przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Jak walczyć z phishingiem w firmie?

Jak walczyć z phishingiem w firmie?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Cyberprzestępcy próbują uzyskać nieuprawniony dostęp do systemów na wiele różnych sposobów. Oprócz wykorzystywania rozmaitych podatności systemów informatycznych posługują się m.in. phishingiem, który polega na podszywaniu się pod osobę lub organizację – zazwyczaj za pośrednictwem wiadomości e-mail lub SMS. Ten sposób oszustwa pozwala wykraść np. hasła czy dane osobowe. Praktycznie każda firma może spotkać się z próbami ataków phishingowych na różne sposoby – również tymi dopasowanymi do danej osoby.

Phishing to zagadnienie, które warto rozpatrywać na dwóch płaszczyznach: technicznej oraz organizacyjnej (społecznej). Wśród realnych ataków wykorzystujących phishing należy wspomnieć m.in. o:

  • naruszeniu dostępności i poufności danych osobowych klientów firmy medycznej wskutek ataku ransomware – jednym z najbardziej prawdopodobnych wektorów ataku był m.in. phishing (Decyzja Prezesa UODO nr DKN.5112.35.2021);
  • działaniach grupy APT28, wymierzonych w polskie instytucje i podmioty publiczne – cyberprzestępcy próbowali wyłudzać dane logowania do skrzynek mailowych (np. Microsoft Outlook) i nakłonić osoby do zainstalowania złośliwego oprogramowania;
  • podszywaniu się pod właścicieli firm i kontrahentów w celu uzyskania korzyści finansowych.

Ludzki aspekt ataków

Przede wszystkim organizacja powinna zadbać o to, aby pracownicy mieli pewność, do kogo mogą zwrócić się w przypadku podejrzenia nietypowej aktywności – jednocześnie utrzymując jak największy stopień poufności. Należy również zapewnić, aby pracownicy nie obawiali się zgłaszać podejrzanych wiadomości e-mail do odpowiedniego działu. Co równie istotne, nie można stygmatyzować pracowników, którzy omyłkowo kliknęli spreparowany link.

Banery mailowe

atakach phishingowych często stosuje się tzw. typosquatting, czyli wykorzystanie domen zbliżonych do tych używanych przez daną organizację (np. gogle[.]com zamiast google[.]com). Aby wspomóc pracowników w rozpoznawaniu takich prób ataku, można wykorzystać banery ostrzegawcze informujące o korespondencji pochodzącej spoza danej organizacji.

Przykład 1.

Pracownik otrzymał wiadomość e-mail, która rzekomo pochodzi od jego przełożonego. Dzięki polityce oznaczania poczty zewnętrznej w wiadomości pojawia się komunikat o tym, że e-mail pochodzi od zewnętrznego nadawcy, co upewniło pracownika w przekonaniu, że wiadomość jest fałszywa. Warto zaznaczyć, że powyższe ustawienie jest dostępne zarówno w Outlooku (Microsoft), jak i Google Workspace.

Weryfikacja rozmówcy

Cyberprzestępcy próbują również przekierować środki finansowe na kontrolowane przez nich konta bankowe. Często spotykanym schematem działania jest wysyłanie faktur, zawierających rzekomo nowy numer konta bankowego. W takim przypadku warto każdorazowo skontaktować się z daną firmą (np. kontrahentem), czy taka sytuacja faktycznie ma miejsce. Kluczowe jest to, aby wykorzystać inny kanał komunikacji niż ten, którym nadesłano dany dokument.

Należy pamiętać o tym, że skrzynka mailowa kontrahenta również może zostać przejęta przez cyberprzestępców, dlatego warto nie spieszyć się z przelewami na nowe numery kont bankowych.

Przykład 2.

Z adresu mailowego kontrahenta przesłano fakturę korygującą zawierającą nowy numer konta bankowego. Wiadomość podkreśla konieczność niezwłocznego wykonania przelewu. Aby upewnić się, że nie jest to próba wyłudzenia środków, warto skontaktować się telefonicznie z firmą – przy czym należy osobiście wykonać połączenie. Cyberprzestępca bowiem użyje wszelkich dostępnych środków, aby zapewnić, że zmiana numeru konta jest prawdziwa.

Podobnie wygląda tzw. vishing, czyli phishing z wykorzystaniem rozmowy telefonicznej. Takie kampanie pojawiały się już w 2018 roku – wówczas Departament Sprawiedliwości Stanów Zjednoczonych poinformował o postawieniu zarzutów dwóm obywatelom Rumunii, którzy podszywając się pod bank za pomocą automatycznych odpowiedzi (IVR), wyłudzali m.in. numery ubezpieczenia społecznego (SSN) oraz PIN. Straty wyceniono wówczas na 18 mln dolarów.

Jeżeli otrzymujemy niespodziewany telefon, warto się rozłączyć i osobiście wykonać połączenie do danej osoby – nawet jeśli chodzi o przełożonego, proszącego o pilne działanie.

Skuteczna walka z phishingiem

Podstawową metodą walki z wyłudzeniami danych logowania w ramach phishingu jest dwuetapowe uwierzytelnianie (2FA). Oznacza to, że podczas logowania koniecznie trzeba użyć dodatkowego składnika, takiego jak m.in.:

  • kod z SMS;
  • klucz fizyczny;
  • jednorazowe kody z aplikacji (OTP);
  • dane biometryczne (np. odcisk palca).

Rozwiązania różnią się poziomem bezpieczeństwa, lecz zastosowanie jakiegoś z nich znacznie utrudnia przejęcie kontroli nad kontem w przypadku przechwycenia loginu i hasła. Obecnie zalecaną metodą jest wykorzystanie kluczy fizycznych.

W przypadku załączników w e-mailach, szczególnie ważne jest zwrócenie uwagi na:

  • konieczność otworzenia pliku podczas pracy;
  • faktyczne rozszerzenie dokumentu – faktura.pdf.zip a faktura.pdf to dwa różne rodzaje plików;
  • korzystanie z programu antywirusowego i EDR (ang. endpoint detection and response);
  • aktualność systemu operacyjnego.

Działania po incydencie

Szybka reakcja na phishing może uchronić organizację przed poważnymi konsekwencjami. W przypadku podejrzenia kradzieży loginu i hasła należy niezwłocznie:

  • zresetować hasło;
  • wylogować się ze wszystkich urządzeń;
  • przeanalizować ostatnie próby logowania.

W przypadku zauważenia włączenia złośliwego oprogramowania na urządzeniu zalecane jest natychmiastowe odłączenie go od internetu. Jednocześnie nie można wyłączać sprzętu, ponieważ uniemożliwi to dalszą analizę. W tym procesie przydatne jest m.in. generowanie funkcji skrótu (hashy) plików.

Pamiętajmy, że w przypadku stwierdzenia naruszenia ochrony danych osobowych, skutkującego prawdopodobieństwem ryzyka naruszenia praw lub wolności osób fizycznych, należy poinformować o tym Urzędu Ochrony Danych Osobowych w ciągu 72 godzin, o czym stanowi art. 33 Rozporządzenia 2016/679 (RODO). Warto również zgłosić takie incydenty do odpowiedniego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego, czyli tzw. CSIRT-u (ang. Computer Security Incident Response Team). W przypadku większości przedsiębiorstw będzie nim CERT Polska.

SPF, DKIM i DMARC – bezpieczne maile

Walka z phishingiem to nie tylko działania polegające na wykrywaniu wiadomości e-mail z podejrzanych domen czy załączników ze złośliwym oprogramowaniem. Można również zadbać o to, aby powstrzymać próby podszywania się pod daną organizację. W tym celu można posłużyć się niżej opisanymi mechanizmami weryfikacji nadawcy wiadomości:

  • SPF – określenie adresów IP, z których mogą być wysyłane e-maile w imieniu danej domeny;
  • DKIM – umożliwia zweryfikowanie autentyczności wiadomości, wykorzystując kryptografię asymetryczną;
  • DMARC – mechanizm blokowania wiadomości na podstawie SPF i DKIM (wyników weryfikacji); określa, jakie działanie powinien podjąć serwer odbiorcy wiadomości (m.in. kwarantanna lub odrzucenie)

Co ważne – powyższe mechanizmy są implementowane jako wpis TXT w DNS, co oznacza, że nie wymagają implementacji rozwiązań komercyjnych czy kosztów finansowych.

Przykład 3. 

Implementacja mechanizmów SPF, DKIM i DMARC na bazie rekordów TXT domeny nask.pl

"v=spf1 include:_spf.nask.pl include:_spf2.nask.pl include:spf.protection.outlook.com ip4:195.187.245.33/24 (…) -all" – określenie serwerów, które mogą wysyłać maile w imieniu domeny nask.pl

"v=DKIM1; k=rsa; p=MIIBIjANBgk…" – określenie algorytmu wraz z kluczem publicznym

"v=DMARC1; p=reject; rua=mailto:dmarc-nask@nask.pl; (…)" – określenie polityki w przypadku wiadomości, która nie przejdzie sprawdzenia wobec SPF i DKIM (w tym przypadku wybrano odrzucenie, czyli „reject”) wraz z adresem e-mail, na który będą przesyłane raporty.

Poprawna konfiguracja SPF, DKIM i DMARC znacznie utrudni podszywanie się pod daną organizację za pośrednictwem wiadomości e-mail.

Podsumowanie

Phishing to problem, który może dotknąć każdego. W każdej sytuacji, która wymaga pilnego działania, warto zweryfikować autentyczność konkretnej osoby lub organizacji.

W przypadku otrzymania phishingowych SMS-ów warto przesłać je na numer 8080, co pomoże w zablokowaniu rozsyłania podobnych wiadomości.

Polecamy:

AI jako przewaga konkurencyjna o ludzkiej twarzy

Komunikatory a RODO w pracy – jak korzystać z nich...
Podobne
Październik 2025
22
Środa
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Cyberbezpieczeństwo w MŚP - jakie są najczęstsze rodzaje ataków i jak się przed nimi chronić?
  2. Cyberbezpieczeństwo MŚP. Oto co musisz wiedzieć
  3. Komunikatory a RODO w pracy – jak korzystać z nich bezpiecznie?
  4. Cyberataki a naruszenie ochrony danych osobowych. Co pokazują zawiadomienia?
  5. Jak można monitorować i dbać o bezpieczeństwo danych w firmie?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Komunikatory a RODO w pracy – jak korzystać z nich bezpiecznie?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Tech Talk Katowice #1: Infrastructure – spotkanie dla pasjonatów i praktyków IT
XII Konferencja Delegowania Pracowników do UE – Warszawa, 16 października 2025 r.
Spotkanie Liderów Finansów – banki, ubezpieczenia i fintechy wobec wyzwań jutra
7. RetailTec Congress – technologie, klient i zielona transformacja jako czynniki redefiniujące handel
Data Economy Congress - dwa dni debat o przyszłości danych, AI i cyfrowej suwerenności Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów