Raptoric Journal/Ofenzivna sigurnost
Ofenzivna sigurnost15. lipnja 2026. · 11 min čitanja

Prijevara poslovne e-pošte (BEC): kako prepoznati i spriječiti

Kompromitacija poslovne e-pošte jedan je od financijski najštetnijih napada. Napadač se predstavlja kao direktor ili dobavljač i traži uplatu. Evo kako prepoznati i spriječiti.
Financijska stručnjakinja provjerava zahtjev za plaćanje telefonom dok gleda e-poštu na računalu.
Autor
LH
Lovro Heruc
Ofenzivna sigurnost, aplikacije i detekcija
Podijelite
LinkedInX / TwitterCopy link

Prijevara poslovne e-pošte, na engleskom Business Email Compromise (BEC), napad je u kojem se napadač predstavlja kao osoba od povjerenja, najčešće direktor, financijski voditelj ili dobavljač, i navede zaposlenika da izvrši uplatu ili promijeni podatke za plaćanje. Za razliku od masovnog phishinga, BEC je ciljan, dobro pripremljen i često bez ijedne poveznice ili privitka, pa ga tehničke obrane teško hvataju. Upravo zato spada među financijski najštetnije napade na tvrtke.

BEC je oblik phishinga i socijalnog inženjeringa, usmjeren na novac. Otpornost zaposlenika provjeravamo kroz simulacije u sklopu ofenzivne sigurnosti.

Kako BEC funkcionira

Napadač prvo prikuplja informacije o tvrtki, tko odobrava plaćanja i tko su dobavljači, najčešće s javnih izvora. Zatim šalje uvjerljivu poruku s adrese vrlo slične pravoj, ili s preuzetog računa, u kojoj hitno traži uplatu. Poruka koristi autoritet i pritisak roka kako bi žrtvi oduzela vrijeme za promišljanje. Novac se prebacuje na račun napadača i brzo nestaje.

Tipovi BEC prijevare

Napad ima nekoliko prepoznatljivih oblika.1

OblikKako izgleda
Lažni direktor (CEO fraud)Poruka navodno od direktora traži hitnu i povjerljivu uplatu.
Lažni račun dobavljačaNapadač se predstavlja kao dobavljač i traži promjenu podataka za plaćanje.
Preuzeti računNapadač koristi stvarni, kompromitirani račun zaposlenika.
Preusmjeravanje plaćeZahtjev za promjenu računa za isplatu plaće zaposlenika.
Najčešći oblici prijevare poslovne e-pošte.

Znakovi upozorenja

BEC poruke gotovo uvijek nose iste signale: hitnost i pritisak, zahtjev za povjerljivošću, promjena podataka za plaćanje, sitna razlika u adresi pošiljatelja i odstupanje od uobičajenog postupka. Svaki od tih znakova trebao bi pokrenuti provjeru, ne reakciju.

Kako spriječiti BEC

Obrana je prije svega proceduralna, jer napad cilja ljude i procese, ne tehnologiju.

  1. 01
    Provjera drugim kanalom
    Svaku uplatu ili promjenu podataka za plaćanje potvrdite telefonom na poznati broj, nikad na onaj iz poruke.
  2. 02
    Dvostruko odobrenje
    Uvedite obvezno odobrenje dvije osobe za uplate iznad praga.
  3. 03
    Zaštita računa
    Uključite višefaktorsku autentifikaciju na e-pošti da spriječite preuzimanje računa.
  4. 04
    Edukacija
    Naučite zaposlenike u financijama prepoznati pritisak i hitnost kao znakove prijevare.
  5. 05
    Jasni postupci
    Definirajte i uvježbajte postupak za promjene podataka za plaćanje.

Kako Raptoric pomaže

Kroz simulirani socijalni inženjering mjerimo otpornost vaših timova na BEC i dajemo konkretne preporuke, u sklopu ofenzivne sigurnosti. Dogovorite uvodni razgovor.

Česta pitanja

Po čemu se BEC razlikuje od običnog phishinga?
Klasični phishing je masovan i oslanja se na poveznice ili privitke. BEC je ciljan, pažljivo pripremljen i često bez ijedne poveznice, pa ga tehničke obrane teško hvataju. Oslanja se na autoritet i hitnost.
Kako se obraniti od BEC-a ako nema poveznica ni virusa?
Proceduralno. Najbolja obrana je provjera svake promjene podataka za plaćanje drugim kanalom, dvostruko odobrenje uplata iznad praga i edukacija. Tehnika sama ne zaustavlja BEC.
Pomaže li višefaktorska autentifikacija?
Da, posebno protiv preuzimanja računa. MFA na e-pošti sprječava da napadač iskoristi ukradenu lozinku za slanje poruka s pravog računa, što je jedan od najopasnijih oblika BEC-a.
Što učiniti ako je uplata već izvršena?
Odmah kontaktirajte banku jer se sredstva ponekad mogu zaustaviti, prijavite incident i sačuvajte dokaze. Ako su pogođeni i osobni podaci, provjerite obvezu prijave AZOP-u.

Izvori

  1. 1ENISA. ENISA Threat Landscape. European Union Agency for Cybersecurity, 2024. Poveznica
  2. 2CISA. Avoiding Social Engineering and Phishing Attacks. Cybersecurity and Infrastructure Security Agency, 2021. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →