Preskoči na sadržaj
Vi-Di.me
SIGURNOST10 min čitanja

BEC prijevara i lažni računi: kako napadači mijenjaju IBAN bez hakiranja Vaše tvrtke

Lažni račun, promjena IBAN-a i poruka direktora često ne traže malware. Dovoljan je uvjerljiv email, slab proces plaćanja i domena bez jasne autentikacije.

11. lipnja 2026.|Vi-Di.me Security Division|Ažurirano: 11. lipnja 2026.

TL;DR / KRATKO

BEC nije samo phishing. Napadač se predstavlja kao direktor, dobavljač, računovodstvo ili partner i pokušava izvući uplatu ili podatke. Zaštita traži kombinaciju DMARC/SPF/DKIM, inbound filtriranja, M365/Google hardeninga, procedure potvrde IBAN-a, phishing edukacije i incident playbooka.

SADRŽAJ

  1. 01Kako izgleda BEC napad u stvarnoj tvrtki
  2. 02Četiri varijante koje najčešće vidimo
  3. 03Kontrole koje stvarno smanjuju rizik
  4. 04Kako Vi-Di.me postavlja BEC zaštitu
01

Kako izgleda BEC napad u stvarnoj tvrtki

Napadač ne mora razbiti firewall. Dovoljno je poslati poruku koja izgleda kao da dolazi od direktora, dobavljača, računovodstva ili dugogodišnjeg partnera.

Tipičan scenarij: računovodstvo dobije email s porukom da je dobavljač promijenio IBAN. Poruka ima logo, potpis, PDF račun i ton komunikacije koji izgleda uvjerljivo. Ako nema procedure provjere, novac odlazi prije nego itko shvati da je problem.

FBI BEC opisuje kao jednu od financijski najštetnijih online prijevara. FBI IC3 izvještaj za 2025. navodi više od 3,046 milijardi USD prijavljenih prilagođenih BEC gubitaka u SAD-u. To nije hrvatska statistika, ali je ozbiljan signal što ovakav napad radi poslovanju.

02

Četiri varijante koje najčešće vidimo

  • CEO fraud - poruka navodno dolazi od direktora i traži hitnu uplatu, kupnju bonova ili slanje podataka.
  • Lažni dobavljač - napadač glumi partnera i šalje novi IBAN ili izmijenjeni račun.
  • Kompromitirani mailbox - napadač stvarno ulazi u račun i nastavlja postojeću konverzaciju.
  • Lookalike domena - domena izgleda gotovo isto kao prava, npr. zamijenjeno slovo ili druga ekstenzija.

Svaka varijanta traži malo drugačije kontrole. Zato “instalirali smo antivirus” nije odgovor na BEC.

03

Kontrole koje stvarno smanjuju rizik

Za BEC treba spojiti tehniku i proces:

  • DMARC, SPF i DKIM - smanjuju rizik da napadač šalje email kao Vaša domena.
  • Inbound email sigurnost - filtriranje impersonation pokušaja, opasnih linkova, privitaka i sličnih domena.
  • MFA/passkeys i session kontrola - smanjuju rizik kompromitacije računa.
  • Procedura potvrde IBAN-a - promjena računa se ne prihvaća samo emailom; potvrđuje se drugim kanalom.
  • Edukacije i simulacije - financije, uprava i prodaja moraju vježbati realne scenarije.
  • Incident playbook - tko se zove, što se zaključava, koje dokaze čuvamo i kada uključujemo banku/pravni tim.
04

Kako Vi-Di.me postavlja BEC zaštitu

  1. Radimo audit domene i email sustava: SPF, DKIM, DMARC, MX, treći pošiljatelji i reputacija.
  2. Provjeravamo Microsoft 365 ili Google Workspace: MFA, forwarding, admin računi, mailbox pravila i logovi.
  3. Uvodimo inbound zaštitu, ATP i impersonation politike kroz odgovarajući alatni sloj.
  4. Definiramo proceduru plaćanja i promjene IBAN-a s upravom i računovodstvom.
  5. Pokrećemo phishing/BEC edukaciju i mjesečni izvještaj.

Zatražite BEC i email sigurnosni audit →

FAQ

Je li BEC isto što i hakiranje emaila?

Ne uvijek. BEC može uključivati kompromitirani mailbox, ali može biti i čisto lažno predstavljanje: napadač koristi sličnu domenu, spoofing ili uvjerljivu poruku bez pristupa Vašem sustavu.

Može li DMARC sam zaustaviti lažne račune?

Ne sam. DMARC smanjuje direct-domain spoofing, ali ne rješava lookalike domene, kompromitirane račune, pogrešan proces odobravanja plaćanja ili korisnika koji ne provjeri promjenu IBAN-a.

Koji je najbrži prvi korak?

Prvi korak je provjera domene, email tokova i procesa plaćanja: SPF, DKIM, DMARC, inbound zaštita, forwarding pravila, MFA i pravilo da se promjena IBAN-a potvrđuje drugim kanalom.

IZVORI I PROVJERE

Business Email CompromiseFBI2025 Internet Crime ReportFBI IC3What is Business Email Compromise?Microsoft SecuritySet up DMARC to validate email in Microsoft 365Microsoft Learn
BEClažni računiemail spoofingphishingIBAN prijevaraemail sigurnostkibernetička sigurnost
BESPLATNO

Trebate konkretnu pomoć?

Besplatna analiza Vašeg biznisa — pogledamo web, SEO poziciju i konkurenciju. Dobijete izvještaj s konkretnim preporukama. 48 sati, bez obveze.

Besplatna analizaWhatsApp

POVEZANI ČLANCI

SIGURNOST

DORA, NIS2 i Zakon o kibernetičkoj sigurnosti: što financijske tvrtke i ICT dobavljači moraju znati

DORA nije isto što i ZKS/NIS2 i ne vrijedi automatski za svaku tvrtku. Objašnjavamo što DORA znači za financijski sektor, ICT dobavljače i tehničku pripremu kontrola u Hrvatskoj.

Čitaj više
SIGURNOST

Email sigurnost za tvrtke: Zašto Vam netko može slati lažne mailove u Vaše ime

Znate li da napadač može pokušati poslati email koji izgleda kao da dolazi s Vaše domene? Bez DMARC zaštite, rizik lažnih mailova s Vašim imenom je veći. Evo kako ga smanjiti.

Čitaj više
SIGURNOST

Phishing edukacija zaposlenika: kako pretvoriti tim iz rizika u prvu liniju obrane

Phishing edukacija nije jednokratno predavanje. Ozbiljan program kombinira realne simulacije, kratke treninge, mjerenje ponašanja, procedure prijave i izvještaje za upravu.

Čitaj više
SIGURNOST

DMARC, SPF, DKIM i BIMI: Kompletni vodič za zaštitu domene — Vi-Di.me x PowerDMARC

Vaš email može biti falsificiran bez pristupa Vašem sustavu. DMARC, SPF i DKIM smanjuju taj rizik, a PowerDMARC daje monitoring, izvještaje, hosted SPF/DKIM/MTA-STS/BIMI i upravljanje pošiljateljima.

Čitaj više
Natrag na blog