W małych i średnich firmach phishing nie działa dlatego, że ludzie są nieostrożni albo niekompetentni. Działa dlatego, że wszyscy są zajęci. Księgowa zamyka miesiąc, handlowiec wysyła oferty, IT gasi kolejną awarię. Mail wpada, wygląda sensownie, temat pasuje do dnia i ktoś klika. Dopiero później zaczyna się analiza i pytanie „jak to się stało”.
Przez lata widziałem setki takich przypadków. I prawda jest taka, że w większości tych maili sygnały ostrzegawcze były widoczne. Tylko nikt nie miał czasu ich zauważyć albo nie wiedział, na co konkretnie patrzeć. Poniżej opisuję pięć oznak podejrzanego maila, które w realnych firmach powtarzają się najczęściej i które naprawdę warto umieć rozpoznać.
1. Nadawca wygląda znajomo, ale technicznie coś się nie zgadza
To jest klasyk, ale nadal numer jeden. Mail przychodzi od „szefa”, „księgowości”, „dostawcy IT” albo firmy kurierskiej, z którą faktycznie pracujecie. Nazwa się zgadza, podpis się zgadza, stopka wygląda normalnie. Problem jest w adresie nadawcy.
W MŚP bardzo często nikt nie patrzy na pełny adres e-mail. Widzi tylko nazwę wyświetlaną. Tymczasem adres to np.
jan.kowalski@firma-pl.com zamiast @firma.pl
albo faktury@dhl-support.info zamiast prawdziwej domeny DHL.
W praktyce spotykam też ataki z domen, które różnią się jedną literą albo używają myślników i końcówek typu .info, .site, .online. Dla użytkownika wygląda to poprawnie, bo temat maila pasuje do realnej sytuacji. Faktura, paczka, zmiana numeru konta. Dopiero po incydencie ktoś sprawdza nagłówki.
Dlatego zawsze powtarzam jedno. Jeśli mail prosi o kliknięcie, logowanie albo otwarcie załącznika, adres nadawcy musi się zgadzać w stu procentach. Nie wizualnie, tylko technicznie.
2. Treść pasuje do kontekstu, ale timing jest podejrzanie „idealny”
Najlepsze phishingi nie są losowe. One są osadzone w kontekście firmy. Widziałem maile o fakturach dokładnie w dniu, kiedy firma naprawdę dostaje faktury od dostawcy. Maile o przesyłkach w czasie, gdy handlowcy czekają na paczki. Maile o zmianie hasła chwilę po prawdziwej migracji systemu. A nawet maile z fakturą, wykorzystującą prawdziwą korespondencję z przejętego konta
Właśnie dlatego ludzie klikają. Mail „pasuje do dnia”. Problem w tym, że często jest zbyt idealny. Przychodzi w dziwnej porze, np. późnym wieczorem albo bardzo wcześnie rano. Albo dotyczy procesu, który normalnie ma inny przebieg. Księgowa dostaje fakturę bez wcześniejszego zamówienia. Pracownik dostaje prośbę o szybkie zalogowanie, mimo że nikt wcześniej nie zapowiadał zmian.
W MŚP brakuje procedur, więc ludzie bazują na intuicji. A intuicja w połączeniu z presją czasu to słabe połączenie. Jeśli mail wymusza pośpiech, straszy blokadą konta albo „ostatnią szansą”, to zawsze powinno zapalić lampkę ostrzegawczą.
3. Link prowadzi „gdzieś indziej”, niż sugeruje treść
To jest moment, w którym techniczna wiedza robi ogromną różnicę. W treści maila widzisz link do portalu Microsoft, banku albo systemu HR. Najeżdżasz myszką i nagle widzisz zupełnie inny adres. Albo skrócony link. Albo długą, dziwną strukturę z losowymi znakami.
W realnych incydentach często widzę linki prowadzące do świeżych domen, hostowanych na tanich usługach, które nie mają nic wspólnego z firmą, pod którą atak się podszywa. Użytkownik tego nie widzi, bo strona wygląda identycznie jak oryginał. Logo, kolory, formularz logowania. Hasło znika i po kilku minutach jest używane do logowania gdzie indziej.
Dlatego uczulanie pracowników na sprawdzanie linków ma sens tylko wtedy, gdy pokazuje się im konkretne przykłady. Nie „uważaj na phishing”, tylko „zobacz, tutaj link wygląda tak, a prowadzi tu”.
4. Załącznik jest „zwyczajny”, ale jego forma jest nietypowa
W MŚP wciąż bardzo dużo ataków przychodzi w załącznikach. PDF-y, pliki ZIP, czasem Word albo Excel. Problem polega na tym, że ludzie przyzwyczaili się do ich otwierania. Faktury przychodzą w PDF. Dokumenty w Wordzie. Nic dziwnego.
Sygnał ostrzegawczy pojawia się wtedy, gdy forma załącznika nie pasuje do treści. Faktura w pliku ZIP. Skan dokumentu jako HTML. PDF, który po otwarciu prosi o zalogowanie się do konta Microsoft. To są rzeczy, które w normalnej pracy nie powinny się zdarzać, ale w praktyce zdarzają się codziennie w atakach.
Widziałem firmy, gdzie jedno takie kliknięcie kończyło się przejęciem skrzynki pocztowej, a potem wysyłką phishingu dalej, już z prawdziwego konta pracownika. To jest moment, w którym problem przestaje być „tylko jednym mailem”.
5. Mail łamie wewnętrzne zasady, ale nikt ich nie egzekwuje
To jest punkt, który najczęściej pomijamy, a który robi największą różnicę. W wielu firmach są nieformalne zasady. Księgowość nie zmienia numerów kont mailem. IT nie prosi o hasła. Szef nie każe robić przelewów „na szybko”.
Problem polega na tym, że te zasady istnieją tylko w głowach kilku osób. Nie są spisane, nie są przypominane, nie są testowane. Atakujący to wykorzystują. Podszywają się pod prezesa, proszą o pilny przelew, używają tonu presji i poufności.
Gdy pytam po incydencie „czy ktoś mógł to zweryfikować”, odpowiedź brzmi: teoretycznie tak. W praktyce nikt nie zadzwonił, bo wszyscy byli zajęci.
Dlatego phishing to nie tylko problem maila. To problem procesów i komunikacji w firmie.
Dlaczego małe i średnie firmy są szczególnie podatne
Małe i średnie firmy są w trudnym miejscu. Mają coraz więcej systemów, coraz więcej danych i coraz mniej czasu. Nie mają zespołów SOC, nie mają dedykowanych analityków. Często jedna osoba odpowiada za IT, bezpieczeństwo i jeszcze helpdesk.
Atakujący o tym wiedzą. Wiedzą, że nikt nie analizuje każdego maila. Wiedzą, że MFA nie zawsze jest włączone. Wiedzą, że szkolenia są rzadkie albo symboliczne.
Dlatego edukacja użytkowników i sensowne testy phishingowe są jednym z niewielu narzędzi, które realnie obniżają ryzyko. Pod warunkiem, że są robione z głową, a nie jako jednorazowa akcja.
Co z tym zrobić w praktyce
Z mojego doświadczenia wynika jedno. Nie da się wyeliminować phishingu technicznie w stu procentach. Da się natomiast sprawić, że większość takich maili zostanie zauważona, zgłoszona albo zignorowana.
Działa połączenie trzech rzeczy. Sensownej filtracji poczty, prostych zasad wewnętrznych i regularnych testów, które pokazują ludziom realne przykłady, a nie slajdy. Firmy, które to robią, reagują szybciej i tracą mniej.
Jeśli ktoś chce zacząć, warto najpierw sprawdzić, jak wygląda obecna sytuacja. Ile podejrzanych maili trafia do skrzynek. Czy użytkownicy je zgłaszają. Czy MFA faktycznie chroni konta. Dopiero potem myśleć o kolejnych krokach.
Szukasz szkolenia z cyberbezpieczeństwa dla pracowników?
Pomagamy firmom dbać o cyberbezpieczeństwo. Przeprowadzimy kampanię phishingową i szkolenie dla pracowników
Sprawdź, czy Twoja organizacja jest odporna!
