Zatrzymania po oszustwach BEC

2026-04-08

TL;DR

Komunikat CBZC z 8 kwietnia 2026 opisuje kolejne zatrzymania w sprawie oszustw typu BEC i pokazuje skalę śledztwa: 13 zatrzymanych, 101 zarzutów karnych przedstawionych 37 podejrzanym oraz odzyskane mienie o wartości ponad 21 mln zł. To pokazuje że BEC nie jest starym, teoretycznym problemem, ale wciąż realnym mechanizmem wykorzystywanym przeciw procesom płatniczym. Najważniejszy wniosek pozostaje praktyczny: sama ochrona skrzynki nie wystarczy bez twardej procedury weryfikacji zmian rachunku i pilnych dyspozycji.

Co wydarzyło się według CBZC

W komunikacie CBZC z 8 kwietnia 2026 opisano kolejną operację wymierzoną w grupę przestępczą działającą metodą BEC. Według oficjalnych informacji zatrzymano 13 osób podejrzanych o pranie pieniędzy pochodzących z takich oszustw, przeprowadzono 15 przeszukań, a w całym śledztwie przedstawiono już 101 zarzutów karnych 37 podejrzanym. Wobec 19 osób zastosowano tymczasowy areszt, zabezpieczono mienie warte ponad 860 tys. zł i odzyskano ponad 21 mln zł zgromadzone na rachunkach bankowych oraz w innych składnikach majątku.

Śledztwo nadzoruje Prokuratura Okręgowa Warszawa Praga w Warszawie. Sam komunikat nie opisuje niszowej techniki phishing. Pokazuje raczej dobrze znany mechanizm oszustwa biznesowego, w którym e-mail, dokumenty finansowe i pośpiech procesowy stają się elementem jednego łańcucha ataku, a pieniądze są następnie wyprowadzane i prane przez zorganizowaną strukturę.

Dlaczego ten przypadek jest istotny

BEC, czyli Business Email Compromise, to oszustwo wymierzone w proces biznesowy, a nie tylko w konto użytkownika. Jak przypomina IC3 w materiale o BEC, typowy scenariusz polega na przejęciu albo podszyciu się pod wiarygodny adres i skłonieniu organizacji do wykonania przelewu na rachunek kontrolowany przez przestępców.

Nie chodzi wyłącznie o sytuację, w której ktoś przejmuje skrzynkę prezesa. Równie częsty jest scenariusz podmiany danych kontrahenta, faktury albo wątku dotyczącego płatności. Jeżeli organizacja polega tylko na tym, czy wiadomość wygląda wiarygodnie, bardzo łatwo o błąd. Atakujący nie muszą pisać źle ani chaotycznie. Muszą tylko wejść w odpowiedni moment procesu.

To właśnie odróżnia BEC od prostszego phishingu konsumenckiego. Jeżeli chcesz uporządkować podstawy, zacznij od materiału co to jest phishing. W BEC stawką jest jednak nie tylko login i hasło, ale także realna dyspozycja finansowa, która może wyglądać jak zwykła część pracy.

Czego nie wolno przeoczyć w tym mechanizmie

Sam komunikat CBZC daje czytelny sygnał, że przestępcy nie działali przypadkowo. Skala śledztwa, liczba zarzutów i odzyskane środki pokazują, że po drugiej stronie bardzo często nie ma pojedynczego maila oszusta, tylko proces przygotowany tak, aby wykorzystać słaby punkt w obiegu płatności. Dla firmy oznacza to potrzebę patrzenia nie tylko na treść wiadomości, ale na cały kontekst biznesowy przelewu.

Z perspektywy IT i Security oznacza to konieczność patrzenia szerzej niż na filtr antyspamowy. Jeżeli napastnik przejmie skrzynkę albo zacznie skutecznie podszywać się pod kontrahenta, to prawdziwa linia obrony przenosi się na procedurę biznesową. Tam zapada decyzja, czy ktoś potwierdzi nowy numer rachunku tylko na podstawie maila, czy jednak zatrzyma płatność i zweryfikuje zmianę innym kanałem.

Najczęstsze punkty ryzyka w organizacji

Najbardziej ryzykowne są sytuacje, które pracownik uznaje za normalne. Mail przychodzi w aktywnym wątku, kwota jest typowa, kontrahent istnieje naprawdę, a prośba dotyczy tylko pozornie niewielkiej zmiany. Właśnie wtedy łatwo uznać, że nie ma powodu robić dodatkowego kroku.

W praktyce BEC najczęściej wykorzystuje kilka słabości naraz. Pierwsza to brak niezależnej weryfikacji zmiany rachunku bankowego. Druga to zbyt duże zaufanie do samego e-maila jako źródła prawdy. Trzecia to brak wyraźnej procedury dla sytuacji pilnych, niestandardowych albo poufnych. Czwarta to niski poziom gotowości na incydent po stronie pracownika, który nie wie, kiedy zatrzymać proces i komu zgłosić podejrzenie.

W tle bardzo często pojawia się też przejęcie tożsamości w chmurze. Jeśli organizacja korzysta z Microsoft 365 albo Google Workspace, warto pamiętać, że przejęta skrzynka nie służy wyłącznie do czytania poczty. Może stać się bazą do BEC, o czym szerzej piszemy we wpisie phishing omijający MFA AiTM.

Jak ograniczyć ryzyko 

Organizacje ustawiają kilka twardych zasad, które odcinają najbardziej kosztowne scenariusze.

Pierwsza zasada powinna być bezdyskusyjna: każda zmiana rachunku bankowego, beneficjenta płatności albo pilna dyspozycja finansowa wymaga potwierdzenia poza e-mailem. Najlepiej działa kontakt na wcześniej znany numer telefonu, a nie na numer podany w wiadomości. Druga zasada to rozdzielenie odpowiedzialności, czyli zasada czterech oczu dla przelewów, korekt danych i wyjątków od standardowego procesu. Trzecia to szybka eskalacja, gdy wiadomość wywołuje presję czasu, poufność albo próbę obejścia zwykłej ścieżki akceptacji.

Po stronie technicznej warto dołożyć elementy, które utrudniają przygotowanie ataku i skracają czas jego wykrycia. To oznacza ochronę skrzynek, MFA, monitorowanie reguł poczty, kontrolę logowań oraz alerty dla nietypowych zmian w korespondencji i przekierowaniach. Sama technologia nie zamknie tematu, ale bez niej organizacja często zauważa problem dopiero po przelewie.

Co powinien zrobić zespół finansów, a co IT i Security

Komórki organizacyjne odpowiedzialne za finanse i operacje powinny mieć prostą kartę decyzyjną, nie długi podręcznik. Jeżeli zmienia się rachunek, termin nagle staje się krytyczny albo ktoś prosi o poufność przy płatności, proces ma się zatrzymać do czasu niezależnej weryfikacji. W tym obszarze najgroźniejszy jest automatyczne działanie, bo właśnie ono pozwala oszustwu przejść przez organizację jak zwykłej rutynie.

IT i Security powinny z kolei zakładać, że część prób będzie wyglądała wiarygodnie. Potrzebna jest więc nie tylko prewencja, ale też gotowość do szybkiego sprawdzenia, czy skrzynka została przejęta, czy powstały reguły przekierowań, czy ktoś nie podszył się pod domenę partnera i czy podobne wiadomości nie trafiły do większej liczby osób. Dobrze działa również regularne ćwiczenie scenariuszy zgłoszeń oraz krótkie, aktualne kampanie awareness. Szerzej opisujemy to w materiale dlaczego security awareness stał się elementem cyberodporności organizacji.

Dlaczego ten temat nie powinien kończyć się na lekturze komunikatu

Ten przypadek nie wymaga od organizacji nowej, ciężkiej polityki. Wymaga raczej dyscypliny w dwóch miejscach: przy ochronie tożsamości oraz przy zatwierdzaniu płatności.

Jeżeli firma chce realnie obniżyć ryzyko BEC, powinna ćwiczyć pracowników dokładnie na takich scenariuszach, które wyglądają wiarygodnie i nie przypominają klasycznego spamu. To właśnie w tej strefie rozstrzyga się, czy podejrzana wiadomość zostanie zgłoszona, czy przelew jednak wyjdzie.