Co zrobić przy podejrzeniu przejęcia skrzynki?

Natychmiast zmień hasło, wyloguj sesje, włącz MFA, sprawdź przekierowania i filtry, powiadom kontrahentów, zgłoś incydent do CERT Polska przez incydent.cert.pl lub cert@cert.pl, a przy podejrzanych dyspozycjach skontaktuj się z bankiem.

Atak typu 'zmiana danych do płatności' – analiza krok po kroku

Atak polegający na zmianie danych do płatności zwykle ma kilka etapów: od rozpoznania firmy i przejęcia dostępu, przez obserwację faktur, aż po podmianę rachunku i wykonanie przelewu. W tym artykule pokazujemy każdy etap ataku i proste działania obronne.

Co musisz wiedzieć

Taki atak można zatrzymać na różnych etapach — nie dopiero przy samym przelewie. Im wcześniej wykryjesz phishing, przejęcie skrzynki lub podejrzaną prośbę o zmianę rachunku, tym mniejsze ryzyko straty.

W praktyce nie wystarczy ufać temu, że faktura „przeszła przez system” albo przyszła z pozornie znanego adresu e-mail. Sama obecność faktury w obiegu nie potwierdza jeszcze, że rachunek do zapłaty jest bezpieczny.

Materiał ma charakter informacyjny. W razie incydentu działaj od razu zgodnie z procedurami swojej organizacji, skontaktuj się z bankiem i zabezpiecz dowody.

Instrukcja krok po kroku

1. Etap 1: Rozpoznanie firmy

Oszust wybiera cel, na przykład firmę z dużą liczbą płatności albo osobami, które regularnie akceptują przelewy. Może zbierać informacje z internetu, rejestrów publicznych, mediów społecznościowych lub wcześniejszych wycieków danych. Obrona: ogranicz publicznie dostępne informacje o strukturze firmy i osobach odpowiedzialnych za płatności; monitoruj, czy firmowe adresy e-mail i dane logowania nie pojawiają się w wyciekach.

2. Etap 2: Phishing lub przejęcie konta

Atakujący wysyła wiadomość phishingową, link do fałszywej strony logowania albo złośliwy załącznik, żeby przejąć dostęp do poczty lub innych systemów. Obrona: włącz MFA na wszystkich kontach, szkol pracowników z rozpoznawania phishingu, filtruj linki i załączniki. Reaguj na każde podejrzane logowanie: zmień hasło, wyloguj aktywne sesje i sprawdź, czy nie doszło do przejęcia skrzynki.

3. Etap 3: Obserwacja faktur i korespondencji

Po przejęciu skrzynki oszust czyta wiadomości, rozpoznaje kontrahentów, terminy płatności, zwyczaje firmy i wysokość przelewów. Często czeka na moment, w którym prośba o zmianę rachunku wyda się naturalna. Obrona: zwracaj uwagę na brakujące wiadomości, logowania z nowych urządzeń, nieznane reguły przekierowań i filtry w poczcie. Ogranicz też liczbę osób, które mają dostęp do pełnej korespondencji księgowej.

4. Etap 4: Moment podmiany danych do płatności

Oszust wysyła wiadomość z „aktualizacją” rachunku albo „pilną” prośbą o przelew, często tuż przed terminem płatności. Wiadomość może wyglądać jak e-mail od kontrahenta albo od osoby z waszej firmy. Obrona: żadna zmiana rachunku bez potwierdzenia telefonicznego na znany wcześniej numer, a nie numer podany w wiadomości. Dodatkowo żadna większa lub nietypowa płatność nie powinna być wykonywana bez zatwierdzenia przez drugą osobę. W polskich realiach warto też sprawdzić rachunek na białej liście VAT, jeżeli dana płatność podlega takiej weryfikacji.

5. Etap 5: Transfer środków

Jeśli ofiara wykona przelew na konto oszustów, środki mogą zostać bardzo szybko przelane dalej. Na tym etapie liczy się natychmiastowa reakcja: pilny kontakt z bankiem z prośbą o próbę wstrzymania lub odwołania przelewu, zgłoszenie incydentu do CERT Polska oraz zawiadomienie organów ścigania. Trzeba też zabezpieczyć dowody: nagłówki e-maili, treść korespondencji, identyfikatory transakcji, logi logowania i informacje o zmianach w skrzynce.

Jak przeciąć atak na każdym etapie

Na etapie 1 i 2 ograniczenie ekspozycji danych, MFA oraz szkolenia antyphishingowe zmniejszają szansę wejścia do organizacji. Na etapie 3 monitoring logowań, sesji i reguł w poczcie pomaga wykryć przejęcie skrzynki, zanim dojdzie do oszustwa płatniczego. Na etapie 4 kluczowa jest procedura: potwierdzenie zmiany rachunku telefonicznie na znany numer i zasada czterech oczu. Na etapie 5 szybka reakcja z bankiem i zgłoszenie incydentu mogą ograniczyć straty i ułatwić dalsze działania.

Dlaczego sam KSeF nie zatrzyma takiego ataku

KSeF służy do wystawiania, przesyłania, odbierania i przechowywania faktur ustrukturyzowanych. System sprawdza między innymi zgodność pliku ze strukturą logiczną oraz uprawnienia do korzystania z KSeF. To jednak nie oznacza, że KSeF potwierdza, czy rachunek bankowy na fakturze jest prawidłowy albo czy należy do właściwego kontrahenta. Dlatego sama obecność faktury w KSeF nie zastępuje firmowej procedury weryfikacji danych do płatności.

Jak powinna wyglądać bezpieczna procedura zmiany rachunku

Dobra procedura jest prosta i powtarzalna. Po pierwsze, pracownik nie akceptuje zmiany rachunku wyłącznie na podstawie e-maila. Po drugie, dzwoni na znany wcześniej numer kontrahenta, zapisany w systemie firmy lub w umowie. Po trzecie, wynik weryfikacji dokumentuje w firmie. Po czwarte, druga upoważniona osoba zatwierdza zmianę i sam przelew. Im mniej wyjątków od tej procedury, tym trudniej ją obejść.

FAQ

Na którym etapie najłatwiej zatrzymać atak?

Najczęściej na etapie 4 — zanim przelew zostanie wykonany. Jeżeli każda zmiana rachunku wymaga potwierdzenia telefonicznego na znany wcześniej numer i zatwierdzenia przez drugą osobę, oszustowi dużo trudniej doprowadzić do wypłaty pieniędzy.

Co zrobić, gdy podejrzewamy przejęcie skrzynki?

Działaj od razu: zmień hasło, wyloguj aktywne sesje, włącz MFA, jeśli wcześniej nie było włączone. Sprawdź reguły przekierowań, filtry i ustawienia skrzynki, bo oszuści często ukrywają w ten sposób korespondencję. Powiadom kontrahentów o możliwym incydencie. Zgłoś sprawę do CERT Polska przez formularz na incydent.cert.pl lub na adres cert@cert.pl. Jeżeli mogło dojść do podejrzanych dyspozycji finansowych, niezwłocznie skontaktuj się także z bankiem.

Czy jedna osoba może zatwierdzać zmiany rachunku?

Nie powinna. Bezpieczniej działa zasada czterech oczu: zmiana danych do płatności i wykonanie większych albo nietypowych przelewów wymaga potwierdzenia przez inną upoważnioną osobę. To utrudnia wykorzystanie jednego przejętego konta lub jednej pomyłki pracownika.

Czy fakt, że faktura jest w KSeF, oznacza, że rachunek do zapłaty jest bezpieczny?

Nie. KSeF nie zastępuje wewnętrznej kontroli płatności. Faktura może być poprawna formalnie, a mimo to firma nadal powinna samodzielnie zweryfikować dane do przelewu według swojej procedury.

Powiązane tematy

Przydatne serwisy

Status i komunikaty

API i narzędzia

Pierwsza grupa – status systemu KSeF i komunikaty techniczne Ministerstwa Finansów, druga – narzędzia do integracji z KSeF i walidacji faktur.