przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Phishing w firmie - zagrożenie, którego MŚP nie mogą ignorować

Phishing w firmie - zagrożenie, którego MŚP nie mogą ignorować

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Phishing w firmie należy do najpowszechniejszych i zarazem najbardziej groźnych niebezpieczeństw dla małych i średnich firm. Cyberprzestępcy koncentrują się na ludziach, wykorzystując presję czasu, zaufanie czy rutynowe działania w codziennej pracy. Wystarczy jedno nieostrożne kliknięcie, aby narazić organizację na utratę środków finansowych, poufnych danych oraz reputacji w oczach klientów.

Na czym polega phishing?

Zgodnie z definicją podaną na stronie gov.pl phishing to jedna z najczęściej stosowanych technik cyberataków, polegająca na podszywaniu się pod zaufane osoby lub instytucje, takie jak banki, urzędy, kontrahentów czy przełożonych, w celu nakłonienia ofiary do podjęcia określonego działania. Może to być kliknięcie w link prowadzący do fałszywej strony logowania, pobranie załącznika zawierającego malware, podanie danych uwierzytelniających czy zatwierdzenie przelewu. Kluczową cechą phishingu jest wykorzystanie socjotechniki, np. presji czasu, poczucia obowiązku wobec przełożonego czy strachu przed konsekwencjami, a nie zaawansowanych technicznych luk.

Phishing w firmie z perspektywy przedsiębiorców 

Z perspektywy małych i średnich przedsiębiorstw (MŚP) phishing jest szczególnie groźny. W firmach tego sektora często brakuje rozbudowanych działów IT i sformalizowanych procedur bezpieczeństwa. Jeden pracownik może odpowiadać jednocześnie za kontakt z klientem, obsługę zamówień i rozliczenia finansowe, a to oznacza, że kompromitacja jego skrzynki pocztowej daje atakującym dostęp do całej działalności operacyjnej. 

Dodatkowo MŚP rzadziej inwestują w zaawansowane narzędzia ochrony, więc wiele incydentów pozostaje niezauważonych aż do momentu, gdy straty stają się poważne. 

W praktyce oznacza to, że pojedynczy udany atak phishingowy może sparaliżować działalność firmy, prowadząc do utraty pieniędzy, danych klientów, a także reputacji, na której opiera się konkurencyjność małych i średnich przedsiębiorstw.

Najpopularniejsze wektory phishingu w 2025 roku

Phishing nie jest jednorodnym zjawiskiem – cyberprzestępcy dopasowują formę ataku do kanałów komunikacji, z których najczęściej korzystają firmy i ich pracownicy. W 2025 roku można wyróżnić kilka dominujących metod, które w różny sposób zagrażają przedsiębiorstwom:

  1. E-mail (BEC i fałszywe faktury)

Najczęściej spotykany wektor. Atak typu Business Email Compromise (BEC) polega na podszywaniu się pod przełożonego lub partnera biznesowego w celu nakłonienia pracownika do przelania środków na konto przestępców. Częstą odmianą są też fałszywe faktury, które wyglądają identycznie jak te wystawiane przez kontrahenta – różnica tkwi jedynie w numerze rachunku bankowego.

  1. SMS i komunikatory (smishing)

Rosnąca popularność mobilnych kanałów komunikacji otworzyła pole do ataków SMS-owych, zwanych smishingiem. Przestępcy podszywają się np. pod firmy kurierskie, banki czy operatorów, wysyłając link do fałszywej strony logowania. Coraz częściej wykorzystują też komunikatory takie jak WhatsApp czy Messenger, wiedząc, że pracownicy prowadzą tam rozmowy służbowe.

  1. Fałszywe strony logowania (credential harvesting)

To jedna z najskuteczniejszych technik – użytkownik otrzymuje link prowadzący do strony łudząco podobnej do panelu bankowego, poczty e-mail czy systemu CRM. Po wpisaniu loginu i hasła dane trafiają wprost do przestępców.

  1. Telefoniczny vishing

Polega na podszywaniu się pod przedstawicieli banku, działu IT czy nawet przełożonych w rozmowie telefonicznej. Atakujący, wykorzystując presję i element zaskoczenia, nakłaniają ofiarę do podania danych logowania, zainstalowania złośliwego oprogramowania lub wykonania przelewu.

Zagrożenia dla firm 

Phishing stanowi egzystencjalne zagrożenie dla małych i średnich przedsiębiorstw, ponieważ uderza bezpośrednio w ich najsłabsze punkty, takie jak ograniczone zasoby, brak dedykowanych zespołów bezpieczeństwa i wysokie zaufanie w relacjach biznesowych. 

Podczas gdy duże korporacje mogą wchłonąć straty z pojedynczego ataku, dla MŚP jeden udany phishing może oznaczać koniec działalności. Najważniejsze zagrożenia związane z atakiem phishingowym na małe i średnie firmy to: 

  • Utrata środków finansowych – atak phishingowy może doprowadzić do fałszywych przelewów lub przejęcia dostępu do firmowych kont bankowych.
  • Kradzież danych klientów, pracowników lub partnerów biznesowych – wyciek takich informacji naraża firmę na konsekwencje prawne i utratę zaufania.
  • Utrata własności intelektualnej lub poufnych dokumentów – skradzione strategie, projekty czy oferty mogą trafić do konkurencji.
  • Utrata zaufania klientów i partnerów biznesowych – informacja o incydencie często skutkuje zerwaniem współpracy.
  • Ryzyko kar administracyjnych – wyciek danych osobowych może prowadzić do wysokich kar finansowych nałożonych przez regulatora (np. UODO).
  • Instalacja złośliwego oprogramowania – phishing bywa wstępem do infekcji ransomware lub spyware.
  • Wykorzystanie firmy do dalszych ataków – przejęta poczta służbowa może posłużyć do wysyłania kolejnych wiadomości phishingowych.

Przykład 1.

Mała firma budowlana z Wielkopolski, zatrudniająca 18 osób, otrzymała wiadomość e-mail podszywającą się pod jednego z jej stałych dostawców materiałów. Wiadomość zawierała prawidłowe logo, numer zamówienia i szczegóły zgodne z wcześniejszą korespondencją. Księgowa, przekonana o autentyczności prośby, zrealizowała przelew na kwotę 220 tys. zł na wskazane w mailu „nowe konto bankowe”. Dopiero po kilku dniach dostawca upomniał się o płatność, a oszustwo wyszło na jaw. Środków nie udało się odzyskać, a kwota straty przekroczyła rezerwy finansowe firmy. Utrata płynności doprowadziła do opóźnień w realizacji projektów, utraty kluczowych kontraktów i konieczności redukcji zatrudnienia.

AI a phishing

Rozwój sztucznej inteligencji radykalnie zmienił krajobraz zagrożeń związanych z phishingiem. Dotychczasowe próby oszustw często można było rozpoznać dzięki błędom językowym, nieudolnemu formatowaniu czy nielogicznym treściom wiadomości. 

Obecnie generatywne modele językowe umożliwiają tworzenie perfekcyjnie sformułowanych e-maili, SMS-ów czy wiadomości w komunikatorach, które nie budzą podejrzeń nawet u doświadczonych pracowników.

AI wspiera cyberprzestępców nie tylko w pisaniu treści, ale także w personalizacji ataków. Algorytmy analizują publicznie dostępne dane, np. profile w mediach społecznościowych, aby dopasować komunikaty do konkretnej ofiary. Dzięki temu wiadomości phishingowe stają się bardziej wiarygodne, ponieważ odnoszą się do realnych wydarzeń, kontaktów czy projektów biznesowych.

Zabezpieczenie firmy przed phishingiem 

Zalecenia brytyjskiego National Cyber Security Centre (NCSC) podkreślają, że skuteczna ochrona przed phishingiem wymaga połączenia technologii, procesów oraz czynników ludzkich. Wszystkie te elementy powinny być uwzględniane, aby obrona była naprawdę efektywna. Wytyczne wyróżniają 4 warstwy zabezpieczeń, które łącznie tworzą spójną i solidną strategię bezpieczeństwa:

  1. Utrudnienie atakującym dotarcia do użytkowników.
  2. Wsparcie użytkowników w identyfikacji i zgłaszaniu podejrzanych wiadomości.
  3. Ochrona organizacji przed skutkami niewykrytych prób phishingu.
  4. Szybka reakcja na incydenty.

Warstwa 1: Utrudnienie atakującym dotarcia do użytkowników

NCSC wskazuje, że pierwszym krokiem w obronie przed phishingiem jest ograniczenie możliwości dotarcia fałszywych wiadomości do pracowników. Kluczowe znaczenie mają mechanizmy SPF, DKIM i DMARC, które utrudniają podszywanie się pod firmowe adresy e-mail i pozwalają chronić reputację organizacji.

Należy również świadomie zarządzać „śladem cyfrowym” firmy, aby ograniczać zbędne informacje na stronie internetowej i w mediach społecznościowych oraz edukować pracowników, jak publikowanie danych osobowych może zostać wykorzystane w atakach typu spear phishing. 

Nieodzowne są także filtry antyspamowe i antyphishingowe, które blokują lub kierują podejrzane wiadomości do kwarantanny, zanim trafią one do skrzynki użytkownika.

Poniżej przedstawiamy najważniejsze techniczne zabezpieczenia, które odgrywają istotną rolę w ochronie przed phishingiem:

  • SPF, DKIM i DMARC – standardy zabezpieczające pocztę e-mail. Sprawdzają, czy wiadomość pochodzi z serwera uprawnionego do wysyłki w imieniu danej domeny, czy nie została zmodyfikowana w trakcie przesyłania i czy nadawca nie podszywa się pod cudzy adres. Dzięki nim znacznie trudniej jest przestępcom wysłać fałszywy e-mail wyglądający jak prawdziwy.
  • Sandbox i URL rewriting – technologie stosowane w bramkach pocztowych. Sandbox pozwala otworzyć podejrzany załącznik lub link w bezpiecznym, odizolowanym środowisku i sprawdzić, czy zawiera on złośliwe oprogramowanie. URL rewriting z kolei „przepakowuje” linki w wiadomościach i sprawdza je w momencie kliknięcia, aby zablokować dostęp do fałszywej strony, nawet jeśli ta została utworzona dopiero po wysłaniu maila.
  • FIDO2 i MFA – to mechanizmy uwierzytelniania wieloskładnikowego, np. z użyciem kluczy sprzętowych lub aplikacji generującej kody. Nawet jeśli pracownik poda swoje hasło przestępcom, to bez dodatkowego potwierdzenia (np. fizycznym kluczem) atakujący nie uzyskają dostępu do systemu.

Warstwa 2: Pomoc w identyfikacji i zgłaszaniu podejrzanych wiadomości phishingowych

Nawet najbardziej zaawansowane systemy filtrujące nie są w stanie wychwycić wszystkich prób phishingu, dlatego kluczową rolę w ochronie odgrywają pracownicy. Jak podkreśla NCSC, aby mogli skutecznie reagować, muszą mieć wiedzę o typowych metodach stosowanych przez cyberprzestępców oraz mieć pewność, że zgłaszanie incydentów jest pożądane i doceniane. Szczególne znaczenie mają tu szkolenia, które powinny być dopasowane do specyfiki poszczególnych działów. 

Kluczowe jest także budowanie świadomości, że celem nie jest rozpoznanie wszystkich fałszywych wiadomości, lecz szybkie zgłaszanie podejrzanych sytuacji. Unikanie atmosfery winy czy karania sprawia, że pracownicy chętniej dzielą się wątpliwościami i błyskawicznie informują o incydentach.

Ważnym elementem jest również dostosowanie procesów biznesowych, tak aby utrudniały manipulacje – np. weryfikacja nietypowych próśb innym kanałem komunikacji czy jasne zasady dotyczące faktur i przelewów. Ochronę dodatkowo wzmacnia spójny wygląd firmowej korespondencji oraz komunikaty dla kontrahentów („nie prosimy o hasło”, „nasze dane bankowe nie ulegają zmianie”).

Warstwa 3: Ograniczanie skutków udanych ataków phishingowych

Żadne zabezpieczenia nie są w stanie zatrzymać wszystkich prób phishingu, dlatego niezwykle istotne jest zminimalizowanie skutków sytuacji, w której pracownik kliknie w złośliwy link czy poda swoje dane logowania. Dobrze zaprojektowane mechanizmy obronne pozwalają zatrzymać infekcję na wczesnym etapie i ograniczyć szkody dla całej organizacji.

Podstawą jest właściwe zabezpieczenie urządzeń końcowych. Regularne aktualizacje systemów, używanie wyłącznie wspieranego oprogramowania oraz ograniczenie uprawnień administracyjnych zmniejszają ryzyko instalacji malware, nawet jeśli użytkownik otworzy zainfekowany plik. Ważne jest także blokowanie dostępu do złośliwych stron internetowych – może to zapewnić zarówno nowoczesna przeglądarka, jak i firmowa usługa proxy czy bezpieczne serwery DNS.

Równie istotne jest zabezpieczenie kont użytkowników. Wdrożenie uwierzytelniania wieloskładnikowego (MFA), korzystanie z menedżerów haseł czy alternatywnych metod logowania (np. biometrii) znacząco utrudnia przejęcie systemów, nawet gdy hasło wpadnie w niepowołane ręce. Regularny przegląd uprawnień i szybkie blokowanie nieużywanych kont dodatkowo ograniczają możliwości atakujących.

Takie podejście sprawia, że pojedynczy błąd pracownika nie musi oznaczać pełnej kompromitacji firmy – skutki można ograniczyć do minimum, a czas reakcji znacznie skrócić.

Warstwa 4: Szybkie reagowanie na incydenty

Nawet najlepiej zabezpieczona organizacja musi liczyć się z tym, że wcześniej czy później dojdzie do incydentu bezpieczeństwa.

Kluczowe znaczenie ma wtedy szybkość wykrycia i skuteczna reakcja, która pozwala ograniczyć szkody i przywrócić normalne funkcjonowanie firmy w możliwie najkrótszym czasie.

Pierwszym elementem jest wczesne wykrywanie problemów. Pracownicy powinni dokładnie wiedzieć, jak i komu zgłaszać podejrzane zdarzenia, także wtedy, gdy ich urządzenie jest już zainfekowane i standardowe kanały komunikacji mogą nie działać. Równolegle organizacja powinna korzystać z narzędzi monitorujących, które pozwalają identyfikować incydenty niezauważone przez użytkowników. Mogą to być wbudowane mechanizmy dostawców poczty i usług w chmurze, dedykowane systemy logowania zdarzeń czy usługi monitoringu bezpieczeństwa świadczone przez zewnętrznych partnerów.

Drugim filarem jest gotowy plan reagowania na incydenty. Firma musi wiedzieć z wyprzedzeniem, jakie kroki należy podjąć w przypadku różnych scenariuszy – od resetu skompromitowanych haseł, przez odizolowanie i czyszczenie zainfekowanych urządzeń, aż po powiadamianie klientów i partnerów o naruszeniu.

Źródła:

  1. Ministerstwo Cyfryzacji/GOV.pl. (n.d.). Czym jest phishing i jak nie dać się nabrać na podejrzane wiadomości e-mail oraz SMS-y? gov.pl, Baza wiedzy. https://www.gov.pl/web/baza-wiedzy/czym-jest-phishing-i-jak-nie-dac-sie-nabrac-na-podejrzane-widomosci-e-mail-oraz-sms-y

  2. National Cyber Security Centre. (n.d.). Phishing attacks: defending your organisation. NCSC. https://www.ncsc.gov.uk/guidance/phishing

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Cyberbezpieczeństwo w MŚP - jakie są najczęstsze r...
Komunikatory a RODO w pracy – jak korzystać z nich...
Podobne
Listopad 2025
27
Czwartek
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Analiza ryzyka – jakie elementy są konieczne?
  2. Cyberbezpieczeństwo w organizacji - jak cyberprzestępcy włamują się do firm i JST?
  3. Komunikatory a RODO w pracy – jak korzystać z nich bezpiecznie?
  4. Phishing w firmie - zagrożenie, którego MŚP nie mogą ignorować
  5. Cyberataki a naruszenie ochrony danych osobowych. Co pokazują zawiadomienia?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Audyt bezpieczeństwa – praktyczne podejście do zarządzania ryzykiem

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Specjaliści SEO i marketerzy spotkają się w Katowicach - nadchodzi 5. edycja CTRL+GROW!
Smart City Forum – miasta przyszłości w epoce danych, bezpieczeństwa i cyfrowej odporności
XIV Ogólnopolska Konferencja Naukowa „Rachunkowość i Finanse. Teoria i Praktyka”
Kongres For Social Media 2025
eCommerce Business Innovations w Katowicach – pierwsza konferencja o e-handlu na Górnym Śląsku! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów