Zatrzymania po oszustwach BEC. Co ten polski case mówi firmom o ochronie płatności

2026-04-08

TL;DR

Komunikat CBZC z marca 2024 nie jest już świeżym alertem, ale nadal stanowi wartościowy materiał dla firm. Pokazuje, że BEC nie jest abstrakcyjnym problemem z raportów zagranicznych, tylko realnym mechanizmem wykorzystywanym także wobec organizacji obsługiwanych przez polskie rachunki i struktury prania pieniędzy. Najważniejszy wniosek dla biznesu nie dotyczy samych zatrzymań, lecz tego, jak połączyć ochronę skrzynki e-mail z twardą procedurą weryfikacji płatności.

Co wydarzyło się według CBZC

W komunikacie CBZC o rozbiciu grupy działającej metodą BEC opisano śledztwo prowadzone przez Zarząd w Warszawie oraz Prokuraturę Regionalną w Warszawie. Według podanych informacji zatrzymano 10 osób, wobec 7 zastosowano tymczasowy areszt, a śledczy odzyskali oraz zabezpieczyli mienie o znacznej wartości. W sprawie pojawia się klasyczny wzorzec BEC: podstawienie rachunku bankowego do rozliczeń firmowych, wykorzystanie struktury osób i rachunków pośredniczących oraz obsługa przepływów środków z wielu krajów.

To ważne, bo komunikat nie opisuje egzotycznego malware ani niszowej techniki. Pokazuje raczej dobrze znany mechanizm oszustwa biznesowego, w którym e-mail, dokumenty finansowe i pośpiech procesowy stają się elementem jednego łańcucha ataku.

Dlaczego ten case ma znaczenie dla firm w Polsce

BEC, czyli Business Email Compromise, to oszustwo wymierzone w proces biznesowy, a nie tylko w konto użytkownika. Jak przypomina IC3 w materiale o BEC, typowy scenariusz polega na przejęciu albo podszyciu się pod wiarygodny adres i skłonieniu organizacji do wykonania przelewu na rachunek kontrolowany przez przestępców.

W praktyce nie chodzi wyłącznie o sytuację, w której ktoś przejmuje skrzynkę prezesa. Równie częsty jest scenariusz podmiany danych kontrahenta, faktury albo wątku dotyczącego płatności. Jeżeli organizacja polega tylko na tym, czy wiadomość wygląda wiarygodnie, bardzo łatwo o błąd. Atakujący nie muszą pisać źle ani chaotycznie. Muszą tylko wejść w odpowiedni moment procesu.

To właśnie odróżnia BEC od prostszego phishingu konsumenckiego. Jeżeli chcesz uporządkować podstawy, zacznij od materiału co to jest phishing. W BEC stawką jest jednak nie tylko login i hasło, ale także realna dyspozycja finansowa, która może wyglądać jak zwykła część pracy.

Czego nie wolno przeoczyć w tym mechanizmie

Sam komunikat CBZC daje czytelny sygnał, że przestępcy nie działali przypadkowo. Zatrzymania objęły nie tylko osoby pełniące rolę słupów, ale też osoby organizujące strukturę oraz przepływy pieniędzy. Dla firmy oznacza to jedno: po drugiej stronie bardzo często nie ma pojedynczego maila oszusta, tylko proces przygotowany tak, aby wykorzystać słaby punkt w obiegu płatności.

Z perspektywy IT i Security oznacza to konieczność patrzenia szerzej niż na filtr antyspamowy. Jeżeli napastnik przejmie skrzynkę albo zacznie skutecznie podszywać się pod kontrahenta, to prawdziwa linia obrony przenosi się na procedurę biznesową. Tam zapada decyzja, czy ktoś potwierdzi nowy numer rachunku tylko na podstawie maila, czy jednak zatrzyma płatność i zweryfikuje zmianę innym kanałem.

Najczęstsze punkty awarii w organizacji

Najbardziej ryzykowne są sytuacje, które pracownik uznaje za normalne. Mail przychodzi w aktywnym wątku, kwota jest typowa, kontrahent istnieje naprawdę, a prośba dotyczy tylko pozornie niewielkiej zmiany. Właśnie wtedy łatwo uznać, że nie ma powodu robić dodatkowego kroku.

W praktyce BEC najczęściej wykorzystuje kilka słabości naraz. Pierwsza to brak niezależnej weryfikacji zmiany rachunku bankowego. Druga to zbyt duże zaufanie do samego e-maila jako źródła prawdy. Trzecia to brak wyraźnej procedury dla sytuacji pilnych, niestandardowych albo poufnych. Czwarta to niski poziom gotowości na incydent po stronie pracownika, który nie wie, kiedy zatrzymać proces i komu zgłosić podejrzenie.

W tle bardzo często pojawia się też przejęcie tożsamości w chmurze. Jeśli organizacja korzysta z Microsoft 365 albo Google Workspace, warto pamiętać, że przejęta skrzynka nie służy wyłącznie do czytania poczty. Może stać się bazą do BEC, o czym szerzej piszemy we wpisie phishing omijający MFA AiTM.

Jak ograniczyć ryzyko bez rozbudowywania procesu ponad potrzebę

Najskuteczniejsze organizacje nie próbują analizować każdego maila jak śledczy. Ustawiają kilka twardych zasad, które odcinają najbardziej kosztowne scenariusze.

Pierwsza zasada powinna być bezdyskusyjna: każda zmiana rachunku bankowego, beneficjenta płatności albo pilna dyspozycja finansowa wymaga potwierdzenia poza e-mailem. Najlepiej działa kontakt na wcześniej znany numer telefonu, a nie na numer podany w wiadomości. Druga zasada to rozdzielenie odpowiedzialności, czyli zasada czterech oczu dla przelewów, korekt danych i wyjątków od standardowego procesu. Trzecia to szybka eskalacja, gdy wiadomość wywołuje presję czasu, poufność albo próbę obejścia zwykłej ścieżki akceptacji.

Po stronie technicznej warto dołożyć elementy, które utrudniają przygotowanie ataku i skracają czas jego wykrycia. To oznacza ochronę skrzynek, MFA, monitorowanie reguł poczty, kontrolę logowań oraz alerty dla nietypowych zmian w korespondencji i przekierowaniach. Sama technologia nie zamknie tematu, ale bez niej organizacja często zauważa problem dopiero po przelewie.

Co powinien zrobić zespół finansów, a co IT i Security

Finanse i operacje powinny mieć prostą kartę decyzyjną, nie długi podręcznik. Jeżeli zmienia się rachunek, termin nagle staje się krytyczny albo ktoś prosi o poufność przy płatności, proces ma się zatrzymać do czasu niezależnej weryfikacji. W tym obszarze najgroźniejszy jest automatyzm, bo właśnie on pozwala oszustwu przejść przez organizację jak zwykłej rutynie.

IT i Security powinny z kolei zakładać, że część prób będzie wyglądała wiarygodnie. Potrzebna jest więc nie tylko prewencja, ale też gotowość do szybkiego sprawdzenia, czy skrzynka została przejęta, czy powstały reguły przekierowań, czy ktoś nie podszył się pod domenę partnera i czy podobne wiadomości nie trafiły do większej liczby osób. Dobrze działa również regularne ćwiczenie scenariuszy zgłoszeń oraz krótkie, aktualne kampanie awareness. Szerzej opisujemy to w materiale dlaczego security awareness stał się elementem cyberodporności organizacji.

Dlaczego ten temat nie powinien kończyć się na lekturze komunikatu

Zatrzymania są ważne, ale dla firmy mają znaczenie dopiero wtedy, gdy przekładają się na decyzję operacyjną. Ten case nie wymaga od organizacji nowej, ciężkiej polityki. Wymaga raczej dyscypliny w dwóch miejscach: przy ochronie tożsamości oraz przy zatwierdzaniu płatności.

Jeżeli firma chce realnie obniżyć ryzyko BEC, powinna ćwiczyć pracowników dokładnie na takich scenariuszach, które wyglądają wiarygodnie i nie przypominają klasycznego spamu. To właśnie w tej strefie rozstrzyga się, czy podejrzana wiadomość zostanie zgłoszona, czy przelew jednak wyjdzie.