Przejęta skrzynka z prawdziwej domeny. Dlaczego phishing od „zaufanego nadawcy" jest tak groźny?
Oszustwa z dziwnych domen coraz rzadziej omijają współczesne filtry antyspamowe. Przestępcy zmieniają więc taktykę - przejmują autentyczne konta pracowników i atakują organizację od środka. Kiedy groźna wiadomość przychodzi od dobrze znanej księgowej, standardowe szkolenia załogi mogą nie wystarczyć. Zobacz, czego warto się wystrzegać.
Dlaczego przejęta skrzynka jest groźniejsza niż zwykły phishing?
Jeśli intruzowi uda włamać się do skrzynki pocztowej, od razu analizuje on historię korespondencji, aby następnie dołączyć do trwających już konwersacji (tzw. Business Email Compromise). Odbiorca w pełni ufa takiej wiadomości, bo przecież zgadza się nazwisko, domena i cały kontekst rozmowy. Skoro oszust podsyła fałszywą fakturę w samym środku dyskusji o nowym projekcie, pracownik po prostu zleca przelew.
Zagrożenie to doskonale widać na przykładzie Politechniki Białostockiej. W kwietniu 2026 roku przestępcy włamali się tam do dwóch służbowych skrzynek, a uzyskanego dostępu użyli do masowego rozsyłania phishingu. Skala problemu zmusiła władze uczelni do natychmiastowego zgłoszenia incydentu do CERT Polska oraz UODO.
Czytaj więcej: Jak wyglądają testy socjotechniczne?
Jakie dane mogą znajdować się w firmowej poczcie?
Dostęp do konta pracownika pozwala poznać najważniejsze informacje o firmie. Ponieważ poczta codziennie przetwarza dziesiątki umów i faktur, włamywacz od razu zyskuje gotowy materiał do szantażu. Czerpie stamtąd również dokładne dane ułatwiające uwiarygodnienie kolejnych oszustw.
Nawet wyciek samej firmowej książki adresowej często ściąga na biznes ogromny kryzys wizerunkowy. Podobna sytuacja miała miejsce podczas ataku na Cyfrowy Polsat w 2026 roku. Choć same loginy i hasła abonentów pozostały tam bezpieczne, niepowołane osoby zdobyły między innymi numery PESEL oraz dane z dokumentów tożsamości.
Dowiedz się więcej: Czym są incydenty naruszenia cyberbezpieczeństwa? Gdzie je zgłaszać?
Co sprawdzić po podejrzeniu włamania do poczty?
Im później firma zareaguje na incydent bezpieczeństwa, tym większa może być ostateczna skala strat. Ponieważ intruz zwykle natychmiast zaciera po sobie ślady w folderze wysłanych elementów, trzeba szukać dowodów jego obecności w warstwie technicznej
Badając logi platformy Microsoft 365, w pierwszej kolejności zweryfikuj:
- logowania i geolokalizację - sprawdź udane logowania z nietypowych miejsc w dziwnych porach;
- reguły poczty - poszukaj nowo dodanych poleceń ukrywających przychodzące wiadomości w koszu lub nieznanych folderach;
- przekierowania - upewnij się, że intruz włączył automatyczny transfer korespondencji na własne, zewnętrzne adresy;
- sesje i aplikacje OAuth - zablokuj wszystkie dziwne urządzenia i odepnij autoryzacje nieznanych wtyczek.
Dlaczego samo MFA już nie wystarcza, by chronić firmę?
Chociaż MFA skutecznie chroni przed prostym łamaniem haseł, profesjonalni oszuści potrafią ukraść całą aktywną sesję. Używają do tego złośliwych programów typu infostealer, które po cichu pobierają ciasteczka logowania z przeglądarki ofiary. Mając taki plik, intruz może wejść na konto bez podawania jakiegokolwiek kodu jednorazowego. Co gorsza, że wycieki takich poświadczeń bywają groźne dla firm nawet wiele lat po pierwotnej infekcji - podkreślają to eksperci CyberDefence24.
Właśnie dlatego tradycyjne kody z SMS-ów trzeba zastąpić bardziej niezawodnymi rozwiązaniami. Bezpieczeństwo konta faktycznie podnoszą dopiero fizyczne klucze sprzętowe (U2F/passkeys), które są odporne na wyłudzanie sesji. Warto połączyć je z restrykcyjnymi regułami dostępu warunkowego i ciągłym monitorowaniem zachowań użytkowników.
Czytaj więcej: Czym jest phishing? Jak chronić siebie i swoją firmę przed cyberoszustwami?
Jak SOC i SIRP skracają czas reakcji przy przejęciu skrzynki?
Żaden wewnętrzny dział IT nie jest w stanie ręcznie analizować milionów logów ze wszystkich firmowych systemów. Z tego zadania o wiele lepiej wywiązuje się usługa Security Operations Center (SOC). Jeśli z konta dyrektora finansowego nagle wychodzi tysiąc maili w środku nocy, monitoring natychmiast wyłapie taką anomalię i podniesie alarm. Chwilę później zadziałają platformy SIRP, automatycznie kategoryzując alerty i podpowiadając analitykom konkretne kroki naprawcze. A gdy administrator wie, co robić, od razu blokuje przejęte konto.
Jednak utrzymanie własnego działu SOC bywa zbyt kosztowne dla większości biznesów. Rozwiązaniem jest tu zewnętrzny monitoring środowiska - EXEA dostarcza kompleksowe usługi bezpieczeństwa, w których analitycy wspierają się systemami reagowania, by błyskawicznie obsługiwać incydenty w chmurze M365.
Gdy oszust wysyła wiadomości z autentycznego konta, filtry antyspamowe ich nie blokują, a przejęta skrzynka błyskawicznie staje się narzędziem do wyłudzania kolejnych środków. Dlatego trzeba stale nadzorować środowisko chmurowe. Jak ubiec przestępców i zablokować ich działania na wczesnym etapie ataku? Wdróż klucze U2F, stale monitoruj logowania i natychmiast zrywaj podejrzane sesje.
Sprawdź, czy w Twojej organizacji ktoś zauważy przejętą skrzynkę, zanim stanie się narzędziem do kolejnych ataków.
