Statystyki pokazują, że skala ataków typu Business Email Compromise rośnie dwucyfrowo rok do roku, a BEC należy dziś do najkosztowniejszych kategorii incydentów dla biznesu. Jest to forma przestępstwa, która nie zawsze wymaga zaawansowanych technik hakerskich — jej skuteczność opiera się przede wszystkim na manipulacji psychologicznej, budowaniu zaufania i wykorzystywaniu autorytetu w komunikacji służbowej.
Nowym czynnikiem przyspieszającym rozwój tego zjawiska jest sztuczna inteligencja. Generatywne modele językowe pozwalają dziś tworzyć niezwykle wiarygodne, bezbłędne językowo wiadomości mejlowe, które trudno odróżnić od autentycznej korespondencji, a szacuje się, że istotna część współczesnych kampanii BEC wykorzystuje treści generowane przez AI. W efekcie tradycyjne sygnały ostrzegawcze — jak błędy językowe czy nienaturalne sformułowania — przestają być wiarygodnym wyznacznikiem ryzyka.
Poziom przygotowania organizacji na tego typu ataki jest zróżnicowany. W wielu firmach procesy autoryzacji płatności nadal opierają się na zaufaniu do wewnętrznej komunikacji mejlowej i hierarchii służbowej, bez wbudowanych, twardych mechanizmów kontroli i weryfikacji. Często brakuje też systematycznych szkoleń uświadamiających pracownikom, że „zbyt pilna” prośba o przelew, zmianę numeru konta lub opłacenie faktury, nawet jeśli pochodzi z adresu osoby decyzyjnej, może być elementem zaawansowanego scenariusza BEC.
Z perspektywy bezpieczeństwa kluczowa staje się budowa odporności organizacyjnej na tego typu oszustwa. Oznacza to wdrożenie jasnych zasad „bezpiecznych płatności”, obejmujących wieloetapowe potwierdzanie wysokokwotowych przelewów, zasadę weryfikacji zmiany danych kontrahenta innym kanałem niż mejl oraz obowiązkowe konsultacje przy niestandardowych żądaniach finansowych.
Równie ważne jest rozwijanie tzw. cyberkultury — zachęcanie pracowników do kwestionowania nietypowych dyspozycji, promowanie zasady „najpierw sprawdź, potem wykonaj” oraz regularne ćwiczenia w formie symulowanych kampanii BEC. Firmy, które chcą skutecznie bronić się przed cyberoszustwami wspieranymi przez AI, muszą przesunąć akcent z reagowania na prewencję i odporność.
Niezbędne jest ciągłe podnoszenie świadomości użytkowników oraz testowanie procedur w warunkach zbliżonych do rzeczywistych scenariuszy ataków. Tylko organizacje, które połączą technologię, procesy i czynnik ludzki, utrzymają wysoki poziom bezpieczeństwa w erze inteligentnych cyberzagrożeń opartych na BEC.
Partnerem publikacji jest PZU