BEC (Business Email Compromise) je sofistikovaný útok cílící na firmy. Útočník buď přímo ovládne e-mailovou schránku šéfa (po phishingu), nebo si zaregistruje doménu lišící se o jedno písmeno (firma-cz.com místo firma.cz) a posílá z ní účetní zprávy s žádostí o naléhavý převod. České firmy hlásí stovky případů ročně, průměrná škoda je 500 tisíc — 5 milionů Kč.

Jak to funguje

Tři nejčastější varianty: 1) CEO fraud — útočník napodobí e-mail ředitele a píše účetní převedl jsi rychle 800 tisíc na tento účet, kupuju firmu, nikomu o tom neříkej; 2) faktura podvod — útočník zachytí korespondenci s dodavatelem a podstrčí novou fakturu se svým bankovním účtem; 3) mzda podvod — útočník napodobí zaměstnance žádajícího o změnu čísla účtu pro výplatu. Často kombinuje s pretextingem (telefonní potvrzení) a deepfake hlasem.

Jak to rozpoznat

  • Doména odesílatele se liší od pravé jen o jedno písmeno nebo má jinou TLD (.com vs .cz).
  • Žádost je naléhavá a vybočuje z normálního schvalovacího procesu (udělej to teď, vysvětlím později).
  • Číslo bankovního účtu pro převod je jiné než obvykle.
  • Šéf údajně nemá čas ověřit přes telefon nebo videohovor.
  • Příchozí e-mail neobsahuje obvyklé interní hlavičky / SPF/DKIM podpisy nesedí.
Reklama

Co dělat

  1. Při každém převodu nad nastavený limit (např. 100 tis.) volejte zpět na ověřené číslo příjemce — ne na číslo z e-mailu.
  2. Zaveďte 2-of-2 schvalování pro velké převody (dva podpisy, dva účty).
  3. Aktivujte SPF, DKIM a DMARC na vlastní doméně — chrání proti spoofingu vaší vlastní adresy.
  4. Při podezření okamžitě kontaktujte banku — některé převody lze do 24 hodin vrátit.
  5. Hlaste případ Policii ČR a NÚKIB — případy jsou často sériové.

Situace v SR

ČBA v roce 2024 vydala doporučení pro firmy: 1) cooling-off pauza 24 hodin u nových bankovních příjemců nad 100 tis.; 2) povinný callback u převodů nad 500 tis.; 3) DMARC s policy reject u firemních domén. Banky postupně tato pravidla automatizují — ČSOB, KB a Air Bank u prvního převodu na nový účet posílají SMS varování.

Reklama

Časté otázky

Vrátí mi banka peníze, když jsem podlehl BEC?

Často ano, pokud nahlásíte rychle (do 24-48 h) a banka stihne převod stáhnout zpět. Po této době peníze obvykle už nelze získat. Některá pojištění (kybernetická) BEC pokrývají.

Jak chránit malou firmu, která nemá IT oddělení?

Tři kroky: 1) zapněte si SPF/DKIM na své doméně (poskytovatel e-mailu to umí na klik); 2) zaveďte interní pravidlo nový převod = telefon na ověřené číslo; 3) limit pro mobilní bankovnictví nastavte nízký, pro velké převody vyžadujte token z banky.