Oszustwo na fakturę – jak działa i jak się bronić

Czym jest oszustwo na fakturę

Oszustwo na fakturę (ang. invoice fraud) to forma przestępstwa, w której atakujący manipuluje procesem płatności faktur, aby środki trafiły na jego rachunek zamiast do prawdziwego kontrahenta. W odróżnieniu od klasycznych oszustw podatkowych, celem nie jest wyłudzenie VAT, ale bezpośrednia kradzież pieniędzy firmy.

Ten typ ataku należy do kategorii BEC (Business Email Compromise) i od lat znajduje się wśród najkosztowniejszych form cyberprzestępczości na świecie. Globalne straty z tego typu ataków liczone są w miliardach rocznie.

Dlaczego oszustwa fakturowe są tak skuteczne

Oszustwa na fakturę wykorzystują słabości procesów biznesowych, nie systemów IT. Atakujący nie musi łamać zabezpieczeń – wystarczy, że przekona pracownika do wykonania standardowej operacji (przelewu) na zmodyfikowanych warunkach.

Kluczowe czynniki sukcesu oszustów:

  • Faktury to rutynowa operacja – księgowość przetwarza ich dziesiątki dziennie
  • Presja czasu – terminy płatności wymuszają szybkie decyzje
  • Zaufanie do dokumentów – faktura wygląda jak zwykły dokument biznesowy
  • Rozproszenie odpowiedzialności – nikt nie czuje się właścicielem weryfikacji
  • Brak weryfikacji dwukanałowej – komunikacja odbywa się jednym kanałem

Mechanizmy oszustw fakturowych

Typ 1: Podmiana rachunku bankowego (Payment Diversion)

Jak działa:

  1. Atakujący zdobywa informacje o relacji między firmami (z LinkedIn, stron WWW, rejestrów)
  2. Wysyła e-mail podszywając się pod dostawcę z informacją o "zmianie rachunku bankowego"
  3. Kolejna faktura (prawdziwa lub sfałszowana) trafia do firmy
  4. Księgowość aktualizuje dane i wykonuje przelew na nowy rachunek
  5. Pieniądze trafiają do oszusta

Sygnały ostrzegawcze:

  • Nagła zmiana rachunku bankowego
  • E-mail z domeny podobnej do oryginalnej (np. firma-pl.com zamiast firma.pl)
  • Prośba o pilne przetworzenie
  • Nowy rachunek w innym banku niż dotychczas
  • Brak możliwości potwierdzenia telefonicznego

Typ 2: Fałszywa faktura za fikcyjną usługę

Jak działa:

  1. Atakujący tworzy firmę o nazwie podobnej do znanego dostawcy
  2. Wystawia fakturę za usługę, która brzmi wiarygodnie (licencje, hosting, reklama)
  3. Kwota jest na tyle niska, że nie wymaga szczególnej autoryzacji
  4. Faktura "ginie" w wolumenie innych dokumentów
  5. Płatność następuje automatycznie lub z pobieżną kontrolą

Sygnały ostrzegawcze:

  • Nowy kontrahent w systemie
  • Brak zamówienia lub umowy
  • Ogólnikowy opis usługi
  • Kwota tuż pod progiem autoryzacji
  • Brak osoby kontaktowej po stronie dostawcy

Typ 3: CEO Fraud / Oszustwo na prezesa

Jak działa:

  1. Atakujący podszywa się pod prezesa, dyrektora finansowego lub właściciela
  2. Kontaktuje się z księgowością z "pilną" prośbą o przelew
  3. Powołuje się na poufność transakcji ("nie informuj nikogo")
  4. Wywiera presję czasową ("musi wyjść dzisiaj")
  5. Pracownik wykonuje przelew

Sygnały ostrzegawcze:

  • Nietypowy kanał komunikacji (prywatny e-mail, SMS)
  • Prośba o zachowanie tajemnicy
  • Ekstremalna presja czasu
  • Brak standardowej dokumentacji
  • Odbiorca w nietypowej lokalizacji

Typ 4: Atak Man-in-the-Middle na korespondencję

Jak działa:

  1. Atakujący uzyskuje dostęp do skrzynki e-mail dostawcy lub odbiorcy
  2. Monitoruje korespondencję i czeka na fakturę
  3. Przechwytuje prawdziwą fakturę i podmienia rachunek bankowy
  4. Przekazuje zmodyfikowaną fakturę do odbiorcy
  5. Odbiorca płaci na rachunek oszusta

Sygnały ostrzegawcze:

  • Zmiana rachunku bankowego na fakturze
  • Subtelne różnice w formatowaniu dokumentu
  • Opóźnienia w korespondencji
  • Dostawca pyta o płatność, której "nie otrzymał"

Anatomia ataku – studium przypadku

Scenariusz: Firma produkcyjna regularnie kupuje komponenty od dostawcy zagranicznego. Faktury przychodzą e-mailem, płatności realizowane są przelewem SWIFT.

Przebieg ataku:

  1. Rekonesans: Atakujący identyfikuje dostawców i osoby decyzyjne.
  2. Przygotowanie: Rejestruje domenę łudząco podobną do domeny dostawcy.
  3. Pierwszy kontakt: Informacja o rzekomej zmianie rachunku.
  4. Uwiarygodnienie: Oficjalnie wyglądające pismo, podpis, logo.
  5. Finalizacja: Przelew na nowy rachunek.
  6. Wypłata: Środki są szybko rozpraszane – często w ciągu godzin lub dni.

Strata: jedna duża faktura może oznaczać kilkadziesiąt lub kilkaset tysięcy euro straty.

Jak bronić firmę przed oszustwami fakturowymi

Poziom 1: Procedury podstawowe

Weryfikacja dwukanałowa zmian danych

Każda zmiana rachunku bankowego kontrahenta musi być potwierdzona telefonicznie na numer z kartoteki (nie z e-maila).

Rozdzielenie obowiązków

  • Inna osoba wprowadza dane
  • Inna zatwierdza zmiany
  • Inna autoryzuje płatność

Obowiązkowe powiązanie z zamówieniem

Faktura bez zamówienia lub umowy trafia do dodatkowej weryfikacji.

Poziom 2: Kontrole techniczne

Weryfikacja rachunku bankowego

  • Sprawdzenie na Białej Liście (dla podmiotów polskich)
  • Alert przy nowym rachunku
  • Blokada płatności przy zmianie bez potwierdzenia

Analiza anomalii

  • Nietypowa kwota
  • Nietypowy cykl płatności
  • Skrócony termin płatności

Weryfikacja domen e-mail

  • SPF/DKIM/DMARC
  • Alert przy domenach podobnych (typosquatting)

Poziom 3: Kultura bezpieczeństwa

Szkolenia pracowników

Regularne szkolenia i symulacje phishingu znacząco zwiększają wykrywalność prób oszustwa.

Atmosfera bez presji

Pracownik musi mieć prawo wstrzymać płatność bez obawy o konsekwencje.

Co robić po wykryciu oszustwa

Natychmiast (pierwsze 24 godziny)

  1. Kontakt z bankiem
  2. Zabezpieczenie dowodów
  3. Weryfikacja innych transakcji
  4. Eskalacja do zarządu

Krótkoterminowo (tydzień)

  1. Zgłoszenie organom ścigania
  2. Kontakt z kontrahentem
  3. Audyt procedur

Długoterminowo (miesiąc)

  1. Aktualizacja procedur
  2. Dodatkowe szkolenia
  3. Monitoring podobnych schematów

Statystyki i trendy

Oszustwa fakturowe i BEC należą do najpoważniejszych zagrożeń finansowych dla firm. Raporty międzynarodowe firm analitycznych zajmujących się cyberbezpieczeństwem wskazują, że:

  • BEC generuje globalnie straty liczone w miliardach dolarów rocznie
  • Znaczna część incydentów dotyczy podmiany rachunku bankowego
  • Ataki niemal zawsze zaczynają się od e-maila
  • Presja czasu i koniec tygodnia to częste elementy scenariusza

Skala problemu rośnie wraz z cyfryzacją procesów finansowych.

Powiązane artykuły

FAQ

Czy mała firma też może być celem oszustwa fakturowego?

Tak. Mniejsze firmy często mają słabsze procedury kontrolne, co czyni je atrakcyjnym celem.

Jak szybko trzeba działać po wykryciu oszustwa?

Natychmiast. Szanse na odzyskanie środków maleją bardzo szybko – często z każdą godziną.

Czy ubezpieczenie pokrywa straty z oszustwa fakturowego?

Zależy od polisy. Wymagane jest zwykle rozszerzenie o cyber insurance lub crime coverage.

Co zrobić, gdy prezes naprawdę prosi o pilny przelew?

Procedura obowiązuje zawsze. Potwierdź drugim kanałem komunikacji. Brak wyjątków.

Treść ma charakter informacyjny i edukacyjny. Nie stanowi porady prawnej ani podatkowej.

Przydatne serwisy

Status KSeF

Pierwszy serwis prezentuje informacje o statusie samego KSeF, drugi – komunikaty techniczne Ministerstwa Finansów.

Dalsze korzystanie z tej witryny oznacza akceptację Polityki prywatności . Używamy plików cookie, aby zapewnić najlepszą jakość korzystania z naszej witryny internetowej. Przeczytaj naszą Politykę plików cookie .
Akceptuj Odrzuć