Phishing to wciąż najczęstszy początek poważnego incydentu w firmie. Nie dlatego, że jest wyrafinowany technicznie, tylko dlatego, że celuje w człowieka w pośpiechu. W sprawach, które prowadzę, atak prawie nigdy nie zaczyna się od złamania serwera. Zaczyna się od maila, który ktoś otworzył między jednym spotkaniem a drugim. Dobra wiadomość jest taka, że rozpoznawania phishingu można nauczyć każdego, a nie tylko działu IT.

Czym właściwie jest phishing

Phishing to próba nakłonienia Cię do zrobienia czegoś szkodliwego pod wpływem pozornie wiarygodnej wiadomości. Najczęściej chodzi o trzy rzeczy: podanie hasła na podstawionej stronie, otwarcie złośliwego załącznika albo wykonanie przelewu na cudze konto. Wariantów jest kilka i warto znać nazwy.

  • Phishing masowy. Tysiące identycznych maili, zwykle udających bank, kuriera albo dostawcę poczty.
  • Spear phishing. Wiadomość przygotowana pod konkretną osobę, z jej imieniem, stanowiskiem i realnym kontekstem.
  • BEC, czyli oszustwo na prezesa. Mail rzekomo od zarządu z prośbą o pilny przelew albo zmianę numeru konta kontrahenta.
  • Smishing i vishing. To samo, tylko przez SMS lub telefon.

Po czym poznać podejrzany mail

Nie ma jednego znaku ostrzegawczego, jest za to zestaw sygnałów. Im więcej ich naraz, tym większe ryzyko.

  1. Presja czasu i emocje. Konto zostanie zablokowane, faktura przeterminowana, pilny przelew jeszcze dziś. Pośpiech to najczęstsze narzędzie oszusta.
  2. Adres nadawcy, nie tylko nazwa. Wyświetlana nazwa może brzmieć znajomo, ale prawdziwy adres bywa z obcej domeny albo z literówką, na przykład firma zamieniona na flrma.
  3. Linki, które prowadzą gdzie indziej. Najedź kursorem na link bez klikania i sprawdź, dokąd naprawdę prowadzi. Skrócone linki i dziwne domeny to sygnał ostrzegawczy.
  4. Załączniki, których się nie spodziewasz. Faktura w pliku z makrami, rzekomy dokument w archiwum zip, plik z podwójnym rozszerzeniem.
  5. Prośba o dane, których nikt normalnie nie wymaga mailem. Hasło, kod z aplikacji, pełne dane karty.
  6. Drobne błędy. Dziwna polszczyzna, logo w złej rozdzielczości, nietypowa stopka.

W większości spraw ofiara po fakcie mówi to samo: coś mi nie pasowało, ale byłem w biegu. Odruch zatrzymania się na trzy sekundy chroni lepiej niż niejeden system.

Konkretny test w trzy sekundy

Zanim ktoś kliknie, warto, żeby zadał sobie trzy pytania.

  • Czy spodziewałem się tej wiadomości od tej osoby.
  • Czy prośba jest normalna, czy coś każe mi działać natychmiast.
  • Czy adres nadawcy i link zgadzają się z tym, co znam.

Jeśli którakolwiek odpowiedź budzi wątpliwość, zasada jest jedna: nie klikaj, tylko zweryfikuj innym kanałem. Zadzwoń do kontrahenta na znany numer, a nie ten z maila. Przy prośbie o przelew albo zmianę konta ta jedna rozmowa telefoniczna potrafi uratować kilkadziesiąt tysięcy złotych.

Jak nauczyć tego zespół

Pojedyncze szkolenie raz w roku nie działa. Odruch buduje się powtarzalnie i w praktyce.

  • Krótkie, konkretne szkolenia oparte o realne przykłady z Twojej branży, a nie ogólniki. Ludzie zapamiętują historie, nie definicje.
  • Kontrolowane kampanie testowe. Wysyłasz zespołowi bezpieczny, symulowany phishing i sprawdzasz, kto kliknął. Nie po to, żeby karać, tylko żeby wiedzieć, gdzie douczyć.
  • Prosta ścieżka zgłaszania. Jeden przycisk albo jeden adres, na który każdy może przesłać podejrzaną wiadomość bez obawy, że wyjdzie na naiwnego.
  • Kultura bez wstydu. Pracownik, który zgłasza swój błąd od razu, jest wart więcej niż taki, który ukrywa klik przez dwa dni. Reakcja w pierwszej godzinie zmienia wszystko.

Ten obszar warto poukładać systemowo. Regularne szkolenia security awareness z symulacjami dają mierzalny spadek liczby kliknięć w kolejnych miesiącach, co widać w raportach.

Warstwa techniczna, która łapie to, co przeoczy człowiek

Świadomy zespół to podstawa, ale nie zostawiaj go samego. Kilka mechanizmów zdejmuje ryzyko, zanim mail w ogóle dotrze albo zanim klik zaszkodzi.

  • Filtrowanie DNS, które blokuje połączenia do znanych złośliwych domen. Nawet jeśli ktoś kliknie, strona po prostu się nie otworzy. To rola filtrowania DNS.
  • Filtr antyspamowy i sprawdzanie linków w momencie kliknięcia, a nie tylko przy dostarczeniu.
  • MFA na kontach, dzięki czemu samo wyłudzone hasło nie wystarczy do zalogowania.
  • Ograniczenie makr w dokumentach z internetu, bo to klasyczny nośnik złośliwego kodu.

Człowiek i technika grają w jednej drużynie. Filtry zmniejszają liczbę prób, a przeszkolony zespół wyłapuje to, co się przez nie przeciśnie.

Od czego zacząć

Jeśli chcesz wymiernie obniżyć ryzyko phishingu, kolejność jest prosta. Zacznij od włączenia MFA i filtrowania DNS, potem uruchom krótkie szkolenie z prawdziwymi przykładami, a na końcu wprowadź cykliczne testy i łatwy sposób zgłaszania. To nie jest projekt na rok, tylko na kilka tygodni.

Jeśli chcesz zbudować w zespole trwały odruch i domknąć go warstwą techniczną, pomożemy zaplanować całość pod Twoją firmę. Zacznij od rozmowy o tym, jak dziś wyglądają wasze maile i gdzie jest największe ryzyko.