Oszustwa na „fabrykę” i „hurtownię”: jak cyberprzestępcy podszywają się pod dostawców

Przez
Filip Dudek
-
0
23
Rate this post

Nawigacja:

Na czym polegają oszustwa na „fabrykę” i „hurtownię”

Istota schematu: podszywanie się pod realnego partnera biznesowego

Oszustwa na „fabrykę” i „hurtownię” to specyficzna forma fraudu w łańcuchu dostaw, w której cyberprzestępcy podszywają się pod realnego dostawcę lub odbiorcę. Nie tworzą z powietrza fikcyjnej firmy, lecz żerują na zaufaniu do znanej marki, z którą ofiara naprawdę współpracuje albo chciałaby współpracować.

W uproszczeniu wygląda to tak: po jednej stronie jest rzeczywista fabryka lub duży odbiorca (np. sieć handlowa), po drugiej – realna hurtownia lub producent. Pośrodku wchodzi oszust, który próbuje:

  • przekierować przelew za prawdziwą fakturę na własne konto (atak na „fabrykę” – odbiorcę),
  • przekierować towar z prawdziwego zamówienia do „swojego” magazynu (atak na „hurtownię” – dostawcę),
  • wyłudzić przedpłatę na rzekomą dostawę, która nigdy nie nastąpi (fałszywy dostawca B2B).

Oszust nie musi włamywać się do systemów produkcyjnych czy logistycznych. Wystarczy mu dostęp do informacji, wzorów dokumentów i sposobu komunikacji, by stworzyć na tyle wiarygodną iluzję, że ofiara „dopowie sobie resztę” i sama zatwierdzi płatność czy wysyłkę.

Skąd wzięła się nazwa i dlaczego ten schemat działa

Określenia „oszustwo na fabrykę” i „oszustwo na hurtownię” pochodzą z praktyki policji i działów bezpieczeństwa w firmach. Odwołują się do dwóch kluczowych ról w łańcuchu dostaw: odbiorcy towaru (zwykle fabryka, zakład produkcyjny, sieć handlowa) oraz dostawcy (hurtownia, producent, importer). Z czasem te nazwy stały się wygodnymi „skrótami myślowymi” dla całej grupy oszustw B2B opartych na podszywaniu się pod dostawców lub dużych klientów.

Schemat działa z kilku powodów:

  • kwoty są wysokie, więc nawet jednorazowy sukces jest dla przestępców bardzo opłacalny,
  • procedury w firmach bywają skomplikowane, a odpowiedzialność rozmyta – łatwo „zgubić” moment weryfikacji,
  • pracownicy działów zakupów, logistyki czy księgowości działają często pod presją czasu i terminu dostaw,
  • marka znanego kontrahenta automatycznie obniża czujność („przecież to nasz stały dostawca” albo „to ta duża sieć, z którą wszyscy chcą współpracować”).

Nazwa jest wtórna. Kluczowe jest to, że w odróżnieniu od prostych scamów czy phishingu konsumenckiego, tu większość faktów w historii jest prawdziwa: istnieją realne firmy, istnieją prawdziwe zamówienia, bywa że nawet dokumenty są oryginalne – zmieniony jest tylko kierunek przepływu pieniędzy lub towaru.

Czym te oszustwa różnią się od typowego phishingu

Klasyczny phishing to szeroko rozsyłane, masowe wiadomości (np. rzekome e-maile od banku), liczące na to, że ktoś kliknie link czy poda dane logowania. Oszustwa na „fabrykę” i „hurtownię” mają inny charakter:

  • Nie są masowe – są precyzyjnie kierowane do konkretnych firm i konkretnych osób.
  • Wymagają przygotowania – przestępcy analizują relacje biznesowe, terminy dostaw, ofertę produktową, a nawet styl korespondencji.
  • Dotyczą realnych transakcji – najczęściej opierają się na istniejących zamówieniach i fakturach, zamiast wymyślać fikcyjne historie.
  • Łączą kanały komunikacji – e-mail, telefon, komunikatory, czasem nawet korespondencję papierową.

Różnica dotyczy też skali i skutków. Jedno skuteczne oszustwo na hurtownię może oznaczać utratę całego kontenera towaru, podczas gdy większość typowych kampanii phishingowych celuje w kilkaset złotych od osób prywatnych. Z tego powodu firmy B2B są bardzo atrakcyjnym celem, a sama forma ataku coraz częściej określana jest jako fraud w łańcuchu dostaw.

Atak na „fabrykę” vs atak na „hurtownię” – istotne różnice

W praktyce funkcjonują dwa główne warianty:

CechaOszustwo na „fabrykę” (odbiorca)Oszustwo na „hurtownię” (dostawca)
Główny celPrzekierowanie płatności za realną fakturęPrzejęcie towaru z realnego lub sfabrykowanego zamówienia
Ofiara bezpośredniaFabryka, zakład produkcyjny, sieć handlowa (płacący)Hurtownia, producent, dystrybutor (wysyłający towar)
Kluczowy momentAkceptacja nowego numeru konta lub zmian warunków płatnościZaakceptowanie nietypowego miejsca dostawy lub nowych danych „magazynu”
Forma stratUtrata środków finansowych, spór z dostawcąUtrata towaru, spór z rzekomym odbiorcą, ryzyko niewypłacalności

Oba schematy często przeplatają się z innymi formami przestępczości gospodarczej, np. z przejmowaniem korespondencji e-mail (BEC/EAC), wyłudzaniem danych dostępowych do systemów B2B, a nawet z podszywaniem się pod firmy kurierskie czy operatorów logistycznych.

Jak wygląda typowy scenariusz ataku krok po kroku

Faza rozpoznania: zbieranie danych o firmie i dostawcach

Atak niemal nigdy nie zaczyna się od „magicznego maila”. Najpierw jest zbieranie informacji. Cyberprzestępcy traktują otwarte źródła jak darmowe narzędzie wywiadowcze. Im lepiej poznają Twoją firmę, tym bardziej wiarygodnie potrafią udawać Twojego dostawcę lub klienta.

Źródła informacji, z których korzystają:

  • Strona WWW firmy – zakładki „o nas”, „partnerzy”, „dostawcy”, „sieć dystrybucji”, sekcje z referencjami i logotypami.
  • LinkedIn i inne portale społecznościowe – profile pracowników działów zakupów, logistyki, księgowości, sprzedaży B2B; opisy obowiązków, informacje o awansach i zmianach organizacyjnych.
  • KRS, CEIDG, rejestry branżowe – dane rejestrowe, adresy, numery NIP/REGON, nazwy spółek-córek i oddziałów.
  • Ogłoszenia o przetargach i zamówieniach publicznych – typy towarów, wolumeny, terminy, wymagania wobec dostawców.
  • Portale branżowe, newslettery, komunikaty prasowe – informacje o nowych kontraktach, inwestycjach, przejęciach.

Do tego dochodzi analiza korespondencji e-mail, jeśli uda się przejąć skrzynkę któregokolwiek z uczestników łańcucha dostaw. Wówczas przestępcy widzą:

  • szablony zamówień,
  • numery kont bankowych używane na fakturach,
  • nazwy konkretnych produktów i warunki rabatowe,
  • styl komunikacji między stronami (zwroty grzecznościowe, język polski/angielski/niemiecki itd.).

Nie zawsze potrzebne jest włamanie. Część danych można wyciągnąć nawet z pozornie niewinnych ogłoszeń o pracę („poszukujemy specjalisty ds. zakupów, współpraca z dostawcami X, Y, Z, system ERP taki a taki”). Tego typu informacje ułatwiają później stworzenie wiarygodnej narracji – oszust nie musi zgadywać, tylko powtarza realne szczegóły.

Faza kontaktu: e‑mail, telefon, komunikator

Po zebraniu danych przychodzi moment kontaktu. Rzadko jest to pojedyncza wiadomość. Częściej mamy do czynienia z ciągiem komunikatów, które stopniowo budują zaufanie.

Typowe formy kontaktu:

  • E-mail z adresu bardzo podobnego do adresu prawdziwego dostawcy („@firmna-dostawcy.com” zamiast „@firma-dostawcy.com”).
  • Telefon z numeru o podobnym prefiksie lub z wykorzystaniem usług VoIP pozwalających podmienić wyświetlany numer.
  • Komunikator (np. WhatsApp, Teams, Skype) podszywający się pod konkretnego handlowca lub opiekuna klienta.

W wielu przypadkach pierwszy kontakt jest bardzo niewinny: pytanie o aktualne zamówienie, prośba o podesłanie specyfikacji, prośba o potwierdzenie odbioru faktury. Chodzi o to, by:

  • sprawdzić, czy adres e-mail jest „aktywny”,
  • przypisać konkretne imię i nazwisko do konkretnej roli,
  • wyczuć, jakie są procedury autoryzacji (kto podejmuje decyzję, jakie dokumenty są wymagane).

Dopiero po takim „przygotowaniu gruntu” pojawia się właściwa prośba: o zmianę numeru konta, o pilną dostawę pod nowy adres magazynu, o zaliczkę na wyjątkowe warunki handlowe. Dobrze przeprowadzona faza kontaktu jest na tyle naturalna, że ofierze często trudno wskazać konkretny moment, w którym alarm powinien się włączyć.

Faza wyłudzenia: płatność, przekierowanie towaru, „pilna” zmiana danych

Kluczowa faza ataku zwykle łączy trzy elementy: pilność, pozorną formalność i pozór kontynuacji wcześniejszej relacji. Przestępcy świadomie unikają zbyt „rewolucyjnych” zmian – podmieniają tylko ten fragment procesu, z którego będą mieli korzyść.

Najczęstsze scenariusze w fazie wyłudzenia:

  • Scam na zmianę numeru konta – informacja, że dostawca zmienił rachunek bankowy (nowy bank, zamknięcie starego konta, centralizacja płatności w grupie kapitałowej).
  • Prośba o przedpłatę – atrakcyjna oferta z dużym rabatem, ale warunkiem jest zaliczka na „rezerwację produkcji” lub „blokadę towaru w magazynie”.
  • Zmiana miejsca dostawy – rzekoma reorganizacja łańcucha logistycznego, nowy magazyn centralny, nowy partner 3PL, tymczasowa relokacja.
  • Zmiana warunków płatności – np. przejście z terminu 60 dni na przedpłatę przy pierwszych kilku dostawach z „nowego oddziału”.

Element presji jest tu kluczowy: zniżka „tylko dziś”, groźba zatrzymania produkcji, rzekomy nacisk dyrektora, powołanie się na audyt, który wymusza szybkie zmiany. Oszust liczy, że pracownik w działach zakupów czy księgowości wybierze „rozwiązanie problemu” kosztem rzetelnej weryfikacji.

Mężczyzna w czarnej bluzie z kapturem przy smartfonie na tle ekranów
Źródło: Pexels | Autor: Mikhail Nilov

Techniki podszywania się pod dostawców – od prostych do zaawansowanych

Podrabiane domeny i adresy e‑mail

Najbardziej klasyczna technika to podszywanie się pod adres e-mail dostawcy. Przestępca rejestruje domenę bardzo podobną do oryginalnej i zakłada w niej skrzynkę o tej samej nazwie użytkownika, co w firmie realnego kontrahenta.

Typowe zabiegi:

  • zamiana jednej litery w domenie („rn” zamiast „m”, „l” zamiast „I”),
  • dodanie lub usunięcie znaku („-logistics.com” vs „logistics.com”),
  • użycie innego końcowego rozszerzenia (.com vs .co vs .net),
  • stosowanie homoglifów – znaków z innych alfabetów wyglądających jak łacińskie litery.

Przykład:

Prawdziwy adres: jan.kowalski@hurtownia-metali.pl
Fałszywy: jan.kowalski@hurtownia-metaIi.pl (zastosowano wielkie „I” zamiast „l”).

Na ekranie, szczególnie przy małej czcionce i w pośpiechu, różnica jest niemal niewidoczna. Do tego dochodzi przeklejony podpis mailowy z prawdziwego maila (logo, adres, numery telefonów), aby całość wyglądała maksymalnie wiarygodnie.

Fałszywe strony WWW i panele B2B

Kolejny poziom to podrobione strony WWW i panele logowania. Przestępcy tworzą „mirror” strony znanego dostawcy lub odbiorcy, często kopiując:

  • wygląd strony głównej,

    • Podszyte dokumenty: faktury, zamówienia, specyfikacje

    Samo nazwisko w stopce maila nie wystarczy. Aby przełamać nieufność działu księgowości lub zakupów, przestępcy coraz częściej podkładają podrobione dokumenty – możliwie jak najbardziej zbliżone do tych, które firma widzi na co dzień.

    Najczęściej fałszowane są:

  • faktury – z prawdziwymi numerami zamówień, ale z innym numerem konta bankowego,
  • potwierdzenia zamówień – z nadanym (fikcyjnym) numerem zlecenia produkcyjnego,
  • specyfikacje towaru – skopiowane z wcześniejszej korespondencji lub z katalogu dostawcy.

Jeżeli wcześniej doszło do przejęcia skrzynki mailowej, takie dokumenty bywają zmodyfikowanymi kopiami realnych plików PDF. Zmieniony jest tylko numer konta czy adres magazynu, reszta się zgadza. Księgowy, który porównuje dane z systemem ERP, widzi wszystko „jak trzeba” – poza jedną kluczową rubryką.

Zdarza się, że przestępca prosi o „ponowne przesłanie zeszłomiesięcznej faktury”, rzekomo z powodu błędu w księgowaniu, a następnie odsyła jej „skorygowaną” wersję. Wizualnie to ten sam dokument, ale pieniądze popłyną już gdzie indziej.

Wykorzystywanie realnych wątków e‑mail (BEC/EAC)

Bardziej zaawansowana odmiana polega na tym, że oszust nie tworzy nowej korespondencji, lecz dołącza się do już istniejącej. W praktyce wygląda to tak, że:

  • przejmuje skrzynkę handlowca po stronie dostawcy lub kupującego,
  • odpisuje w istniejącym wątku z prawdziwą historią zamówienia,
  • w którymś momencie „dorzuca” informację o zmianie konta lub magazynu.

Adres nadawcy jest prawdziwy, temat i historia wiadomości – również. Jedynym „niepasującym” elementem jest nowa treść w środku rozmowy, często wpleciona między cytowane odpowiedzi. Odbiorca ma naturalną skłonność, by ufać temu, co pochodzi z dobrze znanego wątku, który był używany od miesięcy.

Dla postronnego audytora całość wygląda przekonująco: nagłówki maila są prawdziwe, domena poprawna, SPF i DKIM się zgadzają. Jedynym sygnałem ostrzegawczym pozostają nielogiczne prośby, nietypowe terminy czy zmiany danych wrażliwych bez formalnej podstawy.

Podszywanie się głosowe i przez komunikatory

E‑mail to nie jedyny kanał. Szczególnie przy wyższych kwotach, oszuści próbują „domknąć” sprawę telefonicznie, aby uwiarygodnić nietypowe prośby.

Stosują m.in.:

  • połączenia z podszytym numerem (tzw. spoofing) – na ekranie odbiorcy pojawia się numer infolinii lub opiekuna handlowego z książki adresowej,
  • nagrania głosu – krótkie wiadomości głosowe lub nagrania pozostawione na poczcie,
  • komunikatory firmowe – próby dodania do Teams/Slack/WhatsApp jako „nowy numer służbowy” przedstawiciela dostawcy.

W części przypadków pojawiają się próby wykorzystania syntezy mowy na podstawie publicznych nagrań (webinary, targi, wywiady). To wciąż raczej wyjątek niż standard, ale trend jest rosnący. Bardziej powszechne są po prostu dobrze wyuczone skrypty rozmów i znajomość fachowego słownictwa z danej branży, które budują złudzenie kompetencji.

Manipulacja kontekstem biznesowym

Najskuteczniejsze oszustwa nie polegają na „supertechnologii”, tylko na sprytnym dopasowaniu się do bieżącego kontekstu firmy. Przestępcy chętnie wykorzystują:

  • okresy zamknięcia miesiąca/kwartału, kiedy księgowość jest pod presją czasu,
  • sezonowość – szczytowy okres sprzedaży, duże kampanie marketingowe, wyprzedaże,
  • zmiany organizacyjne – fuzje, przejęcia, restrukturyzacje ogłaszane publicznie.

Przykładowo w czasie wdrożenia nowego systemu ERP łatwiej „przemycić” komunikat o zmianie numeru konta, bo i tak „wszystko się zmienia”. W okresie przejęcia spółki córki naturalnie pojawiają się nowe nazwy jednostek, co ułatwia podszycie się pod „nowy oddział” lub „magazyn centralny grupy”.

Dla osoby z zewnątrz niektóre wiadomości brzmiałyby podejrzanie. Dla pracownika, który od kilku tygodni żyje reorganizacją, brzmią wiarygodnie, bo wpisują się w ogólny chaos zmian.

Oszustwa na „fabrykę” – atak na odbiorcę towaru

Cel: przejęcie płatności przy realnej dostawie

Sedno oszustwa na „fabrykę” polega na tym, że towar faktycznie jedzie tam, gdzie trzeba, często zgodnie z ustaleniami z wielomiesięcznej współpracy. Modyfikowany jest wyłącznie przepływ pieniędzy.

Typowy schemat:

  1. Fabryka składa realne zamówienie u stałego dostawcy (np. komponenty do produkcji).
  2. Dostawca realizuje zamówienie zgodnie z procedurą, wystawia fakturę i wysyła ją z oryginalnej skrzynki.
  3. Na którymś etapie przestępca:
    • przechwytuje fakturę i podmienia numer konta, lub
    • wysyła „aktualizację danych” z podszytej domeny, powołując się na tę samą fakturę.
  4. Fabryka płaci zgodnie z tą nową informacją.
  5. Dostawca po upływie terminu płatności zgłasza brak przelewu – obie strony są przekonane, że „przecież płacili/wysłali”.

Towar trafił prawidłowo, ale pieniądze zniknęły. Dalszy spór sprowadza się do tego, kto powinien ponieść stratę i czy procedury po stronie płacącego były należyte.

Wariant: fałszywy rabat lub zmiana warunków płatności

Częstym uzupełnieniem schematu jest atrakcyjna propozycja:

  • „Jeśli opłacą Państwo tę fakturę przed terminem na nowy numer konta, przyznamy dodatkowy rabat 2%”.
  • „Z powodu nowej polityki grupy pierwsze dwie dostawy z magazynu centralnego muszą być opłacone na inny rachunek”.

Większość firm lubi oszczędności, więc dział księgowości chętnie sięga po wcześniejszą płatność za drobną korzyść. Problem w tym, że atrakcyjny rabat bywa w takich scenariuszach jedynie przynętą maskującą zmianę kluczowego parametru – rachunku bankowego.

Wariant: „pilna zmiana konta” przed dużą płatnością

Bardzo często próba oszustwa pojawia się tuż przed największymi płatnościami – np. za dostawy kończące duży kontrakt lub przedpłaty za nową linię produkcyjną. Przestępca dobrze wie, kiedy nadchodzi „gruba” faktura, bo wcześniej śledził harmonogramy dostaw i wartości zamówień.

Mechanizm jest prosty:

  • krótkie okno czasowe („zmiana konta obowiązuje od dziś, poprzednie będzie zamknięte”),
  • odwołanie do domniemanej decyzji zarządu dostawcy,
  • nacisk na „nieprzerywanie współpracy” lub „niewstrzymywanie produkcji”.

Pracownik po stronie fabryki nierzadko stoi przed wyborem: albo dopytuje i ryzykuje opóźnienie płatności, albo „dla świętego spokoju” realizuje przelew na wskazane konto. W środowisku, w którym opóźniona płatność grozi zatrzymaniem dostaw, skłonność do „pójścia na skróty” staje się niebezpiecznie wysoka.

Wykorzystanie wewnętrznych słabości po stronie odbiorcy

Oszustwa na „fabrykę” bardzo często opierają się na tym, że po stronie odbiorcy:

  • procedura weryfikacji numeru konta jest jednorazowa – sprawdzono ją na początku współpracy i nigdy później,
  • zmiany danych dostawcy są akceptowane „z maila”, bez oddzielnej ścieżki i bez potwierdzenia innym kanałem,
  • brak jest listy „krytycznych zmian”, które zawsze wymagają dodatkowej autoryzacji (konto, termin płatności, beneficjent).

Jeżeli księgowy ma dostęp do edycji danych kontrahenta w systemie finansowym i jednocześnie to on przyjmuje maile od dostawców, cały proces kontroli może sprowadzać się do jednej osoby. To wygodne organizacyjnie, ale bardzo kuszące dla przestępców.

Przykładowy incydent: „nowy bank grupy”

W jednej z polskich firm produkcyjnych, która korzystała z usług zagranicznego dostawcy komponentów, pojawił się mail informujący o:

  • zmianie banku w związku z „integracją finansową grupy”,
  • nowym numerze IBAN w tym samym kraju,
  • oczekiwaniu, że „wszystkie otwarte faktury” zostaną opłacone na nowe konto.

Adres wyglądał wiarygodnie, stopka maila była skopiowana z wcześniejszej korespondencji, a treść pasowała do publicznie ogłoszonej fuzji spółek w grupie kapitałowej. Płatność za kilka faktur (łączna wartość znacząca dla budżetu) trafiła na konto w banku, z którym grupa nigdy nie współpracowała. Sprawa wyszła na jaw dopiero po kilku tygodniach, gdy dostawca zaczął naliczać odsetki za rzekome opóźnienia.

Młoda kobieta w kajdankach z gotówką na tle cyfrowych śladów cyberprzestępstwa
Źródło: Pexels | Autor: Tima Miroshnichenko

Oszustwa na „hurtownię” – atak na dostawcę towaru

Cel: wyprowadzenie towaru z realnego łańcucha dostaw

W case’ach „na hurtownię” główną ofiarą nie jest płacący, lecz podmiot wysyłający towar. Z punktu widzenia ksiąg wszystko wygląda poprawnie: jest zamówienie, WZ, list przewozowy, często też potwierdzenie dostawy. Problem w tym, że towar trafia do magazynu kontrolowanego przez przestępców, a nie do faktycznego klienta.

Schemat bywa bardziej wielowątkowy niż w „oszustwie na fabrykę”, bo trzeba spiąć kilka elementów: hurtownię, rzekomego dużego odbiorcę (np. sieć sklepów) oraz firmę logistyczną lub spedycję.

Podszywanie się pod dużego odbiorcę (sieć handlowa, fabryka)

Najbardziej dochodowe są scenariusze, w których oszuści udają znaną, wiarygodną markę – sieć marketów, koncern produkcyjny, operatora logistycznego. Renoma rzekomego klienta działa tu jak tarcza: hurtownia jest skłonna kilka rzeczy uprościć, licząc na długoterminowy kontrakt.

Typowy punkt wyjścia:

  • E‑mail lub telefon z „działu zakupów” znanej sieci,
  • prośba o ofertę na określony wolumen (zazwyczaj atrakcyjnie duży),
  • propozycja szybkiego włączenia do listy dostawców, często z pominięciem typowego okresu testowego.

Przestępca używa logotypów, prawdziwych adresów oddziałów, a czasem nawet realnych nazwisk osób decyzyjnych, które można znaleźć w KRS lub na LinkedIn. Prawdziwa firma nic o tym nie wie – jej „reputacja” pracuje na korzyść atakującego.

Wariant: fikcyjny magazyn centralny lub „nowy hub” logistyczny

Kluczowy element to adres dostawy. Zamiast standardowych punktów odbioru, w korespondencji pojawia się:

  • „nowo uruchomiony magazyn centralny”,
  • „hub cross-dockingowy obsługiwany przez partnera logistycznego X”,
  • „tymczasowy magazyn sezonowy”.

Adres formalnie istnieje (wynajęta hala, magazyn self-storage, czasem po prostu plac składowy). W dokumentach transportowych wygląda to jak normalny punkt przeładunkowy. Hurtownia, przyzwyczajona do tego, że duże sieci mają skomplikowaną logistykę, rzadko zadaje dodatkowe pytania.

Po dostawie:

  • towar jest szybko przeładowywany i znika w łańcuchu dalszej odsprzedaży (często szarej strefy),
  • oszuści znikają, numery telefonów milkną, domeny mailowe przestają działać.

Z formalnego punktu widzenia hurtownia dysponuje listami przewozowymi, potwierdzeniem wydania z magazynu i często podpisem osoby przyjmującej towar. Spór zaczyna się dopiero, gdy prawdziwy podmiot, pod którego się podszyto, oświadcza, że nigdy niczego nie zamawiał.

Wariant: podrabiane panele B2B i konta w systemie zamówieniowym

Fałszywe portale zamówieniowe i „legalne” loginy

Coraz częściej przestępcy nie ograniczają się do maili i telefonów. Tworzą klony paneli B2B znanych sieci handlowych lub producentów, aby uwiarygodnić rzekomą współpracę. Hurtownia dostaje dostęp do „systemu zamówień klienta”, który w rzeczywistości działa tylko po to, by:

  • zbierać szczegóły oferty (ceny, rabaty, warunki dostaw),
  • generować dokumenty wyglądające jak oryginalne zamówienia,
  • prowadzić korespondencję wewnątrz fałszywej platformy (czat, „ticket”), co odcina naturalną drogę do weryfikacji na zewnątrz.

Adresy takich paneli często różnią się jednym znakiem od oryginału, a logotypy i układ ekranu są skopiowane piksel w piksel. Dla pracownika przyzwyczajonego do wielu systemów (EDI, B2B, platformy marketplace) to po prostu „kolejny portal klienta”.

Niektóre grupy przestępcze idą krok dalej – kompromitują prawdziwe konta w autentycznym systemie B2B (np. kradną loginy małej spółki już zarejestrowanej jako dostawca) i z ich pomocą prowadzą dialog z hurtownią. Dla działu sprzedaży wszystko wygląda wtedy całkowicie legalnie, bo zamówienie faktycznie wisi w „systemie klienta”. Tyle że odbiorca, którego dane widnieją w systemie, wcale nie jest stroną tej transakcji.

Wyciąganie ustępstw: długie terminy płatności i podmienione warunki

Oszustwo na „hurtownię” zwykle zaczyna się zachętą, która z perspektywy hurtownika brzmi jak szansa na rozwój:

  • „Jeżeli wejdą Państwo z nami w projekt, możemy dać dłuższy termin płatności niż standardowo, ale potrzebujemy większego stanu magazynowego na start”.
  • „Jako nowy dostawca dostają Państwo priorytet, ale wymagamy wysyłki na wskazany magazyn centralny bez przedpłat”.

To nie są czysto fikcyjne sytuacje – duże sieci rzeczywiście potrafią negocjować ostre warunki, a jednocześnie zlecać dostawy do zewnętrznych hubów. I tu pojawia się problem: granica między agresywnym, ale uczciwym negocjowaniem a oszustwem bywa dla handlowca mało czytelna.

Przestępcy chętnie wykorzystują ten szary obszar. W umowie lub mailach akceptacyjnych:

  • przemycają inne dane odbiorcy niż w oficjalnych rejestrach grupy,
  • zrzekają się typowych zabezpieczeń (np. limitu kredytowego, ubezpieczenia należności) „w zamian za wolumen”,
  • forsują zapis, że „wszelkie reklamacje dot. miejsca dostawy są wyłączone”, co ma potem zablokować roszczenia.

Jeżeli dział handlowy goni za targetem, a dział ryzyka kredytowego lub compliance jest marginalizowany, taka „atrakcyjna” współpraca potrafi przejść przez wewnętrzne sito bez głębszych pytań.

Manipulacje przy dokumentach logistycznych i potwierdzeniach odbioru

W przeciwieństwie do prostych kradzieży ładunków, scenariusze „na hurtownię” opierają się na tym, że dokumenty wyglądają w porządku. Na papierze wszystko się zgadza:

  • jest podpis na WZ lub liście przewozowym,
  • adres dostawy był zatwierdzony w zamówieniu,
  • przewoźnik potwierdził doręczenie.

Zazwyczaj problemem nie jest więc brak papierów, lecz ich fałszywa treść. Oszuści:

  • zakładają skrzynki mailowe podszywające się pod operatorów logistycznych i sami „potwierdzają” dostawy,
  • organizują podstawione osoby do odbioru towaru, które podpisują dokumenty w imieniu rzekomego klienta,
  • przekierowują kierowców na inny adres pod pretekstem zmian operacyjnych („remont rampy, proszę jechać na boczną bramę”).

W części przypadków przewoźnik realnie nie ma świadomości, że uczestniczy w oszustwie – widzi zamówienie, załadunek, adres, a potem słyszy przez telefon „standardową” dyspozycję zmiany miejsca rozładunku. Dopiero gdy roszczenia hurtowni trafiają do ubezpieczyciela lub policji, wychodzi na jaw, jak słabo udokumentowane były te korekty.

Przykładowy incydent: „partner logistyczny sieci”

Średniej wielkości hurtownia otrzymała zapytanie ofertowe z rzekomego działu zakupów znanej sieci handlowej. Po wymianie kilku maili ustalono stałe dostawy do „magazynu centralnego obsługiwanego przez partnera logistycznego”, z atrakcyjnym wolumenem i akceptowalnymi terminami płatności.

W praktyce każdy transport był kierowany do magazynu wynajętego krótkoterminowo przez spółkę-słupa. Na dokumentach przewozowych widniała nazwa operatora logistycznego podobna do prawdziwego partnera sieci. Po kilku miesiącach i kilkunastu dostawach „klient” przestał odpowiadać na maile, numery telefonów zostały wyłączone, a spółka-słup zniknęła z rejestru płatników VAT. Prawdziwa sieć handlowa w ogóle nie widniała w dokumentach jako strona umowy – pojawiała się tylko w logo i stopkach maili.

Wewnętrzne słabości po stronie dostawcy wykorzystywane w tych scenariuszach

Schematy „na hurtownię” udają się głównie tam, gdzie:

  • decyzje kredytowe podejmowane są „na telefon z klientem”, bez sztywnej procedury,
  • nowe adresy dostaw są akceptowane przez handlowca bez sprawdzenia w niezależnym źródle (umowa, system klienta, oficjalna strona),
  • brakuje rozróżnienia między prawnym klientem (kto płaci faktury) a technicznym odbiorcą (gdzie jedzie towar),
  • przy zmianach w łańcuchu dostaw (nowy magazyn, nowy przewoźnik) nikt nie wymaga dodatkowej autoryzacji po stronie klienta.

Dodatkową słabością bywa koncentracja uprawnień: ten sam handlowiec:

  • negocjuje warunki,
  • wprowadza dane klienta do systemu,
  • zatwierdza limit kredytowy i adres dostawy.

Taki model jest szybki operacyjnie, ale z perspektywy bezpieczeństwa sprzyja zarówno błędom, jak i celowym nadużyciom – także tym wewnętrznym. W razie incydentu trudno rozdzielić, czy mieliśmy do czynienia z zaawansowanym oszustwem, czy raczej brakiem elementarnej kontroli.

Jak rozróżnić realnego dużego klienta od „klienta-widma”

Nie istnieje jedna magiczna metoda, ale kilka wskaźników alarmowych pojawia się w większości analizowanych spraw. Gdy zbiera się ich kilka naraz, sensowne staje się „zaciągnięcie hamulca”:

  • kontakt wychodzi od nieznanej osoby, a adres e‑mail nie jest spójny z oficjalną domeną firmy (drobna literówka, inny kraj w TLD, niestandardowy subdomen),
  • propozycja współpracy jest nieproporcjonalnie duża jak na pierwsze zamówienie,
  • proces onboardingowy jest zbyt prosty jak na rozmiar i renomę rzekomego klienta (brak formularzy, brak odniesienia do standardowych procedur, brak NDA),
  • kontrahent naciska, żeby wszystko załatwiać poza oficjalnymi kanałami (prywatne numery, komunikatory, alternatywne adresy),
  • w dokumentach raz pojawia się pełna nazwa spółki, a innym razem wariant skrócony lub z inną formą prawną,
  • adres magazynu nie pojawia się w oficjalnych materiałach firmy, a pracownik klienta unika podania kontaktu do osoby po stronie logistyki lub księgowości.

Sama obecność jednego z takich elementów nie przesądza jeszcze o oszustwie. Duże organizacje bywają chaotyczne i niespójne. Problem zaczyna się, gdy zamiast normalnego bałaganu w korporacji widzimy konsekwentną niechęć do weryfikacji po drugiej stronie.

Oszustwa hybrydowe: jednoczesny atak na płatność i towar

W bardziej zaawansowanych kampaniach oba modele – „na fabrykę” i „na hurtownię” – są łączone. Przestępcy potrafią jednocześnie:

  • przekierować towar do kontrolowanego magazynu,
  • przekierować pieniądze z płatności na własne konto.

Technicznie wymaga to zwykle wcześniejszego długotrwałego dostępu do skrzynek mailowych lub systemów kilku podmiotów naraz. Atakujący:

  1. poznaje relacje w łańcuchu dostaw: kto z kim się rozlicza, kto wystawia faktury, kto potwierdza dostawy,
  2. namierza momenty „dużej wartości” – sezonowe dostawy, zamówienia przedświąteczne, zatowarowanie nowych sklepów,
  3. w odpowiednim momencie podmienia adres dostawy u dostawcy oraz numer konta na fakturach u odbiorcy.

Efekt bywa podwójnie bolesny. Z punktu widzenia:

  • fabryki/odbiorcy – zapłacili fakturę, ale towar nie dotarł,
  • hurtowni/dostawcy – wysłali towar, ale płatność nie przyszła.

Przez pierwsze tygodnie każda ze stron jest przekonana, że problem leży „po drugiej stronie”, a nie w samym łańcuchu komunikacji. Dopiero analiza techniczna korespondencji, logów systemów B2B i historii dyspozycji bankowych pokazuje, że nie był to pojedynczy błąd, lecz spójna operacja na całym łańcuchu dostaw.

Dlaczego te oszustwa tak trudno „odkręcić” prawnie

Po ujawnieniu incydentu firmy często zakładają, że wystarczy zgłoszenie na policję i „sprawa się wyjaśni”. Rzeczywistość bywa mniej komfortowa. Spory sądowe dotyczące oszustw na „fabrykę” i „hurtownię” ciągną się miesiącami lub latami, ponieważ:

  • formalnie istnieją dokumenty potwierdzające zarówno zamówienie, jak i dostawę,
  • banki wykonały przelewy zgodnie z dyspozycją klienta (co utrudnia dochodzenie roszczeń wobec nich),
  • firma, pod którą się podszyto, nie widnieje na większości dokumentów jako strona umowy,
  • granica między „rażącym niedbalstwem” a „działaniem w dobrej wierze” po stronie działów księgowych i handlowych bywa sporna.

W wielu przypadkach kończy się na tym, że:

  • poszkodowane podmioty dzielą się stratą w drodze ugody,
  • część należności pozostaje nieściągalna, bo rachunki „banków-pośredników” są już puste,
  • ubezpieczyciele wypłacają odszkodowanie tylko częściowo, wskazując na zaniedbania proceduralne.

To właśnie perspektywa realnych strat – a nie sam fakt istnienia oszustw – powinna pchać firmy do systemowego utrudniania życia przestępcom. Zwykłe założenie, że „u nas się nie da, bo mamy zaufanych partnerów”, jest w praktyce jednym z najczęściej wykorzystywanych złudzeń.

Opracowano na podstawie

  • Internet Organised Crime Threat Assessment (IOCTA). Europol (2023) – Analiza trendów cyberprzestępczości, w tym BEC i fraudów w łańcuchu dostaw
  • Cyber-enabled fraud in supply chains. National Cyber Security Centre (UK) – Opis fraudów B2B, podszywania się pod dostawców i klientów
  • Business Email Compromise: The $26 Billion Scam. Federal Bureau of Investigation (2019) – Charakterystyka BEC, przejmowanie korespondencji i przekierowanie płatności
  • Guide to Cybersecurity for Small and Medium-Sized Enterprises. European Union Agency for Cybersecurity (ENISA) (2021) – Zalecenia dot. ochrony przed oszustwami płatniczymi i podszywaniem się
  • Fraud and scams in supply chains. National Crime Agency (UK) – Opis fraudów w łańcuchu dostaw, ryzyka dla producentów i dystrybutorów
  • Oszustwa gospodarcze z wykorzystaniem sieci Internet. Komenda Główna Policji – Przegląd typowych oszustw B2B i metod podszywania się pod kontrahentów
  • Cyberbezpieczeństwo w sektorze MŚP – poradnik dla przedsiębiorców. Urząd Ochrony Konkurencji i Konsumentów – Rekomendacje dot. weryfikacji kontrahentów i bezpieczeństwa płatności
  • Zagrożenia w cyberprzestrzeni dla przedsiębiorców. NASK Państwowy Instytut Badawczy – Opis ataków na firmy, w tym BEC, phishing ukierunkowany i fraudy finansowe

Powiązane artykuły: