Wróć do encyklopedii
Zagrożenie krytyczne — wysoki priorytet obrony
Socjotechnika
Krytyczny
ZarządCISOFinanse

Spear Phishing i BEC — atak na kadrę zarządzającą

Spear Phishing / Business Email Compromise

Spear phishing i BEC to celowane ataki na osoby decyzyjne w firmie. Średnia strata to 125 000 USD. Jak rozpoznać i się bronić?

2 min czytaniaPrzykład: Atak BEC na FACC — austriacki producent lotniczy stracił 42 mln EUR (2016)
Udostępnij
Spear Phishing i BEC — atak na kadrę zarządzającą

MITRE ATT&CK

Kluczowe wnioski

  • BEC (Business Email Compromise) to najkosztowniejszy typ cyberataku — średnia strata 125 000 USD
  • Atakujący podszywa się pod CEO, CFO lub dostawcę i żąda pilnego przelewu
  • W 2026 deepfake audio i AI czynią te ataki niezwykle wiarygodnymi
  • Obrona: procedury weryfikacji przelewów + DMARC + szkolenia kadry zarządzającej

Czym jest spear phishing i BEC?

Spear phishing to ukierunkowany atak phishingowy wymierzony w konkretną osobę lub grupę osób. W odróżnieniu od masowego phishingu, atakujący przeprowadza dokładny rekonesans i tworzy spersonalizowaną wiadomość.

BEC (Business Email Compromise) to szczególnie niebezpieczna odmiana spear phishingu, w której atakujący podszywa się pod osobę decyzyjną w firmie (CEO, CFO, dyrektora) lub zaufanego dostawcę, i żąda pilnego przelewu bankowego lub zmiany danych płatniczych.

FBI szacuje, że straty z BEC przekroczyły 51 mld USD globalnie w latach 2013-2025.

Jak działa atak?

  1. Rekonesans — atakujący studiuje strukturę firmy na LinkedIn, KRS, stronie www. Identyfikuje osoby decyzyjne, relacje służbowe, bieżące projekty
  2. Przejęcie lub imitacja e-maila — włamuje się na skrzynkę CEO (credential theft) lub rejestruje domenę łudząco podobną (np. seciq-pl.com zamiast seciq.pl)
  3. Budowanie zaufania — czasem prowadzi korespondencję przez kilka dni, zanim przejdzie do żądania
  4. Żądanie — "Pilny przelew na konto dostawcy", "Zmiana numeru konta dla faktury X", "Opłata za poufną transakcję — nie informuj nikogo"
  5. Transfer środków — po przelaniu pieniądze trafiają przez kaskadę kont i są trudne do odzyskania

Kogo dotyczy w Polsce?

  • Kadra zarządzająca — CEO, CFO, właściciele firm (szczególnie MŚP bez rozwiniętego IT)
  • Działy finansowe i księgowość — osoby autoryzujące przelewy
  • Asystenci zarządu — często mają dostęp do kalendarza i e-maila szefa
  • Firmy z kontrahentami zagranicznymi — łatwiej o pretekst zmiany konta

W Polsce rosną ataki na firmy z sektora logistycznego, produkcyjnego i budowlanego — branże z dużymi przelewami i wieloma dostawcami.

Jak się chronić?

  1. Procedury weryfikacji przelewów — zasada dwóch kanałów: potwierdzenie telefoniczne na znany numer (nie z e-maila!)
  2. DMARC, SPF, DKIM — ochrona przed spoofingiem domeny firmowej
  3. Szkolenia kadry zarządzającej — CEO i CFO muszą znać scenariusze BEC
  4. Wielopoziomowa autoryzacja — przelewy powyżej progu wymagają dwóch podpisów
  5. Monitoring skrzynek VIP — Defender for Office 365 z priorytetową ochroną kont zarządu

Jak SecIQ pomaga?

  • SecIQ SOC monitoruje konta VIP i wykrywa przejęcia skrzynek e-mail
  • Konfiguracja DMARC/SPF/DKIM — pełna ochrona domeny firmowej
  • Szkolenia BEC Awareness dla zarządu i działów finansowych
  • Conditional Access — polityki blokujące dostęp z nieznanych lokalizacji

Chroń swoją firmę przed BEC. Umów bezpłatną konsultację.

Spear PhishingBECCEO FraudSocial EngineeringFinanse

Najczęściej zadawane pytania

Czym BEC różni się od zwykłego phishingu?
BEC to wysoce spersonalizowany atak wymierzony w konkretną osobę (CEO, CFO, księgową). Atakujący zna strukturę firmy, projekty i relacje. Nie używa złośliwych linków — prosi o przelew lub zmianę danych bankowych dostawcy. Średnia strata jest 100x wyższa niż przy zwykłym phishingu.
Jak weryfikować prośby o przelewy?
Zasada dwóch kanałów: każdy przelew powyżej ustalonego progu (np. 10 000 PLN) wymaga potwierdzenia telefonicznego na znany numer. Nigdy nie dzwoń pod numer z e-maila. Ustal procedurę dwóch podpisów dla dużych transakcji.
Czy DMARC chroni przed BEC?
DMARC, SPF i DKIM pomagają zapobiec spoofingowi domeny firmowej, ale nie chronią gdy atakujący używa look-alike domain (np. firma-pl.com zamiast firma.pl). Potrzebujesz kombinacji ochrony technicznej i procedur weryfikacji.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Powiązane ataki

Socjotechnika
Krytyczny

Deepfake i AI Social Engineering

2 min czytania

Socjotechnika
Wysoki

Phishing — atak e-mailowy

2 min czytania

Socjotechnika
Wysoki

Quishing — QR Code Phishing

2 min czytania

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Umów konsultacjęPoznaj SecIQ SOC

Bezpłatna konsultacja · 15 min · bez zobowiązań