Do księgowej średniej firmy dzwoni telefon. W słuchawce - głos prezesa. Ton skupiony, trochę nerwowy. Mówi, że trwa poufna transakcja przejęcia, adwokaci czekają, potrzebny jest pilny przelew. Prośba jest jasna: żaden mail, żadnego szefa finansowego, to jest poufne. Tylko ona i on. I czas nagli.

Księgowa przelewa 300 000 złotych. Prezes, gdy wraca z urlopu, nic o tym nie wie. To nie był prezes.

To jest CEO fraud (Business Email Compromise lub Voice BEC) - jeden z najdroższych typów oszustw w historii przestępczości korporacyjnej. W Polsce ataki tego typu zaczęły być widoczne kilka lat temu, ale skala rośnie wyraźnie od 2022 roku, równocześnie z dostępnością narzędzi do klonowania głosu opartych na AI.

Jak działa CEO fraud telefoniczny

Klasyczny schemat email BEC (podszywanie się pod szefa przez maila) jest coraz lepiej wykrywany przez filtry antyspamowe i pracowników. Wariant telefoniczny jest trudniejszy - bo ludzki głos wywiera większą presję i trudniej go zakwestionować.

Przygotowanie do ataku trwa tygodnie. Przestępcy:

  • analizują stronę internetową firmy, LinkedIn, media społecznościowe - szukają struktur, imion, tytułów
  • ustalają, kto ma uprawnienia do wykonywania przelewów
  • czekają na moment, gdy prawdziwy prezes jest niedostępny (urlop, konferencja, wyjazdowa sprawa)
  • niekiedy klonują głos prezesa z materiałów video lub podcastów za pomocą AI

Potem dzwonią - bezpośrednio na osoby z dostępem do konta, lub przez sekretariat ("przekaż mi do pani Kowalskiej od razu, to pilne, z gabinetu prezesa").

Deepfake voice - nowy wymiar ataku

Do 2020 roku CEO fraud przez telefon opierało się na aktorach z dobrym akcentem i zdolnościami manipulacyjnymi. Dziś wystarczy kilkadziesiąt sekund nagrania głosu - z YouTube, z podcastu, z wywiadu - żeby wygenerować przekonujący klon głosu za pomocą ogólnodostępnych narzędzi.

CERT Polska odnotował w swoich raportach wzrost incydentów z użyciem syntetycznego głosu w atakach na firmy w Polsce. W 2024 roku CERT szacował wzrost przypadków vishingu z AI voice cloning o ponad 400% rok do roku.

Głos brzmi jak szef. Intonacja, tempo mowy, sposób mówienia - wszystko się zgadza. Jedyna obrona to procedury, nie czujność słuchu.

Jak chronić firmę - konkretne procedury

Zasada dwóch par oczu. Żadna płatność powyżej progu (np. 10 000 złotych) nie wychodzi bez drugiej osoby z uprawnieniami. Nawet jeśli "prezes prosił, żeby nie angażować nikogo innego" - to jest czerwona flaga, nie powód do pominięcia procedury.

Numer oddzwaniania. Jeśli dostajesz prośbę o przelew przez telefon - rozłącz się i oddzwoń na oficjalny numer prezesa (ten z książki adresowej firmy, nie ten podany przez dzwoniącą osobę). Uczciwy prezes zrozumie. Nieuczciwy "prezes" się rozłącza.

Hasło wewnętrzne. Ustalcie w firmie hasło (tzw. safeword), które potwierdza tożsamość dzwoniącego w pilnych sytuacjach. Może to być dowolne słowo ustalone na spotkaniu. Nie umieszczaj go w mailach ani dokumentach.

Polityka "zero trust" dla pilnych próśb. Pilność jest techniką manipulacji. Im bardziej ktoś naciska na szybkość i poufność, tym więcej czasu powinieneś brać na weryfikację. To jest zasada odwrotna do intuicji - i dlatego działa na tyle osób.

Szkolenia pracowników. Osoba odbierająca taki telefon powinna wiedzieć, że ma pełne prawo (i obowiązek) zawiesić transakcję i poprosić o weryfikację. Jeśli firma karze za "nadmierną ostrożność", to jest błąd kultury organizacyjnej, nie błąd pracownika.

Co robić po ataku

Jeśli doszło do przelewu:

  1. Natychmiast zadzwoń do banku - recall przelewu ma sens w ciągu kilku-kilkudziesięciu minut, zanim środki zostaną wypłacone z konta docelowego.
  2. Zgłoś na policję - art. 286 kk (oszustwo), ewentualnie art. 267 lub 287 kk. Numer konta docelowego i numery telefonów są śladami.
  3. Zgłoś do CERT Polska - szczególnie jeśli użyto sklonowanego głosu lub deepfake - to pomaga CERT mapować nowe techniki ataków.
  4. Nie ukrywaj zdarzenia wewnątrz firmy - zatuszowanie incydentu utrudnia odzyskanie pieniędzy i naraża firmę na powtórny atak. Pracownik, który padł ofiarą, działał w dobrej wierze - kara za to jest błędem zarządzania.

Skala strat i odpowiedzialność prawna

CEO fraud to globalnie jeden z najdroższych typów oszustw finansowych - FBI szacuje straty w USA na miliardy dolarów rocznie. W Polsce brak centralnej statystyki, ale sprawy trafiające do sądów pokazują kwoty od kilkudziesięciu tysięcy do kilku milionów złotych w jednej transakcji.

Pytanie o odpowiedzialność pracownika jest trudne. Co do zasady, jeśli pracownik działał zgodnie z instrukcjami (wierząc, że to polecenie szefa), odpowiedzialność spoczywa na przestępcy i na ewentualnych lukach w procedurach firmy. Ale jeśli firma ma jasno określone procedury autoryzacji przelewów, które zostały pominięte - sprawa komplikuje się. Warto to unormować w polityce bezpieczeństwa zanim dojdzie do incydentu, nie po.

Wyzwania wobec telefonicznych ataków na firmy są podobne do tych opisanych w artykule o rozpoznawaniu fałszywych telefonów od instytucji - kluczem jest weryfikacja, nie zaufanie do samego głosu czy numeru dzwoniącego.