Czym jest atak BEC i dlaczego celuje w sektor finansowy
Business Email Compromise (BEC) to zaawansowany atak socjotechniczny, w którym cyberprzestępcy podszywają się pod zarząd, kontrahentów lub regulatorów w celu zlecenia nieautoryzowanych transakcji finansowych. Sektor finansowy jest głównym celem, ponieważ operuje bezpośrednio na pieniądzach — jedno sfałszowane zlecenie przelewu może oznaczać straty liczone w milionach.
W 2025 roku FBI zarejestrowało wzrost ataków BEC na instytucje finansowe o 38%. Średnia strata na incydent w sektorze bankowym wynosi 4,7 mln USD — znacznie więcej niż w innych branżach. Ataki BEC omijają tradycyjne zabezpieczenia techniczne, ponieważ wykorzystują zaufanie i procedury wewnętrzne, a nie luki w oprogramowaniu.
Główne wektory ataków BEC w finansach
CEO Fraud — podszywanie się pod zarząd
Atakujący podszywa się pod prezesa lub dyrektora finansowego banku, wysyłając pilne polecenie przelewu do działu treasury. Wykorzystuje znajomość struktury organizacyjnej i stylu komunikacji zdobytą z LinkedIn i publicznych raportów.
Fałszywe zlecenia od kontrahentów
Przestępcy przejmują lub podrabiają konta email dostawców usług IT, firm audytorskich czy kancelarii prawnych współpracujących z bankiem. Zmieniają numery rachunków w regularnych fakturach.
Przejęcie konta email pracownika
Poprzez phishing lub credential stuffing atakujący uzyskują dostęp do skrzynki email pracownika banku, a następnie wykorzystują ją do autoryzacji transakcji wewnątrz organizacji.
Fałszywi regulatorzy i audytorzy
Podszywanie się pod KNF, EBA lub firmy audytorskie z żądaniem pilnego przekazania danych lub wykonania transakcji testowej.
Konsekwencje ataków BEC dla instytucji finansowych
Straty finansowe bezpośrednie: Średnio 4,7 mln USD na incydent. W przypadku przelewów międzynarodowych odzyskanie środków jest niemal niemożliwe po upływie 24-48 godzin.
Konsekwencje regulacyjne: DORA wymaga zgłaszania poważnych incydentów ICT w ciągu 4 godzin. KNF może nałożyć sankcje za brak odpowiednich kontroli wewnętrznych. NIS2 wymaga zarządzania ryzykiem obejmującego zagrożenia socjotechniczne.
Utrata zaufania: Bank, który padł ofiarą oszustwa BEC, traci wiarygodność w oczach klientów korporacyjnych i partnerów biznesowych.
Odpowiedzialność prawna: Klienci mogą dochodzić odszkodowań, jeśli bank nie wdrożył odpowiednich procedur weryfikacji zleceń.
Dlaczego tradycyjne zabezpieczenia nie wystarczają
Ataki BEC omijają standardowe filtry antyspamowe, ponieważ nie zawierają malware ani złośliwych linków. Email wygląda jak zwykła wiadomość biznesowa. Systemy DMARC, SPF i DKIM pomagają wykryć spoofing domeny, ale nie chronią przed przejętymi kontami ani domenami lookalike (np. bank-polska.pl vs bank-po1ska.pl).
Bez analizy behawioralnej i wielopoziomowej weryfikacji transakcji, pracownicy banku nie mają narzędzi do odróżnienia prawdziwego zlecenia od fałszywego.
7 metod ochrony przed BEC w sektorze finansowym
1. Wielopoziomowa autoryzacja transakcji
Wdrożenie procedury dual authorization dla przelewów powyżej ustalonych progów. Minimum dwie osoby z różnych działów muszą zatwierdzić transakcję, z potwierdzeniem tożsamości przez osobny kanał (telefon, komunikator wewnętrzny).
2. Analiza behawioralna email
Systemy wykrywające anomalie w komunikacji: nietypowe godziny, nowe adresy, zmiana stylu pisania, pilność, żądania zmiany numerów kont. Integracja z SIEM do korelacji alertów.
3. DMARC, SPF, DKIM w trybie enforce
Wdrożenie standardów uwierzytelniania email z polityką reject. Monitoring domen lookalike i automatyczne blokowanie wiadomości ze sfałszowanych domen.
4. Szkolenia i symulacje phishingowe
Regularne szkolenia z rozpoznawania BEC dla pracowników treasury, księgowości i back-office. Kwartalne symulacje ataków BEC mierzące czas reakcji i wskaźnik wykrywalności.
5. Weryfikacja zmian danych płatniczych
Procedura callback — każda zmiana numeru konta kontrahenta wymaga potwierdzenia telefonicznego na wcześniej zweryfikowany numer. Zakaz akceptowania zmian danych płatniczych wyłącznie na podstawie email.
6. Monitoring Dark Web
Monitorowanie wycieków danych pracowników (credentials, dane osobowe) w dark web. Wczesne wykrycie przejętych kont pozwala na reakcję przed atakiem.
7. SOC z regułami korelacji dla BEC
SOC as a Service z regułami specyficznymi dla sektora finansowego: anomalie w zleceniach płatniczych, nietypowe logowania, eskalacja alertów BEC.
Rola DORA i NIS2 w ochronie przed BEC
DORA wymaga od instytucji finansowych wdrożenia zarządzania ryzykiem ICT obejmującego zagrożenia socjotechniczne. Obowiązkowe są: testy odporności (w tym symulacje BEC), zarządzanie ryzykiem stron trzecich oraz raportowanie incydentów.
NIS2 klasyfikuje sektor finansowy jako podmioty kluczowe, nakładając obowiązek wdrożenia środków bezpieczeństwa proporcjonalnych do ryzyka — w tym ochrony przed social engineeringiem.
Audyt bezpieczeństwa identyfikuje luki w procedurach anty-BEC i pozwala na wdrożenie kontroli zgodnych z wymaganiami regulatorów.
Cyberbezpieczeństwo w Twojej branży
Dowiedz się więcej o cyberbezpieczeństwie w Twojej branży:
Tematy powiązane
Zobacz również:
