Co zrobić po włamaniu do maila?

Włamanie do firmowej skrzynki mailowej to jeden z najgroźniejszych incydentów, jakie mogą spotkać firmę. Przejęte konto pocztowe może zostać wykorzystane do resetowania haseł do innych usług, podszywania się pod pracownika lub firmę, wysyłania fałszywych wiadomości, ukrywania korespondencji i dalszego rozszerzania ataku. Microsoft wskazuje, że po kompromitacji konta napastnicy często zmieniają ustawienia skrzynki, tworzą reguły pocztowe i wykorzystują przejęty dostęp do kolejnych działań.

Najważniejsze po wykryciu włamania jest szybkie odzyskanie kontroli nad kontem i sprawdzenie, jakie zmiany zostały już wprowadzone. To nie jest sytuacja, w której warto działać etapami przez kilka dni. Im szybciej ograniczysz dostęp napastnika, tym mniejsze ryzyko dalszych szkód. Ten wniosek wynika z praktyki reagowania na incydenty oraz z zaleceń Microsoft, Google i CISA dotyczących odzyskiwania kont i przeglądu aktywności po kompromitacji.

Jak rozpoznać, że ktoś włamał się do skrzynki

Objawy przejęcia konta bywają dość charakterystyczne. Możesz zauważyć wysłane wiadomości, których nie pisałeś, brak dostępu do konta, zmienione hasło, nowe reguły przekierowania poczty, logowania z nietypowych lokalizacji albo informacje od klientów, że otrzymali podejrzane wiadomości. Google i Microsoft wskazują właśnie takie sygnały jako typowe oznaki kompromitacji konta.

Krok 1. Odzyskaj kontrolę nad kontem

Jeżeli nadal masz dostęp do skrzynki, pierwszym krokiem powinna być natychmiastowa zmiana hasła na nowe, silne i unikalne. Jeśli nie możesz się zalogować, uruchom procedurę odzyskiwania konta. Microsoft i Google zalecają rozpoczęcie właśnie od przywrócenia kontroli nad kontem lub zmiany hasła.

W środowisku Microsoft 365, gdy kompromitacja jest potwierdzona i dotyczy konta firmowego, administrator może rozważyć czasowe zablokowanie konta albo wymuszenie resetu hasła, aby natychmiast odciąć napastnikowi aktywny dostęp. To ważne doprecyzowanie: taki krok dotyczy scenariusza administracyjnego w organizacji, a nie zwykłego prywatnego konta użytkownika.

Krok 2. Wyloguj aktywne sesje i sprawdź ostatnią aktywność

Sama zmiana hasła nie zawsze rozwiązuje problem. Po odzyskaniu dostępu trzeba sprawdzić aktywne sesje, ostatnio używane urządzenia i historię logowań. Google zaleca przegląd urządzeń oraz wykonanie kontroli bezpieczeństwa konta, a Microsoft wskazuje na potrzebę analizy aktywności po kompromitacji skrzynki.

Jeżeli podejrzewasz, że włamanie mogło nastąpić przez zainfekowany komputer, nie kończ działań na samej skrzynce. Microsoft rekomenduje także sprawdzenie urządzenia pod kątem złośliwego oprogramowania.

Krok 3. Włącz MFA

Po odzyskaniu dostępu włącz uwierzytelnianie wieloskładnikowe. CISA podkreśla, że MFA znacząco utrudnia przejęcie konta nawet wtedy, gdy hasło zostało wykradzione. Microsoft i Google również wskazują dodatkową warstwę logowania jako ważny element zabezpieczenia po incydencie.

W firmie najlepiej nie ograniczać MFA do jednej skrzynki. Jeśli jedno konto zostało przejęte, warto założyć, że podobne ryzyko może dotyczyć też innych użytkowników.

Krok 4. Sprawdź ustawienia skrzynki

To jeden z najczęściej pomijanych etapów. Po przejęciu skrzynki napastnicy bardzo często tworzą reguły automatycznego przekierowania wiadomości, ukrywania określonych maili, oznaczania ich jako przeczytane albo usuwania odpowiedzi od ofiar. Microsoft wprost wskazuje, że po incydencie trzeba przejrzeć reguły skrzynki, ustawienia przekierowań i inne zmiany konfiguracyjne.

Sprawdź więc:

• reguły skrzynki i filtry,
• przekierowania poczty,
• odpowiedzi automatyczne,
• dodane aliasy i delegacje,
• zmiany w danych odzyskiwania konta.

Google również zaleca sprawdzenie zmian w danych odzyskiwania i ustawieniach bezpieczeństwa konta.

Krok 5. Przejrzyj foldery wysłane, usunięte i spam

Po włamaniu trzeba ustalić, co dokładnie zrobił napastnik. Sprawdź:

• jakie wiadomości zostały wysłane,
• czy ktoś nie próbował wyłudzić płatności,
• czy nie doszło do kontaktu z klientami lub pracownikami,
• czy nie usunięto wiadomości,
• czy nie było prób resetu haseł do innych usług.

Microsoft zaleca analizę aktywności skrzynki i ustalenie skutków kompromitacji, zanim konto wróci do normalnego użycia.

Krok 6. Zmień hasła w innych systemach

Jeżeli przejęta skrzynka była powiązana z innymi usługami, na przykład bankowością, sklepem internetowym, CRM, social mediami, hostingiem czy Microsoft 365, trzeba założyć, że napastnik mógł próbować zresetować tam dostęp. CISA podkreśla znaczenie unikalnych haseł i menedżera haseł właśnie po to, aby przejęcie jednego konta nie otwierało drogi do kolejnych.

W praktyce po incydencie warto:

• zmienić hasła do najważniejszych systemów,
• sprawdzić konta administratorów,
• przejrzeć historię resetów haseł,
• usunąć stare lub niepotrzebne sesje.

Krok 7. Ostrzeż klientów, pracowników i kontrahentów

Jeżeli z przejętej skrzynki wysłano podejrzane wiadomości, trzeba szybko poinformować odbiorców, że wiadomości mogły być fałszywe. To szczególnie ważne, jeśli atakujący próbował wyłudzić przelew, zmienić numer rachunku albo wysłać złośliwy załącznik. Microsoft wskazuje, że po incydencie trzeba ocenić skalę oddziaływania i ograniczyć dalsze szkody.

Taki komunikat powinien być prosty:

• skrzynka została przejęta,
• nie należy otwierać podejrzanych linków i załączników,
• nie należy realizować nietypowych dyspozycji,
• dalsza korespondencja powinna być zweryfikowana innym kanałem.

Krok 8. Sprawdź, czy problem nie jest szerszy

W firmie przejęcie jednej skrzynki może być tylko objawem większego incydentu. Microsoft zaleca po kompromitacji konta przeprowadzenie szerszej analizy środowiska, a nie tylko przywrócenie dostępu do pojedynczego mailboxa.

Warto sprawdzić:

• inne konta użytkowników,
• konta administratorów,
• logowania z nietypowych lokalizacji,
• urządzenia końcowe,
• aplikacje zewnętrzne podłączone do poczty,
• polityki bezpieczeństwa i MFA w całej organizacji.

Jeżeli używasz Microsoft 365, szczególnie ważna jest analiza logów oraz zmian konfiguracyjnych w środowisku administracyjnym.

Krok 9. Zachowaj ślady incydentu

To etap, który firmy często pomijają. CISA zwraca uwagę, że przy incydentach związanych z przejęciem kont nie należy działać chaotycznie, bo można utracić dane potrzebne do zrozumienia skali ataku. W środowiskach firmowych znaczenie mają logi, historia logowań, reguły poczty, informacje o urządzeniach i czas incydentu.

Jeżeli sprawa ma większą skalę, dobrze zabezpieczyć:

• daty i godziny zdarzeń,
• listę podejrzanych wiadomości,
• historię logowań,
• zmienione ustawienia,
• informacje o urządzeniu, z którego mogło dojść do przejęcia.

Krok 10. Zabezpiecz firmę na przyszłość

Po odzyskaniu konta nie wracaj po prostu do pracy. Incydent powinien zakończyć się wdrożeniem zmian. CISA zaleca MFA, aktualizacje oprogramowania, ostrożność wobec phishingu oraz lepszą higienę haseł. Google i Microsoft podkreślają też znaczenie aktualnych danych odzyskiwania, przeglądu ustawień bezpieczeństwa i monitorowania aktywności konta.

W praktyce firma powinna po takim incydencie wdrożyć:

• MFA dla wszystkich użytkowników,
• menedżer haseł,
• unikalne hasła do każdej usługi,
• ochronę poczty przed phishingiem,
• procedury weryfikacji zmian płatności,
• monitoring logowań,
• szkolenie pracowników.

Podsumowanie

Po włamaniu do maila najważniejsze jest odzyskanie kontroli nad kontem, wylogowanie aktywnych sesji, zmiana hasła, włączenie MFA, sprawdzenie reguł i przekierowań oraz analiza skutków incydentu. W firmie trzeba patrzeć szerzej, bo przejęta skrzynka może być tylko początkiem większego problemu. Microsoft, Google i CISA są zgodne co do podstaw: odzyskaj konto, zabezpiecz je, przeanalizuj aktywność i wdroż dodatkowe zabezpieczenia.

Potrzebujesz pomocy po przejęciu firmowej poczty?

Pomagamy firmom zabezpieczać pocztę, odzyskiwać kontrolę nad kontami i wdrażać ochronę Microsoft 365, MFA oraz porządek w dostępach.

Zapoznaj się z naszą ofertą związaną z Microsoft 365:
https://it-logic.pl/oferta/microsoft-365/