MFA silnie ogranicza ryzyko przejęcia konta po wycieku hasła, ale powinno być łączone z ostrożnością wobec phishingu, polityką haseł, kontrolą reguł poczty i procedurami weryfikacji płatności.

Jak działa scam z przejęciem skrzynki mailowej księgowości?

Q: Co to jest Business Email Compromise?

To oszustwo polegające na przejęciu skrzynki mailowej albo wiarygodnym podszyciu się pod zaufany adres lub osobę w celu wyłudzenia pieniędzy albo danych.

Przejęcie skrzynki e-mail księgowości albo podszycie się pod nią to częsty mechanizm w oszustwach fakturowych i atakach typu BEC. Oszust może czytać korespondencję, poznać kontekst sprawy i w odpowiednim momencie wysłać "aktualizację" rachunku albo prośbę o pilny przelew. W artykule: czym jest BEC, jaką rolę odgrywa phishing, jakie są objawy przejęcia skrzynki i jakie zabezpieczenia realnie ograniczają ryzyko.

Co musisz wiedzieć

Business Email Compromise (BEC) to oszustwo, w którym przestępca przejmuje dostęp do skrzynki mailowej albo skutecznie podszywa się pod zaufany adres lub osobę w firmie, aby wyłudzić pieniądze lub dane. Częstym celem są skrzynki księgowości, zarządu oraz osób zatwierdzających płatności. Jednym z najczęstszych punktów wejścia jest phishing, ale atak może zacząć się także od przejętego hasła, złośliwego oprogramowania albo słabego zabezpieczenia konta.

Czym jest Business Email Compromise (BEC)

BEC to rodzaj oszustwa, w którym przestępca wykorzystuje zaufanie do komunikacji e-mailowej, aby nakłonić ofiarę do wykonania przelewu, zmiany danych do płatności albo ujawnienia wrażliwych informacji. Nie zawsze oznacza to pełne przejęcie skrzynki — czasem chodzi o bardzo wiarygodne podszycie się pod kontrahenta, prezesa lub pracownika działu finansowego. Często atakowana jest księgowość, zarząd lub osoby z uprawnieniami do zatwierdzania płatności.

Phishing jako częsty punkt wejścia

Bardzo częstym sposobem rozpoczęcia ataku jest phishing: e-mail z linkiem do fałszywej strony logowania, wiadomość podszywająca się pod dział IT albo załącznik prowadzący do kradzieży danych logowania. Po wpisaniu hasła na fałszywej stronie oszust może uzyskać dostęp do skrzynki. Sam phishing nie jest jednak jedyną drogą — ryzyko rośnie także przy ponownym używaniu haseł, braku MFA albo zainfekowanym urządzeniu.

Monitorowanie korespondencji i wstrzyknięcie wiadomości

Po uzyskaniu dostępu do skrzynki oszust może czytać korespondencję, obserwować obieg faktur, terminy płatności i styl komunikacji. Dzięki temu w odpowiednim momencie wysyła wiadomość o "zmianie" rachunku bankowego, "aktualizacji" danych do przelewu albo pilnej płatności. Taka wiadomość bywa szczególnie niebezpieczna, gdy pochodzi z prawdziwej przejętej skrzynki lub jest wysłana w istniejącym wątku korespondencji.

Objawy przejętej skrzynki

Podejrzane objawy to między innymi: logowania z nieznanych urządzeń lub lokalizacji, alerty o nietypowej aktywności, brakujące wiadomości, nieznane reguły poczty, automatyczne przekierowanie wiadomości na obcy adres, dziwne odpowiedzi automatyczne, a także sygnały od kontrahentów, że otrzymali nietypowe maile z waszego adresu. W praktyce atakujący często tworzą reguły, które ukrywają wybrane wiadomości, oznaczają je jako przeczytane, usuwają albo przekazują dalej.

Zabezpieczenia: MFA, alerty logowania, polityka haseł i kontrola reguł

Włącz uwierzytelnianie wieloskładnikowe (MFA) na wszystkich skrzynkach i systemach powiązanych z finansami. Korzystaj z silnych, unikalnych haseł oraz menedżera haseł. Monitoruj alerty o logowaniach z nowych urządzeń lub lokalizacji oraz regularnie sprawdzaj, czy na skrzynkach nie pojawiły się nieautoryzowane reguły przekierowań, usuwania lub ukrywania wiadomości. Ogranicz liczbę osób mających dostęp do skrzynek i systemów płatniczych oraz wprowadź procedurę niezależnego potwierdzania zmiany rachunku bankowego innym kanałem niż e-mail. W przypadku podejrzenia przejęcia natychmiast zmień hasło, unieważnij aktywne sesje, sprawdź reguły skrzynki i zgłoś incydent.

FAQ

Co to jest Business Email Compromise?

To oszustwo, w którym przestępca przejmuje skrzynkę mailową albo skutecznie podszywa się pod zaufany adres lub osobę w firmie, aby wyłudzić pieniądze albo dane. Często celem jest księgowość, zarząd lub osoby zatwierdzające płatności.

Jak rozpoznać, że skrzynka mogła być przejęta?

Objawy to między innymi logowania z nieznanych urządzeń lub lokalizacji, alerty o podejrzanej aktywności, brakujące wiadomości, nieznane reguły przekierowania lub usuwania maili, a także zgłoszenia od kontrahentów o dziwnych wiadomościach wysłanych z waszego adresu.

Czy MFA wystarczy jako zabezpieczenie?

MFA bardzo utrudnia przejęcie konta po wycieku hasła, ale nie daje pełnej ochrony. Nadal trzeba uważać na phishing, nie podawać kodów nikomu, używać unikalnych haseł, kontrolować reguły poczty i stosować procedury weryfikacji zmian danych do płatności.

Powiązane tematy

Przydatne serwisy

Status i komunikaty

API i narzędzia

Pierwsza grupa – status systemu KSeF i komunikaty techniczne Ministerstwa Finansów, druga – narzędzia do integracji z KSeF i walidacji faktur.