Wielu właścicieli firm wyobraża sobie cyberatak jako spektakularne włamanie: haker przełamuje zabezpieczenia, omija zaporę, instaluje wirusa i „wchodzi” do firmowej sieci. W praktyce coraz częściej wygląda to znacznie ciszej.
Ktoś po prostu loguje się na prawdziwe konto pracownika.
Bez alarmu. Bez wybijania cyfrowych drzwi. Bez skomplikowanego ataku na serwer. Wystarczy login i hasło, które wyciekło, zostało odgadnięte, wyłudzone przez phishing albo użyte ponownie w kilku miejscach.
Microsoft w raporcie Digital Defense Report 2025 wskazuje, że 97% ataków na tożsamość stanowiły ataki typu password spray, czyli próby logowania popularnymi hasłami na wiele kont jednocześnie. To dobrze pokazuje, że problem słabych i powtarzanych haseł wciąż jest bardzo aktualny.
Dlaczego hasło stało się tak cennym celem?
Hasło jest dziś często kluczem do całej firmy. Jedno konto pracownika może dawać dostęp do poczty, dokumentów, faktur, kalendarzy, systemów księgowych, CRM, dysku w chmurze, panelu administracyjnego strony internetowej albo VPN.
Dla cyberprzestępcy to wygodne. Nie musi od razu przełamywać zaawansowanych zabezpieczeń. Może spróbować zdobyć dane logowania i wejść tak, jak zwykły użytkownik.
Problem polega na tym, że z perspektywy systemu takie logowanie może wyglądać normalnie. Przecież ktoś podał poprawny login i poprawne hasło. Dopiero szczegóły zdradzają, że coś jest nie tak: nietypowa lokalizacja, dziwna godzina, logowanie z nowego urządzenia, masowe próby dostępu albo nagłe pobieranie dużej liczby plików.
Verizon w raporcie 2025 Data Breach Investigations Report podał, że nadużycie danych logowania było jednym z głównych początkowych wektorów naruszeń i odpowiadało za 22% przypadków analizowanych w raporcie.
Skąd przestępcy biorą firmowe hasła?
Najczęściej nie dzieje się to w jeden magiczny sposób. Dane logowania mogą trafić w ręce atakujących kilkoma drogami.
Pierwsza to phishing. Pracownik dostaje wiadomość wyglądającą jak komunikat od Microsoft 365, banku, kuriera, dostawcy hostingu albo firmowego systemu. Kliknięcie prowadzi do fałszywej strony logowania. Użytkownik wpisuje dane, a przestępca przejmuje login i hasło.
Druga droga to ponowne używanie haseł. Jeżeli pracownik używa tego samego hasła w sklepie internetowym, prywatnej poczcie i firmowym koncie, wyciek z jednego miejsca może stać się problemem całej firmy.
Trzecia to złośliwe oprogramowanie, które wykrada zapisane hasła z przeglądarki, menedżerów haseł słabej jakości albo plików przechowywanych na komputerze.
Czwarta to zgadywanie popularnych haseł. I tu pojawia się właśnie password spraying.
Password spraying, czyli atak „na popularne hasło”
Password spraying różni się od klasycznego zgadywania hasła. Atakujący nie próbuje stu haseł do jednego konta, bo wtedy konto szybko zostałoby zablokowane. Zamiast tego bierze jedno popularne hasło i sprawdza je na wielu kontach.
Przykład? Atakujący może próbować haseł w stylu „Firma2026!”, „Wiosna2026!”, „Haslo123!” albo innych przewidywalnych kombinacji. Jeśli w firmie ktoś używa prostego schematu, ryzyko rośnie.
OWASP opisuje password spraying jako odmianę ataku brute force, w której jedno hasło jest testowane na wielu kontach, aby ominąć typowe blokady uruchamiane po wielu błędnych próbach logowania na jednym użytkowniku.
Dla małej firmy to szczególnie niebezpieczne, bo często wszystkie adresy e-mail pracowników są łatwe do znalezienia: na stronie internetowej, w stopkach mailowych, w LinkedIn, w KRS, w ofertach pracy albo w dokumentach PDF. Jeżeli lista kont jest publiczna, atakujący musi już tylko sprawdzić, czy ktoś używa słabego hasła.
„Ale my nie jesteśmy dużą firmą”
To jedno z najczęstszych i najbardziej ryzykownych założeń. Cyberprzestępcy nie zawsze wybierają cel ręcznie. Wiele ataków jest masowych i zautomatyzowanych. Systemy przestępców skanują internet, sprawdzają logowania, wysyłają phishing i testują dane z wycieków.
Mała firma może być atrakcyjna, bo często ma:
- słabsze procedury bezpieczeństwa,
- brak MFA na wszystkich kontach,
- nieaktualne systemy,
- hasła współdzielone między pracownikami,
- pocztę bez dobrej ochrony antyphishingowej,
- brak stałego monitoringu logowań.
Z punktu widzenia przestępcy nie zawsze chodzi o wielką korporację. Czasem wystarczy przejęcie poczty firmowej, aby podszyć się pod pracownika, wysłać fałszywą fakturę, zmienić numer konta bankowego w korespondencji albo uzyskać dostęp do danych klientów.
Polskie dane również pokazują skalę problemu. Według informacji opublikowanych w serwisie gov.pl na podstawie raportu CERT Polska za 2024 rok, najczęściej zgłaszanym incydentem był phishing, a oszustwa komputerowe stanowiły 94,7% wszystkich zgłoszonych incydentów. W tej kategorii odnotowano 40 120 incydentów phishingowych.
Co może się stać po przejęciu jednego konta?
Przejęcie jednego konta nie zawsze kończy się od razu katastrofą. Czasem atakujący przez jakiś czas tylko obserwuje.
Może czytać korespondencję, sprawdzać, z kim firma współpracuje, jakie faktury wysyła, kto zatwierdza przelewy i kiedy właściciel jest poza biurem. Taka wiedza pozwala przygotować bardzo wiarygodne oszustwo.
Przykład praktyczny:
Przestępca przejmuje konto e-mail pracownika działu administracji. Przez kilka dni analizuje korespondencję. Następnie wysyła do kontrahenta wiadomość z informacją, że „zmienił się numer rachunku do płatności”. Wiadomość wygląda wiarygodnie, bo wychodzi z prawdziwej skrzynki. Kontrahent płaci fakturę, ale pieniądze trafiają na konto oszusta.
Inny scenariusz:
Atakujący przejmuje konto użytkownika Microsoft 365. Ustawia automatyczne przekazywanie poczty na zewnętrzny adres, pobiera pliki z OneDrive lub SharePoint, a następnie próbuje zalogować się do kolejnych usług. Jeżeli hasło było używane w kilku miejscach, atak rozszerza się bardzo szybko.
Samo hasło już nie wystarcza
Dobre hasło nadal jest ważne, ale nie powinno być jedynym zabezpieczeniem. W firmach standardem powinno być MFA, czyli uwierzytelnianie wieloskładnikowe.
MFA oznacza, że do zalogowania nie wystarczy samo hasło. Potrzebny jest jeszcze drugi element, na przykład aplikacja uwierzytelniająca, klucz sprzętowy, kod lub potwierdzenie na zaufanym urządzeniu.
Microsoft podaje, że MFA może blokować ponad 99,2% ataków opartych na tożsamości, a w usługach Microsoft Entra zabezpieczenia domyślne obejmują m.in. wymuszanie rejestracji MFA i ochronę przed typowymi atakami, takimi jak password spray, replay czy phishing.
Warto jednak pamiętać, że nie każde MFA daje taki sam poziom ochrony. Kody SMS są lepsze niż brak drugiego składnika, ale w wielu firmach warto rozważyć mocniejsze rozwiązania: aplikację z potwierdzaniem numeru, klucze FIDO2, passkeys, Windows Hello for Business albo polityki dostępu warunkowego.
Microsoft zwraca uwagę, że tradycyjne metody MFA mogą być atakowane przez phishing w czasie rzeczywistym, przechwytywanie tokenów lub techniki typu adversary-in-the-middle, dlatego dla kont uprzywilejowanych zaleca się metody odporne na phishing, takie jak FIDO2, Windows Hello for Business czy uwierzytelnianie certyfikatowe.
Najczęstsze błędy firm w zarządzaniu hasłami
Największy problem nie polega tylko na tym, że hasła są słabe. Problemem jest brak kontroli nad tym, gdzie są używane, kto je zna i czy można zauważyć podejrzane logowanie.
W wielu firmach nadal spotyka się kilka typowych błędów:
- jedno wspólne hasło do kilku usług,
- hasła zapisane w pliku Excel albo na kartce,
- brak MFA na poczcie firmowej,
- brak osobnych kont administracyjnych,
- nieusuwanie kont byłych pracowników,
- brak alertów o podejrzanych logowaniach,
- używanie tego samego hasła prywatnie i służbowo,
- brak menedżera haseł,
- brak procedury reakcji po podejrzeniu przejęcia konta.
Najgroźniejsze są konta administracyjne. Jeśli atakujący przejmie zwykłe konto, może wyrządzić szkody. Jeśli przejmie konto administratora, może zmieniać konfigurację, tworzyć nowe konta, wyłączać zabezpieczenia, modyfikować reguły poczty i utrzymywać dostęp przez długi czas.
Jak firma może się zabezpieczyć?
Nie trzeba od razu wdrażać skomplikowanych systemów klasy korporacyjnej. W wielu firmach największą poprawę bezpieczeństwa daje uporządkowanie podstaw.
Po pierwsze, każde konto powinno mieć unikalne hasło. Pracownicy nie powinni używać tego samego hasła w kilku systemach.
Po drugie, warto wdrożyć menedżer haseł. Dobre narzędzie pozwala tworzyć długie, losowe hasła bez konieczności ich zapamiętywania.
Po trzecie, MFA powinno być włączone przynajmniej dla poczty, Microsoft 365 lub Google Workspace, VPN, paneli administracyjnych, systemów księgowych, CRM i kont administratorów.
Po czwarte, trzeba usuwać lub blokować konta osób, które już nie pracują w firmie. To proste działanie, ale często pomijane.
Po piąte, warto monitorować logowania. Podejrzane próby dostępu z nietypowych lokalizacji, wiele błędnych logowań, logowania w nocy albo zmiany reguł poczty powinny być sygnałem alarmowym.
Po szóste, trzeba szkolić pracowników, ale bez straszenia. Pracownik powinien wiedzieć, że podejrzany e-mail, dziwny link do logowania albo nietypowa prośba o pilny przelew to nie „problem informatyka”, tylko realne ryzyko biznesowe.
Krótka lista kontrolna dla firmy
Warto zadać sobie kilka prostych pytań:
Czy wszystkie konta pocztowe mają włączone MFA?
Czy administratorzy używają osobnych kont do pracy administracyjnej?
Czy firma wie, gdzie są konta byłych pracowników?
Czy hasła są unikalne i przechowywane w bezpieczny sposób?
Czy ktoś monitoruje podejrzane logowania?
Czy pracownicy wiedzą, jak rozpoznać fałszywą stronę logowania?
Czy po kliknięciu w podejrzany link pracownik wie, komu to zgłosić?
Jeśli na kilka z tych pytań odpowiedź brzmi „nie wiem”, to dobry moment, aby zrobić przegląd bezpieczeństwa kont i poczty.
Najważniejsze wnioski
Hasło nie jest już tylko prywatną sprawą pracownika. W firmie hasło jest elementem bezpieczeństwa całej organizacji.
Największe ryzyko polega na tym, że atakujący nie musi wyglądać jak włamywacz. Może wyglądać jak prawidłowo zalogowany użytkownik.
Phishing, password spraying i ponowne używanie haseł to praktyczne, codzienne zagrożenia, które dotyczą także małych i średnich firm.
MFA znacząco podnosi poziom bezpieczeństwa, ale powinno być wdrożone rozsądnie: szczególnie na poczcie, kontach administracyjnych, VPN i systemach z danymi firmowymi.
Ochrona kont to nie jednorazowa konfiguracja. To stały proces: polityki haseł, monitoring, aktualizacja uprawnień, reakcja na incydenty i edukacja pracowników.