Ataki na biura rachunkowe – realne scenariusze

Biuro rachunkowe ma dostęp do danych i kontekstu płatności wielu klientów. Jedna przejęta skrzynka lub konto może dać oszustom dostęp do korespondencji wielu firm. W artykule: realne scenariusze ataków, zabezpieczenia dla biur rachunkowych i procedury reagowania na incydent.

Co musisz wiedzieć

Oszuści atakują biura rachunkowe, bo przejęcie jednego konta może dać im wgląd w faktury, terminy płatności i korespondencję wielu klientów. Mogą potem wysłać fałszywą "aktualizację" rachunku bankowego albo "pilną" dyspozycję płatności. Wieloskładnikowe uwierzytelnianie, jasne procedury i szybka reakcja na incydent ograniczają skalę szkód.

Biuro rachunkowe jako "brama do finansów"

Biuro rachunkowe ma dostęp do systemów księgowych, poczty i czasem do bankowości klientów, na przykład do przygotowywania przelewów. Jedno przejęte konto e-mail lub konto w systemie może pozwolić atakującemu zobaczyć, które firmy mają faktury do zapłaty i kiedy. Oszust może wtedy wysłać fałszywą zmianę numeru rachunku albo pilną prośbę o przelew. Przy jednym incydencie skala ryzyka może objąć wielu klientów biura.

Masowe kampanie phishingowe

Phishing to podszywanie się pod inną osobę lub instytucję w celu wyłudzenia danych, pieniędzy albo dostępu do konta. Pracownik biura rachunkowego może dostać wiadomość z linkiem do fałszywej strony logowania do poczty, systemu bankowego, systemu księgowego albo rzekomego narzędzia związanego z podatkami. Typowe preteksty to: "pilna weryfikacja", "aktualizacja", "alert bezpieczeństwa", "zwrot podatku" albo "nowy dokument do pobrania". Obrona: MFA na wszystkich ważnych kontach, szkolenia antyphishingowe, filtrowanie linków i załączników oraz zasada: nie logujemy się do ważnych systemów przez link z maila.

Przejęcie korespondencji wielu klientów

Po przejęciu skrzynki biura atakujący widzi maile z klientami: faktury, pytania, potwierdzenia i historię płatności. Może w odpowiednim momencie wysłać do klienta wiadomość "od biura" z prośbą o pilny przelew na "nowy" rachunek. Może też podszyć się pod klienta i wysłać do biura dyspozycję zmiany rachunku. To klasyczny scenariusz BEC, czyli oszustwa polegającego na przejęciu lub podszyciu się pod firmową korespondencję. Dlatego zmiana rachunku bankowego i pilne dyspozycje powinny być zawsze potwierdzane drugim kanałem, najlepiej telefonicznie na znany wcześniej numer.

Co zmienia KSeF, a czego nie rozwiązuje

KSeF ułatwia dostęp do faktur ustrukturyzowanych i od 2026 r. staje się obowiązkowym elementem obiegu faktur dla podatników objętych ustawą. Nie oznacza to jednak, że znika ryzyko oszustw. Oszust nadal może próbować przejąć konto, podszyć się pod biuro rachunkowe, wysłać fałszywy link do logowania albo wymusić zmianę rachunku poza właściwą procedurą. Dlatego KSeF trzeba traktować jako ważny element porządkowania obiegu faktur, ale nie jako pełne zabezpieczenie przed scamem fakturowym.

Zabezpieczenia dla biur rachunkowych

MFA na poczcie, systemach księgowych i dostępie do bankowości powinno być standardem. Do tego potrzebne są silne, unikalne hasła zapisane w menedżerze haseł oraz zakaz używania tego samego hasła w wielu serwisach. Pracownicy powinni regularnie ćwiczyć rozpoznawanie phishingu i wiedzieć, że link z maila nie jest dobrym sposobem logowania do ważnego systemu. Uprawnienia należy ograniczać: nie każdy pracownik musi mieć dostęp do wszystkich klientów i do przygotowywania przelewów. Każda zmiana rachunku lub pilna dyspozycja powinna być potwierdzona telefonicznie na numer z umowy, kartoteki klienta albo innego wcześniej ustalonego źródła. Pomagają też alerty przy nietypowych logowaniach, regularny przegląd dostępów i kopie zapasowe.

Procedury reagowania na incydent

Gdy podejrzewasz przejęcie konta: (1) Natychmiast zmień hasła i wyloguj inne sesje. Włącz MFA, jeśli nie było aktywne. (2) Sprawdź reguły przekierowań w skrzynce, uprawnienia i listy dostępu w systemach. (3) Powiadom klientów o możliwym incydencie i poproś ich o weryfikację ostatnich dyspozycji oraz zmian rachunków. (4) Jeśli mogło dojść do przelewu na rachunek oszusta, natychmiast skontaktuj się z bankiem i zgłoś sprawę policji. (5) Zgłoś incydent do CERT Polska. Podejrzane wiadomości e-mail, strony i załączniki można przekazać do analizy. (6) Zabezpiecz dowody: logi, nagłówki wiadomości, kopie maili i historię zmian w systemach. (7) Po incydencie zaktualizuj procedury i wykonaj przegląd zabezpieczeń.

FAQ

Dlaczego biura rachunkowe są celem ataków?

Bo jedno przejęte konto może dać oszustowi dostęp do korespondencji i kontekstu płatności wielu klientów. Dzięki temu może wysłać fałszywą zmianę rachunku albo pilną dyspozycję przelewu.

Jak biuro może zabezpieczyć się przed przejęciem?

Podstawą jest MFA na wszystkich ważnych kontach, silne i unikalne hasła, szkolenia antyphishingowe, ograniczenie uprawnień oraz procedura telefonicznego potwierdzania zmiany rachunku i pilnych dyspozycji.

Czy KSeF całkowicie eliminuje scam fakturowy?

Nie. KSeF porządkuje obieg faktur ustrukturyzowanych, ale nie eliminuje ryzyka przejęcia poczty, fałszywych linków, podszywania się pod biuro ani prób wymuszenia zmiany rachunku poza procedurą.

Co zrobić, gdy klient zgłasza "dziwny" mail od biura?

Traktuj to jako potencjalny incydent. Sprawdź logowania, reguły przekierowań i uprawnienia w skrzynce. Nie potwierdzaj dyspozycji wyłącznie mailem. Zadzwoń na znany wcześniej numer klienta i rozważ zgłoszenie incydentu do CERT Polska.

Powiązane tematy

Przydatne serwisy

Status i komunikaty

API i narzędzia

Pierwsza grupa – status systemu KSeF i komunikaty techniczne Ministerstwa Finansów, druga – narzędzia do integracji z KSeF i walidacji faktur.

Dalsze korzystanie z tej witryny oznacza akceptację Polityki prywatności . Używamy plików cookie, aby zapewnić najlepszą jakość korzystania z naszej witryny internetowej. Przeczytaj naszą Politykę plików cookie .
Akceptuj Odrzuć