Uważaj na oszustwo na „maila firmowego”

Oszustwa z wykorzystaniem poczty elektronicznej to jedno z najpoważniejszych zagrożeń dla firm w Polsce i na świecie. Przestępcy podszywają się pod kontrahentów, dostawców, a choćby członków zarządu, aby wyłudzić przelewy na wysokie kwoty lub zdobyć wrażliwe dane przedsiębiorstwa. Metoda BEC (Business Email Compromise) działa gwałtownie i skutecznie – a jej ofiarą może paść każda organizacja, niezależnie od wielkości.

Kampania „Bankowcy dla CyberEdukacji” w najnowszym wideo pokazuje, jak zwykła, pozornie normalna wiadomość może doprowadzić do poważnego incydentu bezpieczeństwa. Obejrzyj wideo i dowiedz się na czym polega to oszustwo:

Na czym polega oszustwo BEC?

Oszust kontaktuje się z pracownikiem firmy – zwykle z działu finansowego, księgowości lub administracji – podszywając się pod znaną, zaufaną osobę. Może to być:

• stały dostawca lub kontrahent, który „zmienia numer konta”,
• partner biznesowy proszący o natychmiastową płatność,
• członek zarządu, który „pilnie zleca przelew”,
• osoba pełniąca funkcję kierowniczą, która nalega, by sprawy nie konsultować z nikim innym.

Adres e-mail wygląda niemal identycznie jak prawdziwy, a w wielu przypadkach przestępcy włamują się na skrzynki pocztowe i prowadzą korespondencję z pełnym dostępem do historii wiadomości. W takiej sytuacji wykrycie oszustwa bywa niezwykle trudne.

Oszustwa BEC opierają się na perfekcyjnej socjotechnice. Cyberprzestępcy:

• zbierają informacje o firmie, jej strukturze i kontrahentach,
• analizują korespondencję mailową, jeżeli uzyskali do niej dostęp,
• przygotowują wiadomość utrzymaną w tonie i stylu osoby, pod którą się podszywają,
• wywierają presję czasu: „sprawa pilna”, „płatność konieczna dziś”, „przechodzi audyt”.

Często ofiara choćby nie podejrzewa manipulacji – do czasu, aż środki zostaną przelane na konto oszustów, skąd natychmiast trafiają dalej, uniemożliwiając ich odzyskanie.

Skala zagrożenia rośnie

Skala cyberoszustw wymierzonych w firmy w Polsce dynamicznie rośnie. Z Raportu Antyfraudowego BIK 2025 wynika, iż już 32% przedsiębiorstw z sektora MŚP miało styczność z próbami wyłudzeń,
a ponad 34% firm było celem cyberataków. Co szczególnie niepokojące, ponad połowa organizacji deklaruje, iż takie incydenty powtarzały się wielokrotnie – choćby do 10 razy w ciągu roku. Najczęstsze metody działania przestępców to fałszywe wiadomości e-mail oraz oszukańcze faktury ze zmienionym numerem rachunku, czyli schematy charakterystyczne dla ataków typu Business Email Compromise.

Związek Banków Polskich oraz partnerzy kampanii apelują:

• Zawsze sprawdzaj dokładnie adres e‑mail nadawcy – różnica jednej litery może oznaczać oszustwo.
• W przypadku nietypowych lub pilnych żądań płatności – potwierdzaj je innym kanałem (telefon, spotkanie).
• Nie ulegaj presji czasu – pośpiech to narzędzie cyberprzestępców.
• Wprowadzaj procedury weryfikacji przelewów i zmian numerów rachunków bankowych.

A jeżeli padłeś ofiarą cyberoszusta – nie wstydź się i zgłoś to!

O kampanii

Kampania „Bankowcy dla CyberEdukacji” to wspólna inicjatywa Związku Banków Polskich, Fundacji. Warszawski Instytut Bankowości, Bankowego Centrum Cyberbezpieczeństwa oraz Policji i banków. Jej celem jest edukowanie użytkowników Internetu w zakresie cyberzagrożeń i budowanie świadomości, jak chronić siebie i swoich bliskich przed oszustami.