Kampania „Bankowcy dla CyberEdukacji” w najnowszym wideo pokazuje, jak zwykła, pozornie normalna wiadomość może doprowadzić do poważnego incydentu bezpieczeństwa.

Na czym polega oszustwo BEC?

Oszust kontaktuje się z pracownikiem firmy - zwykle z działu finansowego, księgowości lub administracji - podszywając się pod znaną, zaufaną osobę. Może to być:

• stały dostawca lub kontrahent, który „zmienia numer konta”,
• partner biznesowy proszący o natychmiastową płatność,
• członek zarządu, który „pilnie zleca przelew”,
• osoba pełniąca funkcję kierowniczą, która nalega, by sprawy nie konsultować z nikim innym.

Adres e-mail wygląda niemal identycznie jak prawdziwy, a w wielu przypadkach przestępcy włamują się na skrzynki pocztowe i prowadzą korespondencję z pełnym dostępem do historii wiadomości. W takiej sytuacji wykrycie oszustwa bywa niezwykle trudne.

Jak działają przestępcy?

Oszustwa BEC opierają się na perfekcyjnej socjotechnice. Cyberprzestępcy:

• zbierają informacje o firmie, jej strukturze i kontrahentach,
• analizują korespondencję mailową, jeśli uzyskali do niej dostęp,
• przygotowują wiadomość utrzymaną w tonie i stylu osoby, pod którą się podszywają,
• wywierają presję czasu: „sprawa pilna”, „płatność konieczna dziś”, „przechodzi audyt”.

Często ofiara nawet nie podejrzewa manipulacji - do czasu, aż środki zostaną przelane na konto oszustów, skąd natychmiast trafiają dalej, uniemożliwiając ich odzyskanie.

Skala zagrożenia rośnie

Skala cyberoszustw wymierzonych w firmy w Polsce dynamicznie rośnie. Z Raportu Antyfraudowego BIK 2025 wynika, że już 32% przedsiębiorstw z sektora MŚP miało styczność z próbami wyłudzeń, a ponad 34% firm było celem cyberataków. Co szczególnie niepokojące, ponad połowa organizacji deklaruje, że takie incydenty powtarzały się wielokrotnie - nawet do 10 razy w ciągu roku. Najczęstsze metody działania przestępców to fałszywe wiadomości e-mail oraz oszukańcze faktury ze zmienionym numerem rachunku, czyli schematy charakterystyczne dla ataków typu Business Email Compromise.

Związek Banków Polskich oraz partnerzy kampanii apelują:

• Zawsze sprawdzaj dokładnie adres e mail nadawcy - różnica jednej litery może oznaczać oszustwo.
• W przypadku nietypowych lub pilnych żądań płatności - potwierdzaj je innym kanałem (telefon, spotkanie).
• Nie ulegaj presji czasu - pośpiech to narzędzie cyberprzestępców.
• Wprowadzaj procedury weryfikacji przelewów i zmian numerów rachunków bankowych.

A jeśli padłeś ofiarą cyberoszusta - nie wstydź się i zgłoś to!