Poczta e-mail to jedno z najważniejszych narzędzi pracy w firmie. Służy do kontaktu z klientami, kontrahentami, księgowością, bankami, urzędami i pracownikami. Właśnie dlatego jest też jednym z najczęstszych celów cyberprzestępców. Atakujący nie zawsze próbują „włamać się” siłowo do systemu. Często wolą podszyć się pod zaufaną osobę i przekonać pracownika, żeby sam kliknął link, otworzył załącznik albo podał dane logowania.
Tak działa phishing. W firmowej skrzynce może przybrać formę fałszywej faktury, linku do płatności, wiadomości od kuriera, prośby o zalogowanie do Microsoft 365, alertu z Google Workspace, informacji o rzekomo zablokowanym koncie albo polecenia od „prezesa”. Dla pracownika taka wiadomość może wyglądać zwyczajnie, szczególnie jeśli przychodzi w pośpiechu i pasuje do codziennych obowiązków.
Dlatego bezpieczeństwo poczty firmowej nie powinno opierać się wyłącznie na czujności użytkowników. Potrzebne są procedury, konfiguracja zabezpieczeń, MFA, filtrowanie wiadomości, monitoring, szybkie zgłaszanie incydentów i jasna reakcja działu IT.
Czym jest phishing w firmowej poczcie?
Phishing to próba wyłudzenia informacji, pieniędzy lub dostępu do konta przez podszycie się pod zaufaną osobę albo organizację. W firmach najczęściej dotyczy poczty e-mail, ale podobne ataki mogą przyjść także przez SMS, komunikator, Teams, WhatsApp albo formularz kontaktowy.
W praktyce atakujący chce skłonić odbiorcę do działania. Może to być kliknięcie linku, pobranie pliku, wpisanie hasła na fałszywej stronie, zatwierdzenie logowania MFA, przekazanie danych kontrahenta albo wykonanie przelewu.
Dobre bezpieczeństwo poczty firmowej polega na tym, żeby ograniczyć ryzyko na kilku poziomach. Wiadomości powinny być filtrowane, domena firmowa prawidłowo skonfigurowana, konta zabezpieczone, a pracownicy powinni wiedzieć, co zrobić, gdy coś wygląda podejrzanie.
Najczęstsze przykłady phishingu w firmach
1. Fałszywa faktura
To jeden z najprostszych i najskuteczniejszych scenariuszy. Pracownik otrzymuje wiadomość z załącznikiem: „Faktura za usługę”, „Korekta faktury”, „Wezwanie do zapłaty” albo „Zaległa płatność”. Załącznik może zawierać złośliwy plik albo link prowadzący do fałszywej strony logowania.
Taki atak działa, bo faktury są codziennością w większości firm. Jeśli wiadomość wygląda wiarygodnie, pracownik może otworzyć plik automatycznie, bez głębszej analizy.
2. Link do płatności
Atakujący może podszyć się pod operatora płatności, bank, firmę kurierską, platformę sprzedażową albo dostawcę usługi. Wiadomość zwykle zawiera element presji: „dopłać brakującą kwotę”, „potwierdź płatność”, „konto zostanie zablokowane” albo „przesyłka czeka na opłatę”.
W firmie taki link może trafić do księgowości, administracji, działu sprzedaży lub osoby odpowiedzialnej za zamówienia. Dlatego ochrona poczty firmowej powinna obejmować nie tylko zarząd, ale wszystkich użytkowników.
3. Podszywanie się pod kontrahenta
Bardziej zaawansowany phishing może wyglądać jak zwykła korespondencja biznesowa. Przestępca podszywa się pod kontrahenta, zmienia numer konta na fakturze, prosi o przesłanie dokumentów albo kontynuuje wcześniejszy wątek mailowy po przejęciu skrzynki.
To szczególnie groźne, bo wiadomość może nie zawierać złośliwego załącznika ani podejrzanego linku. Celem jest decyzja biznesowa: przelew, zmiana danych, wysłanie plików lub ujawnienie informacji.
4. Fałszywe logowanie do Microsoft 365 lub Google Workspace
Pracownik otrzymuje wiadomość z informacją, że jego konto zostanie zablokowane, skrzynka jest przepełniona, dokument czeka na podpis albo ktoś udostępnił mu plik. Link prowadzi do strony podobnej do panelu logowania Microsoft 365 lub Google Workspace.
Po wpisaniu hasła atakujący może próbować przejąć konto. Jeśli konto nie ma MFA albo użytkownik zatwierdzi nieoczekiwane logowanie, ryzyko rośnie. Dlatego MFA i dobrze skonfigurowane polityki bezpieczeństwa są tak ważne dla bezpieczeństwa poczty firmowej.
5. Wiadomość od „szefa” lub „zarządu”
To atak oparty na autorytecie i presji czasu. Pracownik dostaje maila z poleceniem: „pilnie opłać fakturę”, „kup karty podarunkowe”, „wyślij listę klientów”, „prześlij umowę” albo „nie dzwoń, jestem na spotkaniu”.
Tego typu wiadomości często są krótkie i pozornie naturalne. Ich celem jest ominięcie normalnych procedur. W firmie warto ustalić zasadę, że nietypowe polecenia finansowe lub prośby o poufne dane zawsze wymagają potwierdzenia innym kanałem.
Jak pracownik może rozpoznać podejrzaną wiadomość?
Nie każda podejrzana wiadomość wygląda nieprofesjonalnie. Dzisiejszy phishing bywa poprawny językowo, estetyczny i dopasowany do konkretnej firmy. Mimo to są sygnały, które powinny zapalić czerwoną lampkę.
Warto zwrócić uwagę na adres nadawcy, a nie tylko na wyświetlaną nazwę. „Jan Kowalski” w polu nadawcy nie oznacza jeszcze, że wiadomość rzeczywiście przyszła od Jana Kowalskiego. Trzeba sprawdzić domenę, literówki, dodatkowe znaki i nietypowe rozszerzenia.
Podejrzane są też wiadomości wywierające presję: „natychmiast”, „ostatnie ostrzeżenie”, „konto zostanie zamknięte”, „pilna płatność”. Atakujący często liczą na to, że pracownik zadziała szybko i nie będzie weryfikował szczegółów.
Należy uważać na linki skrócone, nietypowe załączniki, pliki spakowane, dokumenty wymagające włączenia makr, prośby o hasło oraz logowanie do usług z linku w mailu. Bezpieczniejszą praktyką jest wejście na stronę usługi samodzielnie przez przeglądarkę lub zakładkę, a nie przez link z wiadomości.
Co powinien zrobić pracownik po otrzymaniu phishingu?
Najważniejsze: nie klikać, nie pobierać załączników, nie odpowiadać i nie przesyłać dalej wiadomości do przypadkowych osób. Podejrzany mail powinien trafić do działu IT, helpdesku albo osoby odpowiedzialnej za bezpieczeństwo.
Firma powinna mieć prostą procedurę zgłoszenia. Pracownik nie może zastanawiać się, czy ma napisać do przełożonego, informatyka, księgowości czy zarządu. Jeden jasny kanał zgłoszeń bardzo ułatwia reakcję.
Jeśli pracownik kliknął link albo podał hasło, powinien zgłosić to natychmiast. W takich sytuacjach liczy się czas. Dział IT może zablokować konto, wymusić zmianę hasła, wylogować aktywne sesje, sprawdzić reguły pocztowe, przeanalizować logowania i ocenić, czy atak rozprzestrzenił się na innych użytkowników.
Co powinien zrobić dział IT?
1. Sprawdzić wiadomość i jej nagłówki
Dział IT powinien ocenić, skąd wiadomość przyszła, czy przeszła mechanizmy uwierzytelniania, do ilu osób trafiła i czy zawiera linki lub załączniki. W przypadku Microsoft 365 i Google Workspace można korzystać z narzędzi administracyjnych, raportów, kwarantanny i logów.
To ważne, bo pojedyncze zgłoszenie od pracownika może być tylko fragmentem większej kampanii. Jeśli wiadomość trafiła do wielu osób, reakcja musi objąć całą organizację.
2. Usunąć lub odizolować wiadomość
Jeżeli mail jest złośliwy, dział IT powinien usunąć go ze skrzynek użytkowników albo przenieść do kwarantanny, jeśli środowisko to umożliwia. Warto także zablokować nadawcę, domenę, link lub załącznik, ale ostrożnie — tak, aby nie zablokować legalnej komunikacji biznesowej.
3. Sprawdzić, czy ktoś kliknął
Samo wykrycie wiadomości nie wystarczy. Trzeba sprawdzić, czy użytkownicy kliknęli link, pobrali plik, podali hasło albo zatwierdzili logowanie. Jeśli tak, konto należy potraktować jako potencjalnie przejęte.
W praktyce oznacza to reset hasła, wymuszenie ponownego logowania, weryfikację MFA, sprawdzenie aktywnych sesji, reguł przekazywania poczty, nietypowych logowań i dostępu do plików.
4. Zabezpieczyć przejętą skrzynkę
Przejęcie skrzynki firmowej bywa szczególnie groźne. Atakujący może czytać korespondencję, wysyłać wiadomości do kontrahentów, ustawić automatyczne przekazywanie poczty, ukrywać wiadomości w regułach albo przygotować kolejne oszustwo.
Dział IT powinien sprawdzić reguły pocztowe, delegacje, połączone aplikacje, uprawnienia, logowania z nietypowych lokalizacji i historię wysyłki. Po zabezpieczeniu konta warto poinformować osoby, które mogły otrzymać fałszywe wiadomości z przejętej skrzynki.
5. Poprawić konfigurację zabezpieczeń
Każdy incydent powinien kończyć się wnioskiem: co można poprawić? Może brakuje MFA, polityk antyphishingowych, zabezpieczeń przed podszywaniem się pod domenę, ostrzeżeń dla wiadomości zewnętrznych, lepszej konfiguracji SPF, DKIM i DMARC albo procedury zgłaszania podejrzanych wiadomości.
Bezpieczeństwo poczty firmowej wymaga regularnego przeglądu. Ustawienia wdrożone kilka lat temu mogą już nie wystarczać, zwłaszcza jeśli firma urosła, zmieniła sposób pracy albo przeniosła pocztę do chmury.
Microsoft 365 i Google Workspace — co warto skonfigurować?
W Microsoft 365 warto sprawdzić MFA, security defaults lub Conditional Access, polityki antyphishingowe, ochronę przed podszywaniem się pod użytkowników i domeny, kwarantannę, Safe Links, Safe Attachments, alerty bezpieczeństwa oraz raportowanie podejrzanych wiadomości przez użytkowników.
W Google Workspace warto przejrzeć zaawansowaną ochronę przed phishingiem i malware, ustawienia spoofingu i uwierzytelniania, ochronę przed wiadomościami podszywającymi się pod domenę firmy, ostrzeżenia przy nietypowych wiadomościach, reguły routingu, dostęp aplikacji zewnętrznych i konta administratorów.
W obu środowiskach kluczowe są trzy rzeczy: dobrze zabezpieczone konta, prawidłowa konfiguracja domeny oraz szybka widoczność tego, co dzieje się w poczcie. Bez tego bezpieczeństwo poczty firmowej jest trudne do utrzymania.
Rola helpdesku IT i opieki IT
Phishing nie jest tylko problemem technicznym. To także kwestia organizacji pracy. Pracownik musi wiedzieć, gdzie zgłosić podejrzany mail. Helpdesk IT powinien szybko ocenić zgłoszenie, przekazać je dalej, udzielić pracownikowi jasnej informacji i uruchomić procedurę, jeśli wiadomość jest szkodliwa.
Stała opieka IT pomaga utrzymać zabezpieczenia w dobrym stanie. Obejmuje konfigurację poczty, monitoring, aktualizacje, przegląd kont, MFA, backup, wsparcie użytkowników i reagowanie na incydenty. Dla mniejszych firm dobrym rozwiązaniem może być outsourcing IT, czyli zewnętrzny dział IT, który przejmuje odpowiedzialność za utrzymanie i zabezpieczenie środowiska.
Dzięki temu bezpieczeństwo poczty firmowej nie zależy od jednej osoby ani od przypadkowych działań po awarii. Jest częścią stałej obsługi informatycznej.
Praktyczne przykłady dla firm
Biuro rachunkowe otrzymuje fałszywą fakturę z załącznikiem. Pracownik zgłasza wiadomość do helpdesku IT. Dział IT sprawdza, czy podobny mail trafił do innych osób, blokuje nadawcę, analizuje załącznik i przypomina pracownikom, aby nie otwierali plików z nieznanych źródeł.
Kancelaria dostaje wiadomość od „klienta” z linkiem do dokumentów. Link prowadzi do fałszywej strony logowania Microsoft 365. Pracownik nie wpisuje hasła, tylko zgłasza wiadomość. Dział IT potwierdza phishing, blokuje link i sprawdza, czy ktoś inny kliknął.
Firma handlowa otrzymuje maila od kontrahenta z informacją o zmianie numeru konta. Procedura wymaga potwierdzenia telefonicznego na znany wcześniej numer. Dzięki temu firma unika wykonania przelewu na rachunek przestępcy.
Firma produkcyjna zauważa nietypowe logowanie do skrzynki pracownika. Dział IT blokuje konto, resetuje hasło, wymusza ponowną konfigurację MFA i sprawdza reguły pocztowe. Następnie analizuje, czy z konta wysłano wiadomości do klientów lub dostawców.
Najważniejsze wnioski
Phishing w firmowej poczcie może wyglądać bardzo wiarygodnie. Fałszywe faktury, linki do płatności, wiadomości od kontrahentów, fałszywe logowania do Microsoft 365 lub Google Workspace oraz podszywanie się pod zarząd to scenariusze, które powinny być znane pracownikom.
Samo szkolenie nie wystarczy. Bezpieczeństwo poczty firmowej wymaga połączenia kilku elementów: MFA, dobrej konfiguracji poczty, filtrów antyphishingowych, SPF, DKIM, DMARC, monitoringu, procedury zgłaszania i szybkiej reakcji działu IT.
Im prostsza procedura, tym większa szansa, że pracownik zgłosi podejrzaną wiadomość zanim dojdzie do szkody.
Podsumowanie
Bezpieczeństwo poczty firmowej powinno być jednym z podstawowych obszarów opieki IT. Poczta jest codziennym narzędziem pracy, ale też miejscem, przez które atakujący mogą próbować przejąć konto, wyłudzić pieniądze, uzyskać dostęp do dokumentów albo podszyć się pod firmę w kontakcie z klientami.
Dobra ochrona nie polega na jednym ustawieniu. To proces: konfiguracja Microsoft 365 lub Google Workspace, MFA, polityki antyphishingowe, monitoring, backup, edukacja pracowników, szybki helpdesk IT i regularny audyt ustawień.
Jeżeli chcesz sprawdzić, czy poczta w Twojej firmie jest dobrze zabezpieczona, Exabytes może pomóc w audycie konfiguracji, wdrożeniu MFA, poprawie zabezpieczeń Microsoft 365 lub Google Workspace, monitoringu, backupie oraz stałej opiece IT. To dobry krok, aby ograniczyć ryzyko phishingu i uporządkować bezpieczeństwo komunikacji firmowej.