechnika
Krytyczny
ZarządCISOFinanse

Spear Phishing i BEC — atak na kadrę zarządzającą

Spear Phishing / Business Email Compromise

Spear phishing i BEC to celowane ataki na osoby decyzyjne w firmie. Średnia strata to 125 000 USD. Jak rozpoznać i się bronić?

2 min czytaniaPrzykład: Atak BEC na FACC — austriacki producent lotniczy stracił 42 mln EUR (2016)
Udostępnij
Skrzynka odbiorcza — Microsoft OutlookSkrzynka odbiorcza1📤 Wysłane📝 Robocze🗑 Kosz⚠ Spam✉ Odpowiedz↗ Prześlij dalej🗑 Usuń⚑ FlagaJan Kowalski (Prezes Zarządu)14:08PILNE — przelew dla nowego kontrahentaPILNE — przelew dla nowego kontrahentaJKJan Kowalski — Prezes Zarządu<[email protected]>14:08do: a.nowak (Finanse)Aniu,Finalizuję dziś poufną transakcję z nowym kontrahentem.Proszę niezwłocznie wykonać przelew na kwotę 87 500 PLNna konto w załączonej fakturze — musi wyjść do końca dnia.Nie informuj nikogo o tej transakcji — szczegóły omówimypo podpisaniu umowy. Liczę na Ciebie.Pozdrawiam,Jan KowalskiWysłano z iPhoneFałszywa domena!firma-grupa.comzamiast firma.plNietypowe żądanieCEO nie prosio przelewy mailemPresja czasuma uniemożliwićweryfikację📱 Pretekst:brak formalnego styluUnika telefonicznej weryfikacjiTO BYŁ BEC— Business Email Compromise —125 tys. $średnia strataz ataku BEC51 mld $straty globalnez BEC (FBI 2013-25)2 kanaływeryfikacjazatrzymuje atakseciq.pl

MITRE ATT&CK

Kluczowe wnioski

  • BEC (Business Email Compromise) to najkosztowniejszy typ cyberataku — średnia strata 125 000 USD
  • Atakujący podszywa się pod CEO, CFO lub dostawcę i żąda pilnego przelewu
  • W 2026 deepfake audio i AI czynią te ataki niezwykle wiarygodnymi
  • Obrona: procedury weryfikacji przelewów + DMARC + szkolenia kadry zarządzającej

Czym jest spear phishing i BEC?

Spear phishing to ukierunkowany atak phishingowy wymierzony w konkretną osobę lub grupę osób. W odróżnieniu od masowego phishingu, atakujący przeprowadza dokładny rekonesans i tworzy spersonalizowaną wiadomość.

BEC (Business Email Compromise) to szczególnie niebezpieczna odmiana spear phishingu, w której atakujący podszywa się pod osobę decyzyjną w firmie (CEO, CFO, dyrektora) lub zaufanego dostawcę, i żąda pilnego przelewu bankowego lub zmiany danych płatniczych.

FBI szacuje, że straty z BEC przekroczyły 51 mld USD globalnie w latach 2013-2025.

Jak działa atak?

  1. Rekonesans — atakujący studiuje strukturę firmy na LinkedIn, KRS, stronie www. Identyfikuje osoby decyzyjne, relacje służbowe, bieżące projekty
  2. Przejęcie lub imitacja e-maila — włamuje się na skrzynkę CEO (credential theft) lub rejestruje domenę łudząco podobną (np. seciq-pl.com zamiast seciq.pl)
  3. Budowanie zaufania — czasem prowadzi korespondencję przez kilka dni, zanim przejdzie do żądania
  4. Żądanie — "Pilny przelew na konto dostawcy", "Zmiana numeru konta dla faktury X", "Opłata za poufną transakcję — nie informuj nikogo"
  5. Transfer środków — po przelaniu pieniądze trafiają przez kaskadę kont i są trudne do odzyskania

Kogo dotyczy w Polsce?

  • Kadra zarządzająca — CEO, CFO, właściciele firm (szczególnie MŚP bez rozwiniętego IT)
  • Działy finansowe i księgowość — osoby autoryzujące przelewy
  • Asystenci zarządu — często mają dostęp do kalendarza i e-maila szefa
  • Firmy z kontrahentami zagranicznymi — łatwiej o pretekst zmiany konta

W Polsce rosną ataki na firmy z sektora logistycznego, produkcyjnego i budowlanego — branże z dużymi przelewami i wieloma dostawcami.

Jak się chronić?

  1. Procedury weryfikacji przelewów — zasada dwóch kanałów: potwierdzenie telefoniczne na znany numer (nie z e-maila!)
  2. DMARC, SPF, DKIM — ochrona przed spoofingiem domeny firmowej
  3. Szkolenia kadry zarządzającej — CEO i CFO muszą znać scenariusze BEC
  4. Wielopoziomowa autoryzacja — przelewy powyżej progu wymagają dwóch podpisów
  5. Monitoring skrzynek VIP — Defender for Office 365 z priorytetową ochroną kont zarządu

Jak SecIQ pomaga?

  • SecIQ SOC monitoruje konta VIP i wykrywa przejęcia skrzynek e-mail
  • Konfiguracja DMARC/SPF/DKIM — pełna ochrona domeny firmowej
  • Szkolenia BEC Awareness dla zarządu i działów finansowych
  • Conditional Access — polityki blokujące dostęp z nieznanych lokalizacji

Chroń swoją firmę przed BEC. Umów bezpłatną konsultację.

Spear PhishingBECCEO FraudSocial EngineeringFinanse
FAQ

Najczęściej zadawane pytania

Czym BEC różni się od zwykłego phishingu?
BEC to wysoce spersonalizowany atak wymierzony w konkretną osobę (CEO, CFO, księgową). Atakujący zna strukturę firmy, projekty i relacje. Nie używa złośliwych linków — prosi o przelew lub zmianę danych bankowych dostawcy. Średnia strata jest 100x wyższa niż przy zwykłym phishingu.
Jak weryfikować prośby o przelewy?
Zasada dwóch kanałów: każdy przelew powyżej ustalonego progu (np. 10 000 PLN) wymaga potwierdzenia telefonicznego na znany numer. Nigdy nie dzwoń pod numer z e-maila. Ustal procedurę dwóch podpisów dla dużych transakcji.
Czy DMARC chroni przed BEC?
DMARC, SPF i DKIM pomagają zapobiec spoofingowi domeny firmowej, ale nie chronią gdy atakujący używa look-alike domain (np. firma-pl.com zamiast firma.pl). Potrzebujesz kombinacji ochrony technicznej i procedur weryfikacji.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

POWIĄZANE

Powiązane ataki

Socjotechnika
Krytyczny

Deepfake i AI Social Engineering

2 min czytania

Socjotechnika
Wysoki

Phishing — atak e-mailowy

2 min czytania

Socjotechnika
Wysoki

Quishing — QR Code Phishing

2 min czytania

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Umów konsultacjęPoznaj SecIQ SOC

Bezpłatna konsultacja · 15 min · bez zobowiązań