Udany atak phishingowy należy traktować jak incydent bezpieczeństwa, a nie pojedynczy błąd użytkownika. Kliknięcie w link, podanie hasła, zatwierdzenie MFA lub uruchomienie załącznika może prowadzić do przejęcia konta, wycieku danych, fraudu finansowego albo dalszej kompromitacji środowiska IT.
Phishing jest skuteczny, ponieważ wykorzystuje zaufanie, presję czasu i rutynę. Wiadomość wygląda jak służbowa, bankowa, urzędowa lub logistyczna, dlatego pytanie „otworzyłem podejrzanego maila, co teraz?” nie powinno być rozstrzygane intuicyjnie. Organizacja powinna mieć proces, który pozwala szybko ustalić, co się wydarzyło, ograniczyć skutki i zabezpieczyć dowody.
ENISA wskazuje phishing jako jeden z kluczowych wektorów początkowej intruzji. W praktyce oznacza to, że e-mail, SMS lub komunikat podszywający się pod zaufany podmiot może być pierwszym etapem kradzieży poświadczeń, przejęcia sesji, instalacji malware albo ataku na kolejne osoby w organizacji.
Czym jest phishing i na czym polega?
Czym jest phishing? To atak socjotechniczny, w którym przestępca podszywa się pod zaufaną osobę, firmę, instytucję lub system, aby skłonić odbiorcę do określonego działania: kliknięcia linku, wpisania danych logowania, pobrania pliku, zatwierdzenia MFA, przekazania danych finansowych albo wykonania przelewu.
Na czym polega phishing w praktyce? Na manipulacji zaufaniem. Atakujący tworzy sytuację, która wygląda pilnie i wiarygodnie: zmianę rachunku kontrahenta, wygasające konto, fakturę do opłacenia, dokument od klienta albo dopłatę do przesyłki.
Phishing – przykłady realnych ataków
Phishing może przyjmować różne formy: fałszywe wiadomości e-mail, spreparowane faktury, strony logowania, fałszywe wiadomości SMS oraz komunikaty podszywające się pod banki, firmy kurierskie lub dostawców usług. Współczesne kampanie często są przygotowane starannie: zawierają poprawny język, logo znanych marek, realistyczne stopki i odniesienia do rzeczywistych procesów biznesowych.
Typowe przykłady phishingu to e-mail od „działu IT” z prośbą o zmianę hasła, wiadomość z załącznikiem udającym fakturę albo SMS o rzekomej blokadzie konta. Podejrzane smsy zwykle wykorzystują presję czasu: „konto zostanie zablokowane”, „przesyłka wstrzymana”, „potwierdź dane”. Link prowadzi do fałszywej strony logowania, płatności lub formularza wyłudzającego dane.
Dlaczego szybka reakcja jest kluczowa?
Po przejęciu danych logowania atakujący może szybko zalogować się do poczty, przejrzeć korespondencję, wyszukać faktury, zmienić reguły przekierowania, pobrać pliki lub wysłać kolejne wiadomości do kontaktów.
Reakcja powinna rozpocząć się od ograniczenia zasięgu incydentu i kwalifikacji zdarzenia. Trzeba ustalić, czy użytkownik jedynie otworzył wiadomość, kliknął link, podał dane, zatwierdził MFA albo uruchomił załącznik. Należy też sprawdzić, czy wystąpiła nietypowa aktywność: logowanie z nieznanej lokalizacji, wysyłka wiadomości, zmiana reguł pocztowych lub dostęp do zasobów firmowych.
Sama zmiana hasła nie wystarczy. Atakujący może mieć aktywną sesję, token dostępowy, dostęp przez aplikację OAuth albo dodaną własną metodę MFA.
Procedura po udanym ataku phishingowym
Pierwszym krokiem jest ustalenie, co dokładnie się wydarzyło. Użytkownik nie powinien usuwać wiadomości, czyścić historii przeglądarki, restartować komputera ani samodzielnie „naprawiać” problemu. Zespół IT powinien ustalić, kiedy wiadomość została otwarta, czy kliknięto link, podano dane, zaakceptowano MFA albo uruchomiono plik.
Drugim krokiem jest zabezpieczenie dowodów. Kluczowe znaczenie mają: oryginalna wiadomość e-mail, pełne nagłówki, adresy URL, załączniki, czas otrzymania wiadomości, czas kliknięcia i logi systemowe. Jeżeli incydent dotyczył SMS-a, należy zachować treść wiadomości, numer nadawcy, link oraz godzinę otrzymania. Dopiero po zabezpieczeniu materiału dowodowego należy usuwać wiadomości ze skrzynek i blokować linki.
Trzecim krokiem jest izolacja urządzenia, jeżeli użytkownik uruchomił załącznik. Endpoint należy wtedy traktować jako potencjalnie skompromitowany. Komputer powinien zostać odłączony od sieci, ale nie zawsze od razu wyłączony, ponieważ w analizie forensic ważne mogą być dane z pamięci operacyjnej, aktywne procesy i połączenia.
Czwartym krokiem jest zabezpieczenie konta i sesji. Jeżeli użytkownik podał login i hasło, konto należy uznać za skompromitowane. Trzeba wymusić wylogowanie ze wszystkich sesji, unieważnić tokeny, zmienić hasło, sprawdzić ostatnie logowania i zweryfikować metody MFA. Szczególną uwagę należy zwrócić na nowe urządzenia, nietypowe lokalizacje oraz dodane numery telefonów, aplikacje uwierzytelniające lub klucze bezpieczeństwa.
Piątym krokiem jest analiza skrzynki pocztowej. Przejęta poczta zawiera faktury, dane klientów, dokumenty i kontakty biznesowe. Należy sprawdzić, czy nie utworzono reguł przekazywania, usuwania lub ukrywania wiadomości. Trzeba też przeanalizować wiadomości wysłane z konta użytkownika, ponieważ mogły posłużyć do ataku na kolejne osoby.
Szóstym krokiem jest sprawdzenie zasięgu kampanii. Phishing rzadko trafia tylko do jednej osoby. Warto wyszukać podobne wiadomości w całym środowisku pocztowym po temacie, nadawcy, domenie, linkach, załącznikach i fragmentach treści. Po potwierdzeniu złośliwego charakteru wiadomości można przenieść ją do kwarantanny, zablokować domeny i dodać wskaźniki kompromitacji do narzędzi bezpieczeństwa.
Siódmym krokiem jest ocena wpływu na dane i systemy. Trzeba ustalić, do czego atakujący mógł uzyskać dostęp: poczty, plików, aplikacji chmurowych, VPN, repozytoriów dokumentów, CRM lub systemów finansowych. Jeżeli incydent obejmuje dane osobowe, konieczna jest ocena pod kątem RODO.
Zgłoszenie incydentu, KSC/NIS2 i CERT Polska
Zgłoszenie incydentu powinno być częścią procesu reagowania, a nie czynnością wykonywaną dopiero po zakończeniu analizy. Wewnętrznie zdarzenie powinno trafić do IT, SOC, administratora bezpieczeństwa, IOD lub osoby odpowiedzialnej za incydenty.
Nie każdy phishing oznacza obowiązek formalnego raportowania. Samo otrzymanie fałszywej wiadomości, która została zablokowana albo nie wywołała skutków, zwykle będzie zdarzeniem obsługiwanym operacyjnie. Inaczej należy ocenić sytuację, w której doszło do przejęcia konta, uruchomienia malware, nieautoryzowanego dostępu do systemów, wycieku danych, strat finansowych albo zakłócenia świadczenia usług.
W organizacjach objętych ustawą o krajowym systemie cyberbezpieczeństwa oraz NIS2 skuteczny phishing powinien zostać oceniony pod kątem incydentu poważnego lub znaczącego. Jeżeli zdarzenie spełnia te kryteria, organizacja powinna uruchomić właściwą ścieżkę raportowania, w tym wczesne ostrzeżenie, zgłoszenie incydentu oraz raport końcowy zgodnie z obowiązującymi terminami.
Równolegle trzeba odróżnić zgłoszenie zagrożenia od obowiązku regulacyjnego. Gdzie zgłaszać podejrzane maile?Podejrzane wiadomości e-mail i strony można zgłaszać do CERT Polska, a podejrzane SMS-y przekazywać na numer 8080. Takie zgłoszenie pomaga blokować złośliwe domeny, ale nie zastępuje obowiązków wynikających z KSC/NIS2 ani ewentualnego zgłoszenia naruszenia danych osobowych do UODO.
Przywrócenie działania i wnioski
Dostęp użytkownika można przywrócić dopiero po zabezpieczeniu konta, sesji, MFA, skrzynki i urządzenia. Jeżeli endpoint był potencjalnie zainfekowany, nie powinien wracać do pracy bez analizy i potwierdzenia, że jest bezpieczny. Przez kolejne dni warto monitorować konto pod kątem nietypowych logowań, prób resetu hasła, zmian ustawień poczty, masowej wysyłki i dostępu do nietypowych zasobów. Każdy potwierdzony atak phishingowy powinien zostać udokumentowany. Raport powinien pozwalać odtworzyć przebieg zdarzenia, podjęte działania, wpływ na organizację i decyzje dotyczące zgłoszeń zewnętrznych. Po incydencie warto ustalić, dlaczego wiadomość dotarła do użytkownika czy systemy pocztowe zadziałały prawidłowo, czy MFA było wystarczająco odporne i czy pracownik znał kanał zgłaszania.
