W piątek po południu, tuż przed końcem miesiąca, do działu księgowości spółki przychodzi mail od stałego dostawcy: "Informujemy o zmianie rachunku bankowego, prosimy o regulowanie faktur na nowy numer konta". Załączona faktura wygląda jak zawsze - to samo logo, ta sama numeracja. Po kilku minutach dzwoni telefon: uprzejmy głos przedstawia się jako pracownik rozliczeń dostawcy i potwierdza zmianę. Przelew na 84 tysiące złotych rusza w świat. Tyle że konto należy do oszusta, a prawdziwy dostawca o niczym nie wie.

Na czym polega oszustwo na zmianę numeru konta

To odmiana oszustwa znanego jako BEC, czyli atak na firmową korespondencję płatniczą. W tej wersji oszust nie podszywa się pod prezesa, lecz pod dostawcę albo kontrahenta, z którym twoja firma realnie współpracuje. Celem jest jedno: podmienić numer rachunku na fakturze, żeby należna płatność trafiła nie do partnera, ale do przestępcy.

Schemat zwykle przebiega w kilku krokach. Najpierw przestępca zdobywa wiedzę o relacji między firmami - z przejętej skrzynki mailowej, wycieku danych albo po prostu z publicznych informacji o współpracy. Potem podszywa się pod dostawcę i wysyła komunikat o zmianie konta, często tuż przed terminem realnej płatności. Telefon "z działu rozliczeń" dorzuca element ludzkiej wiarygodności - bo skoro ktoś zadzwonił i potwierdził, to przecież musi być prawda.

Najgroźniejszy wariant to przejęta skrzynka. Jeśli oszust ma dostęp do prawdziwej poczty dostawcy, mail przychodzi z autentycznego adresu, w autentycznym wątku, a przestępca zna szczegóły zamówienia. Wtedy nic nie wygląda podejrzanie - poza tym jednym: zmienionym numerem rachunku.

Czym to się różni od oszustwa "na prezesa"

Łatwo pomylić ten schemat z oszustwem na prezesa, ale to dwie różne historie i broni się przed nimi nieco inaczej.

CechaOszustwo na dostawcę (fałszywa faktura)Oszustwo "na prezesa"
Pod kogo podszywa się oszustZewnętrzny dostawca, kontrahentSzef, członek zarządu firmy
Punkt zaczepieniaRealna faktura i płatność"Pilny, poufny przelew"
Pretekst"Zmieniliśmy numer konta""Zrób to natychmiast, w tajemnicy"
Słaby punkt celuRutyna w opłacaniu fakturPosłuszeństwo wobec przełożonego

W wersji "na prezesa" gra toczy się o autorytet i pośpiech, a presję wywiera rzekomy przełożony - rozkładamy to na czynniki w tekście o oszustwie na prezesa przez telefon. W oszustwie na fałszywą fakturę kluczem jest rutyna i zaufanie do znanego kontrahenta. Tu nikt nie krzyczy "natychmiast" - przeciwnie, wszystko wygląda spokojnie i normalnie, co czyni ten atak szczególnie podstępnym.

Sygnały ostrzegawcze, które łatwo przeoczyć

Oszustwo na zmianę konta jest skuteczne, bo udaje codzienność. Ale prawie zawsze zostawia ślady, jeśli wiesz, czego szukać.

  • Nagła informacja o zmianie rachunku, zwłaszcza tuż przed terminem płatności albo na koniec miesiąca.
  • Drobna literówka w adresie mailowym - domena typu "firma-sp.com" zamiast "firma.com.pl" albo zamiana litery na podobną.
  • Prośba o pilność i dyskrecję przy płatności, która wcześniej była rutynowa.
  • Telefon potwierdzający zmianę z numeru, którego nie masz w bazie kontaktów kontrahenta.
  • Nowy rachunek w innym banku lub w innym kraju niż dotychczasowy.
  • Lekko zmieniony styl wiadomości - inne zwroty, inny podpis, inna stopka niż zwykle.

Numer telefonu na fakturze albo w mailu też można sfałszować - oszuści potrafią podstawić na wyświetlaczu dowolny numer. Jak działa ta technika, wyjaśniamy w artykule o spoofingu numeru telefonu. Dlatego sam fakt, że "dzwonili z numeru dostawcy", niczego nie potwierdza.

Osobno warto zwrócić uwagę na czas ataku. Oszuści lubią moment, w którym czujność jest najmniejsza: ostatni dzień miesiąca, piątkowe popołudnie przed długim weekendem, okres urlopowy, gdy stałą księgową zastępuje ktoś mniej zorientowany w relacjach z kontrahentami. To wtedy presja "zaksięgujmy to jeszcze dziś" działa najmocniej, a zastępstwo nie ma odruchu, żeby zadzwonić i potwierdzić. Jeśli prośba o zmianę konta zbiega się akurat z takim momentem, potraktuj to jako dodatkowy powód do ostrożności, a nie do pośpiechu.

Jak się bronić - procedury, które naprawdę działają

Obrona przed tym oszustwem nie polega na lepszym antywirusie, tylko na prostych zasadach w obiegu płatności. Najważniejsza z nich jest jedna i warto ją wbić do głowy całemu zespołowi.

  1. Każdą zmianę numeru rachunku weryfikuj telefonicznie - ale pod numerem z umowy, nie z maila. Zadzwoń do dostawcy na numer, który masz w podpisanej umowie albo na oficjalnej stronie, i zapytaj wprost, czy zmieniał konto. Nigdy nie dzwoń pod numer podany w samej wiadomości o zmianie.
  2. Wprowadź zasadę dwóch osób przy zmianie danych płatniczych. Modyfikację numeru konta kontrahenta w systemie powinna potwierdzać druga osoba, niezależnie od tego, kto ją zgłosił.
  3. Ustal próg kwotowy wymagający dodatkowej autoryzacji. Przelewy powyżej określonej sumy albo na nowy rachunek niech wymagają drugiego podpisu.
  4. Trzymaj numery rachunków kontrahentów w zaufanej bazie i porównuj fakturę z tym zapisem przed każdą płatnością.
  5. Szkol zespół z tego konkretnego scenariusza. Najsłabszym ogniwem jest człowiek działający w pośpiechu na koniec miesiąca.

Te nawyki wpisują się w zasady bezpiecznego bankowania promowane przez Związek Banków Polskich. Zasada "weryfikuj zmianę konta pod znanym numerem" brzmi banalnie, ale rozbraja niemal cały ten schemat. Oszust może podrobić mail, fakturę i nawet numer dzwoniącego - ale nie odbierze telefonu pod prawdziwym numerem dostawcy.

Co zrobić, gdy przelew już poszedł

Jeśli zorientujesz się po fakcie, liczy się każda minuta. Pieniądze bywają wyprowadzane z konta odbiorcy bardzo szybko, więc działaj od razu.

  • Natychmiast zadzwoń do swojego banku i zgłoś przelew jako oszustwo - poproś o próbę zatrzymania lub wycofania środków.
  • Skontaktuj się z bankiem odbiorcy, jeśli to możliwe, aby zablokować rachunek.
  • Zgłoś sprawę na policję - oszustwo płatnicze podpada pod artykuł 286 Kodeksu karnego, czyli oszustwo - możesz je zgłosić również do Centralnego Biura Zwalczania Cyberprzestępczości.
  • Powiadom prawdziwego dostawcę - jego skrzynka mogła zostać przejęta i inni klienci też są zagrożeni.
  • Zabezpiecz dowody: maile z nagłówkami, fałszywą fakturę, billing rozmowy, numer rachunku oszusta.
  • Sprawdź, czy w korespondencji nie wyciekły dane logowania - jeśli tak, działaj jak po wycieku, o czym piszemy w tekście, co robić, gdy podałeś dane osobowe przez telefon.

Im szybciej bank dostanie zgłoszenie, tym większa szansa na odzyskanie pieniędzy. Po kilku dniach środki zwykle są już nie do odzyskania.

FAQ

Mail o zmianie konta przyszedł z prawdziwego adresu dostawcy. Czy mogę mu ufać?

Nie bezwarunkowo. Skrzynka dostawcy mogła zostać przejęta, co oznacza, że oszust pisze z autentycznego adresu, w prawdziwym wątku. Dlatego niezależnie od tego, jak wiarygodnie wygląda mail, zmianę numeru rachunku potwierdź telefonicznie pod numerem z umowy, a nie pod tym z wiadomości. To jedyny pewny sposób.

Dzwonił do mnie pracownik dostawcy i potwierdził nowy numer konta - czy to wystarczy?

Nie, jeśli to oni zadzwonili do ciebie. Numer dzwoniącego można sfałszować, a "pracownik rozliczeń" może być oszustem. Wiarygodne jest tylko potwierdzenie, gdy to ty oddzwaniasz pod znany numer dostawcy z umowy lub oficjalnej strony. Połączenie przychodzące niczego nie weryfikuje.

Czy to oszustwo dotyczy tylko dużych firm?

Nie. Cele to firmy każdej wielkości, w tym jednoosobowe działalności i małe spółki, które regularnie płacą faktury dostawcom. Mniejsze firmy często nie mają procedury weryfikacji zmiany konta, co czyni je łatwiejszym celem. Zasada dwóch osób i telefon pod znany numer działają niezależnie od skali.

Jak rozpoznać podrobiony adres mailowy dostawcy?

Sprawdź dokładnie domenę po znaku małpy - oszuści zmieniają jedną literę, dodają myślnik albo podmieniają końcówkę (na przykład .com zamiast .com.pl). Porównaj adres z wcześniejszą, pewną korespondencją. Uważaj też na nazwę wyświetlaną: może brzmieć poprawnie, podczas gdy prawdziwy adres pod spodem jest zupełnie inny.

Podsumowanie

Oszustwo na fałszywą fakturę i zmianę numeru konta jest groźne właśnie dlatego, że udaje normalność: znany dostawca, zwykła płatność, uprzejmy telefon. Nie ma tu krzyku ani dramatycznego pośpiechu jak przy oszustwie "na prezesa" - jest spokojna prośba, która gładko wpasowuje się w firmową rutynę. Cała obrona sprowadza się do kilku procedur: weryfikuj każdą zmianę rachunku telefonicznie pod numerem z umowy, stosuj zasadę dwóch osób przy zmianie danych płatniczych i szkol zespół z tego konkretnego scenariusza. A jeśli przelew już poszedł, dzwoń do banku w tej samej minucie - to wtedy decyduje się, czy pieniądze da się jeszcze odzyskać.