Phishing – jak chronić firmę przed atakami e-mail?

Dlaczego phishing wciąż działa?

Mimo rosnącej świadomości phishing notuje 30–35% kliknięć w niebezpieczne linki. Powód? Atakujący nie muszą przebijać zabezpieczeń technicznych — wystarczy, że jeden pracownik popełni błąd.

Współczesny spear phishing (phishing ukierunkowany) jest daleki od banalnych wiadomości "nigeryjski książę". Dziś atakujący podszywają się pod konkretnych ludzi — prezesa, dział kadr, dostawcę — korzystając z danych dostępnych publicznie na LinkedIn i firmowej stronie. Atak Business Email Compromise (BEC), gdzie przestępca podszywa się pod CEO i prosi o pilny przelew, kosztował firmy na świecie ponad 50 miliardów dolarów w ciągu ostatniej dekady według FBI.

Jak rozpoznać phishingową wiadomość?

Sygnały ostrzegawcze, które powinny zatrzymać każdego pracownika:

• Adres nadawcy podobny, ale nie identyczny z prawdziwym (nоvasys.pl vs novasys.pl — różni się jedną literą)
• Sztuczna presja czasu: "Natychmiast", "Pilne", "Tylko dziś", "Twoje konto zostanie zablokowane"
• Prośba o podanie danych logowania, numeru konta lub PESEL przez e-mail
• Link, który po najechaniu myszą (bez klikania) prowadzi do innej domeny niż wyświetlana
• Plik PDF z prośbą o "włączenie makr" lub "włączenie edycji"
• Wiadomość "od banku" lub "urzędu skarbowego" przesłana na adres firmowy

Zabezpieczenia techniczne: SPF, DKIM, DMARC

Trzy protokoły, które drastycznie ograniczają phishing przez Twoją domenę:

• SPF — wpis DNS wskazujący, które serwery mogą wysyłać maile w imieniu Twojej domeny. Blokuje podszywanie się pod Twój adres.
• DKIM — kryptograficzny podpis każdej wiadomości. Odbiorca może zweryfikować, że mail nie był modyfikowany po wysłaniu.
• DMARC — polityka łącząca SPF i DKIM. Mówi serwerom odbiorców, co zrobić z mailami, które tych kontroli nie przeszły: odrzucić, skierować do spamu lub przepuścić z raportem.

Bez DMARC p=reject Twoja domena jest otwarta na spoofing przez kogokolwiek. Konfiguracja jest bezpłatna i zajmuje około 30 minut — wymaga dostępu do panelu DNS.

Ochrona techniczna po stronie odbiorcy

• Filtr antyspamowy z AI — Microsoft Defender for Office 365, Google Workspace Advanced Protection, Proofpoint. Analizują kontekst, nie tylko znane wzorce.
• Sandboxing załączników — podejrzane pliki są otwierane w izolowanym środowisku przed dostarczeniem do skrzynki.
• Link rewriting — linki są przepisywane przez bramę bezpieczeństwa i weryfikowane w czasie rzeczywistym (nie przy wysyłce, gdy URL może być jeszcze czysty).
• MFA wszędzie — nawet jeśli dane logowania wyciekną przez phishing, atakujący potrzebuje drugiego składnika uwierzytelnienia.

Szkolenie pracowników – jak robić to skutecznie

Szkolenie jednorazowe nie działa — badania pokazują, że po 6 miesiącach pracownicy zachowują się jak przed szkoleniem. Skuteczne programy opierają się na:

• Symulowanych atakach phishingowych (co miesiąc lub kwartał) — wysyłasz fałszywy phishing do własnych pracowników i mierzysz kliknięcia. Firmy korzystające z tej metody notują 70–80% redukcję podatności.
• Mikroszkoleniach po "złapaniu" — 5-minutowy moduł bezpośrednio po kliknięciu jest 4x skuteczniejszy niż dwugodzinna prezentacja.
• Jasna procedura zgłaszania — pracownik musi wiedzieć dokąd przesłać podejrzaną wiadomość. Brak procedury = maile lądują w koszu zamiast u działu IT.

Co robić po kliknięciu w phishing?

Czas reakcji jest kluczowy. Każda minuta zwłoki może oznaczać eskalację ataku:

1. Odłącz komputer od sieci (wyłącz WiFi lub wyciągnij kabel)
2. NIE resetuj hasła z tego samego urządzenia
3. Zmień hasło z innego, czystego urządzenia
4. Skontaktuj się z działem IT lub firmą IT natychmiast — nie "za godzinę"
5. Aktywuj MFA jeśli nie było włączone
6. Sprawdź logi dostępu do kont firmowych