Bezpieczeństwo ITIT dla firmOutsourcing ITZabezpieczenie przed malware
Phishing to jedno z najczęstszych zagrożeń dla firm
Phishing to metoda oszustwa, w której cyberprzestępca podszywa się pod znaną osobę, firmę, bank, dostawcę usług, urząd, kuriera albo kontrahenta, aby wyłudzić dane, hasła, pieniądze lub dostęp do systemów. Atak najczęściej zaczyna się od wiadomości e-mail, SMS, komunikatu w komunikatorze albo fałszywej strony logowania.
W firmach phishing jest szczególnie groźny, ponieważ jedna wiadomość może doprowadzić do przejęcia poczty, kradzieży danych klientów, zmiany numeru rachunku bankowego, fałszywej płatności, zaszyfrowania plików albo uzyskania dostępu do systemów księgowych, ERP, KSeF lub paneli administracyjnych.
Największy problem polega na tym, że phishing nie zawsze wygląda podejrzanie. Fałszywa wiadomość może przypominać prawdziwą korespondencję od kontrahenta, banku, firmy kurierskiej, operatora płatności, dostawcy programu lub instytucji publicznej. Dlatego firma powinna traktować phishing nie tylko jako problem techniczny, ale jako realne ryzyko biznesowe.
Najważniejsze zasady ochrony przed phishingiem
Aby ograniczyć ryzyko phishingu w firmie, należy zabezpieczyć pocztę MFA, szkolić pracowników, nie klikać podejrzanych linków, potwierdzać zmiany rachunku bankowego innym kanałem, regularnie wykonywać backup i zgłaszać każdą podejrzaną wiadomość osobie odpowiedzialnej za IT.
W praktyce najważniejsze są proste zasady:
- Nie wpisuj hasła na stronie otwartej z linku w wiadomości.
- Nie otwieraj załączników, których się nie spodziewasz.
- Nie zatwierdzaj logowania MFA, którego sam nie rozpocząłeś.
- Nie zmieniaj numeru rachunku bankowego wyłącznie na podstawie e-maila.
- Sprawdzaj adres nadawcy i adres strony logowania.
- Zgłaszaj podejrzane wiadomości do osoby odpowiedzialnej za IT.
- Korzystaj z MFA, silnych haseł i menedżera haseł.
- Regularnie sprawdzaj backup i procedurę odtwarzania danych.
Jak działa phishing?
Phishing wykorzystuje zaufanie, pośpiech i rutynę. Cyberprzestępca tworzy wiadomość, która ma skłonić odbiorcę do szybkiego działania: kliknięcia linku, otwarcia załącznika, wpisania hasła, zatwierdzenia logowania MFA albo wykonania przelewu.
Najczęściej stosowane scenariusze to:
- Fałszywa wiadomość od banku z prośbą o potwierdzenie danych.
- Wiadomość od rzekomego kontrahenta z fakturą w załączniku.
- Fałszywy e-mail od dostawcy Microsoft 365 lub poczty firmowej.
- Informacja o zaległej płatności.
- Podszycie się pod firmę kurierską.
- Wiadomość o problemie z fakturą lub KSeF.
- Prośba od przełożonego o szybki przelew.
- Fałszywa strona logowania do poczty, banku albo programu firmowego.
- Prośba o zatwierdzenie logowania w aplikacji MFA.
- Link do rzekomego dokumentu w chmurze.
W praktyce atak często przebiega etapami. Najpierw przestępca przejmuje konto e-mail, później analizuje korespondencję, a następnie wykorzystuje ją do bardziej wiarygodnego oszustwa. Może na przykład wysłać do księgowości wiadomość wyglądającą jak normalna korespondencja z kontrahentem, ale z podmienionym numerem rachunku bankowego.
Po czym rozpoznać fałszywą wiadomość?
Fałszywa wiadomość często zawiera sygnały ostrzegawcze, ale nie zawsze są one oczywiste. Pracownik powinien zwrócić uwagę nie tylko na błędy językowe, ale także na kontekst, adres nadawcy, presję czasu i nietypową prośbę.
| Sygnał ostrzegawczy | Co może oznaczać |
|---|---|
| Nietypowy adres nadawcy | Podszycie się pod firmę lub pracownika |
| Presja czasu | Próba wymuszenia szybkiej decyzji |
| Link do logowania | Możliwa fałszywa strona |
| Załącznik bez kontekstu | Ryzyko złośliwego pliku |
| Prośba o hasło | Próba wyłudzenia danych dostępowych |
| Zmiana numeru konta bankowego | Możliwe oszustwo płatnicze |
| Nietypowa faktura | Ryzyko fałszywego dokumentu |
| Wiadomość od przełożonego z pilnym przelewem | Możliwy atak BEC |
| Prośba o zatwierdzenie MFA | Próba przejęcia konta |
| Literówki w domenie | Fałszywy adres udający prawdziwą firmę |
Nie należy oceniać wiadomości wyłącznie po wyglądzie. Cyberprzestępcy potrafią kopiować logotypy, stopki, układ wiadomości i styl komunikacji. Znacznie ważniejsze jest pytanie: czy ta wiadomość pasuje do wcześniejszego kontekstu współpracy?
Phishing a poczta firmowa
Poczta firmowa jest jednym z najważniejszych celów ataku. Przejęcie skrzynki e-mail daje dostęp do korespondencji, załączników, faktur, kontaktów, linków do dokumentów, historii zamówień i resetowania haseł do innych systemów.
Jeżeli cyberprzestępca przejmie pocztę pracownika, może:
- Czytać korespondencję z klientami i kontrahentami.
- Wysyłać wiadomości w imieniu pracownika.
- Resetować hasła do wybranych usług.
- Podszywać się pod firmę.
- Wysyłać fałszywe faktury.
- Przekierować korespondencję na inne konto.
- Ukrywać własną aktywność przez reguły pocztowe.
- Przygotować bardziej precyzyjny atak na księgowość lub zarząd.
Dlatego zabezpieczenie poczty firmowej powinno być jednym z pierwszych kroków w ochronie przed phishingiem. Podstawą jest silne hasło, MFA, kontrola urządzeń, filtrowanie wiadomości, aktualizacje oraz szkolenie pracowników.
Więcej o dodatkowym zabezpieczeniu logowania opisaliśmy w artykule MFA w firmie.
Phishing a KSeF, faktury i płatności
W firmach pracujących z fakturami phishing może prowadzić do konkretnych strat finansowych. Fałszywa wiadomość może udawać informację o fakturze, korekcie, płatności, zmianie rachunku bankowego albo problemie z dokumentem.
W kontekście KSeF pracownicy powinni być szczególnie ostrożni przy wiadomościach, które:
- Zachęcają do logowania przez podejrzany link.
- Informują o pilnym błędzie faktury.
- Proszą o podanie danych dostępowych.
- Udają wiadomość od urzędu albo dostawcy programu.
- Zawierają załącznik z rzekomą fakturą.
- Proszą o zmianę danych kontrahenta.
- Sugerują natychmiastową płatność.
KSeF zmienia obieg dokumentów, ale nie eliminuje ryzyka fałszywych wiadomości. Firma nadal powinna mieć procedurę weryfikacji płatności, kontrahentów, zmian danych i podejrzanych komunikatów. Więcej o organizacji pracy z fakturami opisaliśmy w artykule KSeF w firmie po wdrożeniu.
Phishing a ERP, POS i systemy firmowe
Atak phishingowy może dotyczyć nie tylko poczty. Celem mogą być również systemy ERP, programy księgowe, systemy POS, panele administracyjne, dostęp zdalny i konta użytkowników w aplikacjach firmowych.
Jeżeli atakujący uzyska dostęp do systemu ERP, może zobaczyć dane kontrahentów, dokumenty sprzedaży, informacje magazynowe, rozliczenia i historię operacji. W przypadku systemu POS ryzyko może dotyczyć raportów sprzedaży, konfiguracji stanowisk, danych użytkowników i ciągłości pracy punktu sprzedaży.
Firmy korzystające z rozwiązań takich jak WAPRO ERP lub Comarch ERP Optima powinny zadbać o bezpieczne logowanie, kontrolę uprawnień, regularny backup i ochronę stanowisk pracy. W handlu, gastronomii i usługach podobne zasady dotyczą systemów sprzedażowych, takich jak system POS.
Najczęstsze błędy pracowników przy phishingu
Phishing jest skuteczny, ponieważ wykorzystuje naturalne zachowania ludzi. Pracownik chce szybko obsłużyć klienta, zapłacić fakturę, pobrać dokument albo rozwiązać problem. Pośpiech zwiększa ryzyko błędu.
Najczęstsze błędy to:
- Klikanie linków bez sprawdzania adresu strony.
- Otwieranie załączników od nieznanych nadawców.
- Wpisywanie hasła na stronie otwartej z linku w e-mailu.
- Zatwierdzanie MFA bez własnej próby logowania.
- Wykonywanie przelewu tylko na podstawie wiadomości e-mail.
- Brak telefonicznego potwierdzenia zmiany rachunku bankowego.
- Przesyłanie haseł przez e-mail lub komunikator.
- Ignorowanie nietypowej treści wiadomości.
- Korzystanie ze wspólnych kont.
- Brak zgłaszania podejrzanych wiadomości do osoby odpowiedzialnej za IT.
Najważniejsza zasada dla pracowników jest prosta: jeżeli wiadomość dotyczy hasła, pieniędzy, faktury, zmiany rachunku bankowego albo logowania, trzeba ją sprawdzić dokładniej.
Jak firma może ograniczyć ryzyko phishingu?
Ochrona przed phishingiem wymaga połączenia technologii, procedur i edukacji. Sam program antywirusowy nie wystarczy, jeżeli pracownicy nie wiedzą, jak reagować na podejrzane wiadomości. Samo szkolenie też nie wystarczy, jeżeli firma nie ma MFA, filtrów pocztowych i kopii zapasowych.
Najważniejsze działania to:
| Działanie | Po co je wdrożyć |
|---|---|
| MFA na poczcie i kontach krytycznych | Ogranicza skutki wycieku hasła |
| Menedżer haseł | Pomaga stosować unikalne hasła |
| Filtry antyspamowe | Zmniejszają liczbę podejrzanych wiadomości |
| Aktualizacje systemów | Ograniczają wykorzystanie znanych luk |
| Backup | Pomaga odtworzyć dane po awarii lub ataku |
| Procedura płatności | Ogranicza ryzyko fałszywych przelewów |
| Szkolenie pracowników | Uczy rozpoznawania zagrożeń |
| Kontrola uprawnień | Zmniejsza skutki przejęcia jednego konta |
| Monitoring zgłoszeń | Ułatwia szybką reakcję |
| Stała obsługa IT | Porządkuje zabezpieczenia i procedury |
Firmy, które nie mają własnego działu IT, mogą wdrożyć te elementy w ramach stałej obsługi informatycznej. Więcej o takim modelu wsparcia znajduje się na stronie outsourcing IT.
Backup powinien być regularny, monitorowany i testowany. Kopia zapasowa, której nikt nigdy nie odtworzył, daje tylko pozorne bezpieczeństwo. Więcej o tym, jak zabezpieczyć dane przed awarią, błędem pracownika i cyberatakiem, opisaliśmy w artykule Backup w firmie.
Co zrobić po kliknięciu podejrzanego linku?
Najgorszym rozwiązaniem jest ukrywanie błędu. Jeżeli pracownik kliknął podejrzany link, wpisał hasło, otworzył załącznik albo zatwierdził nieznane logowanie, powinien jak najszybciej zgłosić sytuację. Szybka reakcja może ograniczyć skutki ataku.
Podstawowe działania po incydencie:
- Odłączyć komputer od sieci, jeżeli istnieje podejrzenie złośliwego pliku.
- Nie kasować wiadomości, bo może być potrzebna do analizy.
- Zgłosić sytuację osobie odpowiedzialnej za IT.
- Zmienić hasło do konta, jeżeli zostało wpisane na podejrzanej stronie.
- Wylogować aktywne sesje.
- Sprawdzić reguły pocztowe i przekierowania.
- Zweryfikować, czy nie doszło do wysyłki wiadomości z konta.
- Sprawdzić logowania i urządzenia.
- W razie potrzeby przywrócić dane z backupu.
- Poinformować osoby, które mogły otrzymać fałszywe wiadomości.
Ważne jest, aby firma miała prostą instrukcję postępowania. Pracownik nie powinien zastanawiać się, komu zgłosić incydent. Procedura powinna być znana wcześniej.
Prosta procedura dla pracowników
Każda firma powinna mieć krótką, zrozumiałą instrukcję postępowania z podejrzanymi wiadomościami. Nie musi być długa. Ważne, aby była praktyczna i łatwa do zapamiętania.
Przykładowa procedura:
- Nie klikaj linku, jeżeli wiadomość wzbudza wątpliwości.
- Nie wpisuj hasła na stronie otwartej z linku w wiadomości.
- Nie otwieraj załącznika, którego nie oczekujesz.
- Nie zatwierdzaj MFA, jeśli sam nie rozpoczynałeś logowania.
- Nie zmieniaj numeru rachunku bankowego tylko na podstawie e-maila.
- Potwierdzaj nietypowe prośby innym kanałem, na przykład telefonicznie.
- Zgłaszaj podejrzane wiadomości do osoby odpowiedzialnej za IT.
- Po błędzie reaguj od razu, nie ukrywaj incydentu.
Taka procedura zmniejsza ryzyko przypadkowych decyzji i pomaga szybciej reagować na atak.
FAQ: phishing w firmie
Czy phishing dotyczy tylko dużych firm?
Nie. Małe i średnie firmy również są celem phishingu. Cyberprzestępcy często zakładają, że mniejsze firmy mają słabsze procedury, mniej zabezpieczeń i mniejszą świadomość pracowników.
Czy antywirus wystarczy do ochrony przed phishingiem?
Nie. Antywirus jest ważny, ale phishing często polega na nakłonieniu pracownika do samodzielnego wpisania hasła lub wykonania przelewu. Potrzebne są także MFA, szkolenia, procedury i kontrola dostępu.
Co zrobić, jeśli pracownik wpisał hasło na fałszywej stronie?
Należy natychmiast zmienić hasło, wylogować aktywne sesje, sprawdzić reguły pocztowe, zweryfikować logowania i zgłosić incydent osobie odpowiedzialnej za IT.
Czy MFA chroni przed phishingiem?
MFA znacznie ogranicza ryzyko przejęcia konta po wycieku hasła, ale nie chroni przed wszystkimi metodami ataku. Pracownicy nadal muszą uważać na fałszywe strony i podejrzane powiadomienia.
Jak często szkolić pracowników z phishingu?
Najlepiej regularnie, a nie tylko jednorazowo. Krótkie przypomnienia, przykłady fałszywych wiadomości i proste procedury są skuteczniejsze niż jedno długie szkolenie raz na kilka lat.
Krótki słownik pojęć
Phishing
Próba wyłudzenia danych, haseł lub pieniędzy przez fałszywą wiadomość, stronę internetową albo SMS.
MFA
Dodatkowe potwierdzenie logowania poza samym hasłem, na przykład kodem z aplikacji lub powiadomieniem na telefonie.
Ransomware
Złośliwe oprogramowanie, które szyfruje dane i żąda okupu za ich odblokowanie.
Fałszywa strona logowania
Strona udająca prawdziwy panel logowania, stworzona po to, aby przejąć login i hasło.
BEC
Oszustwo polegające na podszyciu się pod firmę, przełożonego lub kontrahenta w celu wyłudzenia przelewu albo danych.
Reguły pocztowe
Automatyczne ustawienia skrzynki e-mail, które mogą na przykład przekierowywać wiadomości lub ukrywać korespondencję.
Podsumowanie
Phishing w firmie to poważne zagrożenie, ponieważ atak może zacząć się od jednej wiadomości, a skończyć przejęciem konta, kradzieżą danych, fałszywą płatnością albo zaszyfrowaniem plików. Najbardziej narażone są poczta firmowa, konta administratorów, systemy ERP, KSeF, panele sprzedażowe i dane finansowe.
Skuteczna ochrona wymaga połączenia kilku elementów: MFA, silnych haseł, procedur płatności, backupu, filtrów pocztowych, aktualizacji, kontroli uprawnień i regularnej edukacji pracowników. Najważniejsze jest jednak to, aby firma miała jasną zasadę postępowania z podejrzanymi wiadomościami.
Jeżeli wiadomość dotyczy pieniędzy, faktury, hasła, logowania albo zmiany danych, nie powinna być obsługiwana automatycznie. Weryfikacja drugim kanałem i szybkie zgłoszenie podejrzenia mogą zapobiec poważnym stratom.
