Wprowadzenie do problemu / definicja
Współczesne ataki e-mailowe coraz rzadziej przypominają prymitywne kampanie phishingowe pełne błędów językowych i oczywistych sygnałów ostrzegawczych. Cyberprzestępcy coraz częściej wykorzystują zaufanie obecne w codziennych relacjach biznesowych — między pracownikami, kadrą zarządzającą, działami wewnętrznymi oraz dostawcami.
To istotna zmiana w modelu zagrożeń. Punkt ciężkości przesuwa się z klasycznych podatności technicznych na słabości organizacyjne, proceduralne i behawioralne. Atakujący nie muszą już zawsze przełamywać zabezpieczeń systemowych — często wystarczy, że wiarygodnie wpiszą się w rutynę działania firmy.
W skrócie
Najważniejszym trendem jest rosnące wykorzystanie zaufanych relacji jako narzędzia ataku. Phishing pozostaje najczęstszą kategorią incydentów, ale szczególnie groźne są scenariusze BEC oraz VEC, w których celem stają się procesy płatności, fakturowania i wymiany informacji biznesowych.
- Phishing odpowiada za większość ataków e-mailowych.
- BEC generuje relatywnie mniejszy wolumen, ale często powoduje poważniejsze skutki biznesowe.
- VEC wzmacnia ryzyko poprzez wykorzystanie relacji dostawca–klient.
- Ataki są coraz lepiej dopasowane do kontekstu pracy ofiary.
- Ochrona poczty musi obejmować nie tylko treść wiadomości, ale też kontekst i wzorce zachowań.
Kontekst / historia
Przez lata dominowało przekonanie, że złośliwy e-mail można rozpoznać po nietypowym języku, podejrzanym nadawcy albo prymitywnym załączniku. Ten obraz jest dziś coraz mniej aktualny. Dojrzałe grupy przestępcze nauczyły się analizować strukturę organizacji, łańcuchy akceptacji, relacje między zespołami i rytm komunikacji z kontrahentami.
W efekcie powstał model ataku oparty na wiarygodności. Klasyczny phishing nadal służy do wyłudzania danych logowania i kierowania ofiar na złośliwe strony, ale coraz większe znaczenie mają również ataki business email compromise. W ich przypadku celem nie jest samo zainfekowanie urządzenia, lecz wymuszenie konkretnego działania biznesowego, takiego jak przelew, zmiana danych odbiorcy płatności czy udostępnienie wrażliwych informacji.
Jeszcze bardziej problematyczny jest vendor email compromise, czyli kompromitacja lub podszycie się pod konto dostawcy. Taki scenariusz wykorzystuje naturalne zaufanie obecne w relacjach handlowych i utrudnia wykrycie oszustwa, ponieważ sama treść wiadomości często nie odbiega od codziennej komunikacji operacyjnej.
Analiza techniczna
Z przedstawionych danych wynika, że phishing odpowiada za 58% wszystkich ataków e-mailowych. BEC stanowi 11% incydentów, ale jego wpływ biznesowy bywa znacznie większy niż sugerowałby sam udział procentowy. Dodatkowo ponad 60% przypadków w obrębie BEC dotyczy VEC, co pokazuje, jak ważnym wektorem stały się dziś relacje z partnerami i dostawcami.
Ataki phishingowe są coraz lepiej personalizowane. W środowiskach, gdzie regularnie wymienia się dokumenty i pliki, przestępcy chętnie wykorzystują fałszywe powiadomienia o współdzielonych zasobach. W firmach korzystających z wielu popularnych aplikacji częste jest podszywanie się pod znane platformy, systemy obiegu dokumentów lub narzędzia administracyjne. Dzięki temu wiadomość nie wygląda jak anomalia, lecz jak naturalny element dnia pracy.
Ważnym mechanizmem obchodzenia zabezpieczeń są łańcuchy przekierowań. Ponad 20% ataków phishingowych wykorzystuje redirect chain, aby ukryć końcowy adres złośliwej strony przed użytkownikiem i systemami ochrony. Dodatkowym utrudnieniem są skracacze linków, które ograniczają możliwość szybkiej oceny reputacji adresu i zwiększają wiarygodność przynęty.
BEC jest zwykle bardziej selektywny i wymaga lepszego rozpoznania organizacji. W mniejszych firmach częściej obserwuje się podszywanie pod kadrę kierowniczą, ponieważ uproszczona struktura decyzyjna sprzyja szybkiemu wykonaniu polecenia. W dużych przedsiębiorstwach rośnie natomiast znaczenie ataków lateralnych, gdzie przejęte konto wewnętrzne służy do oszukiwania kolejnych pracowników. Taki scenariusz jest szczególnie niebezpieczny, ponieważ komunikacja pochodzi z autentycznego, zaufanego źródła.
Analiza wskazuje także, że niemal 40% wszystkich ataków BEC opiera się bezpośrednio na zaufaniu do współpracowników, przełożonych i działów wewnętrznych. Znaczna część wiadomości podszywa się nie pod prezesa, lecz pod konkretną znaną osobę z organizacji, co ogranicza poziom podejrzeń. Częstym wektorem są też komunikaty imitujące IT, HR, payroll oraz systemy wewnętrzne.
W przypadku VEC dominują scenariusze związane z fakturami, zmianą numeru rachunku bankowego, aktualizacją danych płatniczych i procesem zakupowym. Takie wiadomości bywają bardzo trudne do wykrycia, ponieważ idealnie wpisują się w codzienne workflow działów finansowych, procurementu i księgowości.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją tego trendu jest rozszerzenie powierzchni ataku poza infrastrukturę techniczną. Zagrożeniem staje się już nie tylko podatny system czy słabe hasło, ale również przewidywalny proces akceptacji przelewów, automatyczne zaufanie do komunikatów wewnętrznych oraz brak dodatkowej weryfikacji przy zmianie danych dostawcy.
Dla organizacji oznacza to kilka warstw ryzyka. Pierwsza to bezpośrednie straty finansowe wynikające z oszustw płatniczych i fakturowych. Druga to przejęcie danych uwierzytelniających, które może prowadzić do dalszej kompromitacji skrzynek pocztowych, ruchu bocznego w organizacji i eskalacji incydentu. Trzecia obejmuje utratę reputacji, zakłócenie relacji z partnerami i spadek zaufania do komunikacji elektronicznej.
Szczególnie narażone są organizacje o dużym wolumenie korespondencji, rozproszonej strukturze oraz wysokiej rotacji użytkowników. Uczelnie, korporacje wielooddziałowe, zespoły zakupowe i działy księgowe obsługujące wielu kontrahentów działają w środowisku, w którym zaufanie proceduralne jest niezbędne — a właśnie ono staje się dziś celem atakujących.
Rekomendacje
Skuteczna obrona wymaga odejścia od modelu, w którym bezpieczeństwo poczty sprowadza się do filtrowania spamu, analizy załączników i blokowania znanych wskaźników kompromitacji. Organizacje powinny wdrażać podejście kontekstowe, oceniające nie tylko wiadomość, ale także relację między nadawcą a odbiorcą, historię korespondencji i zgodność treści z typowym zachowaniem użytkownika.
- Wzmocnić procedury związane z płatnościami i zmianą danych dostawców, w tym obowiązkową weryfikację poza kanałem e-mailowym.
- Rozbudować ochronę przed BEC i VEC o analizę behawioralną oraz wykrywanie anomalii w stylu komunikacji i schematach korespondencji.
- Monitorować konta wewnętrzne pod kątem nietypowych logowań, masowych wysyłek, zmiany tonu wiadomości i nagłych próśb finansowych.
- Unowocześnić szkolenia pracowników, koncentrując je na realistycznych scenariuszach osadzonych w codziennych procesach firmy.
- Egzekwować zasadę najmniejszych przywilejów i rozdział obowiązków w systemach finansowych, HR i administracyjnych.
- Rozważyć wykorzystanie narzędzi AI do modelowania normalnych wzorców komunikacji i wykrywania odchyleń od rutyny operacyjnej.
Podsumowanie
Dzisiejsze zagrożenia e-mailowe coraz częściej opierają się nie na jawnej złośliwości, lecz na wiarygodności. Cyberprzestępcy wykorzystują relacje, procesy i rutyny biznesowe jako skuteczną warstwę maskującą, dzięki której oszustwo staje się trudniejsze do odróżnienia od legalnej komunikacji.
To oznacza, że bezpieczeństwo poczty elektronicznej nie jest już wyłącznie problemem technologicznym. Obejmuje ono także kulturę organizacyjną, kontrolę procesów, zarządzanie tożsamością, relacje z dostawcami i zdolność wykrywania subtelnych manipulacji. Firmy, które nie dostosują modeli obrony do tej zmiany, będą coraz częściej przegrywać nie z bardziej zaawansowanym malware, lecz z lepiej przygotowaną socjotechniką.
Źródła
- SecurityWeek – The Behavioral Shift: Why Trusted Relationships Are the Newest Attack Surface — https://www.securityweek.com/the-behavioral-shift-why-trusted-relationships-are-the-newest-attack-surface/
- Abnormal AI – 2026 Attack Landscape Report — https://files.abnormalsecurity.com/2026-Attack-Landscape-Report.pdf