Jak rozpoznać phishing w e-mailach? Czym jest i jak się bronić

Jak rozpoznać phishing w e-mailach? Czym jest i jak się bronić

Pracownik dostaje e-mail od „prezesa firmy" z prośbą o pilny przelew na nowe konto. Księgowa odbiera wiadomość od „dostawcy" z zaktualizowanymi danymi bankowymi. Informatyk klikał link w mailu od „Microsoft" i zalogował się na fałszywej stronie. Phishing e-mailowy jest przyczyną większości udanych cyberataków na firmy  i nie wymaga zaawansowanej wiedzy technicznej ze strony atakującego. Wymaga natomiast jednego kliknięcia od ofiary.

Ten poradnik pokazuje, jak rozpoznawać phishing od oczywistych sygnałów, które każdy powinien znać, po zaawansowane techniki identyfikacji, które można zastosować bez specjalistycznej wiedzy.

Czym jest phishing i dlaczego jest tak skuteczny?

Phishing to atak socjotechniczny, w którym atakujący podszywa się pod zaufany podmiot np. bank, dostawcę usług, przełożonego, partnera biznesowego, żeby skłonić ofiarę do wykonania działania: kliknięcia linku, podania hasła, otwarcia załącznika lub wykonania przelewu.

Skuteczność phishingu wynika z kilku mechanizmów psychologicznych:

• Pilność — „Twoje konto zostanie zablokowane w ciągu 24 godzin". Presja czasu wyłącza krytyczne myślenie.
• Autorytet — wiadomość od „prezesa", „IT", „banku" — trudniej kwestionować polecenia z autorytatywnego źródła.
• Zaufanie — wiadomość wygląda jak od znajomej osoby lub firmy, z którą regularnie współpracujemy.
• Strach — „Wykryliśmy podejrzaną aktywność na Twoim koncie". Strach przed utratą dostępu pcha do szybkiego działania.

Nowoczesny phishing jest coraz trudniejszy do odróżnienia od legalnych wiadomości. Atakujący używają logo firm, kopiują szablony e-maili, rejestrują domeny łudząco podobne do prawdziwych i personalizują wiadomości na podstawie danych z LinkedIn i innych źródeł.

Sygnały ostrzegawcze — na co patrzeć w pierwszej kolejności

Adres nadawcy: sprawdź domenę, nie tylko wyświetlaną nazwę

To najważniejsza weryfikacja. Klienty pocztowe wyświetlają przyjazną nazwę nadawcy (np. „Zespół Bezpieczeństwa Microsoft"), ale adres e-mail pod spodem może być zupełnie inny. Najedź kursorem na nazwę nadawcy lub kliknij ją, a zobaczysz rzeczywisty adres.

Na co zwrócić uwagę:

• Domena po znaku @ powinna być domeną prawdziwej organizacji. Wiadomość od „support@microsoft.com" jest podejrzana, jeśli rzeczywisty adres to support@micr0soft-security.com lub support@microsoft.com.phisher.ru.
• Domeny łudząco podobne do prawdziwych: paypa1.com (jedynka zamiast litery l), arnazon.com, g00gle.com — technika znana jako typosquatting lub homoglyph attack.
• Legalne firmy nie wysyłają wiadomości biznesowych z adresów Gmail, Outlook.com ani Yahoo. Wiadomość od „Dział Finansowy" z adresem finanse-firma@gmail.com to sygnał alarmowy.

Treść wzbudzająca pilność lub strach

Frazy takie jak „Twoje konto zostanie zawieszone", „Wymagane natychmiastowe działanie", „Ostatnie ostrzeżenie" to klasyczne techniki phishingowe. Legalne firmy rzadko wysyłają takie ultimata przez e-mail bez wcześniejszego kontaktu.

Prośba o dane logowania, hasła lub dane finansowe

Żaden bank, operator pocztowy, dostawca usług cloud ani pracodawca nie prosi o podanie hasła przez e-mail ani przez link w e-mailu. Jeśli taka prośba się pojawia to phishing, niezależnie od tego, jak wiarygodnie wygląda wiadomość.

Pilny przelew lub zmiana danych bankowych

Atak znany jako BEC (Business Email Compromise), czyli e-mail od „prezesa" lub „dostawcy" z prośbą o pilny przelew lub zmianę numeru konta bankowego. To jeden z najbardziej kosztownych typów phishingu: straty dla firm na całym świecie sięgają miliardów dolarów rocznie. Każda prośba o zmianę danych bankowych lub nieplanowany przelew powinna być weryfikowana telefonicznie, przez numer ze wcześniej zaufanego źródła, a nie ten podany w e-mailu.

Linki przekierowujące na inną domenę

Najedź kursorem na link bez klikania w pasku statusu przeglądarki lub w podpowiedzi zobaczysz rzeczywisty URL. Jeśli link w e-mailu od „banku" prowadzi do domeny, która nie jest domeną banku, to phishing. Szczególnie podejrzane są linki skrócone (bit.ly, tinyurl.com), które ukrywają docelowy adres.

Zaawansowana weryfikacja — nagłówki i uwierzytelnianie

Sprawdź wyniki SPF, DKIM i DMARC

Phishingowe wiadomości często nie przechodzą weryfikacji SPF lub DKIM, bo atakujący nie ma dostępu do prywatnego klucza DKIM prawdziwej domeny ani do jej serwera pocztowego. Wyświetl pełne nagłówki wiadomości (sposób opisany w naszym poradniku o czytaniu nagłówków e-mail) i znajdź pole Authentication-Results.

Wiadomość podszywająca się pod Google lub Microsoft, która pokazuje dkim=fail lub spf=fail, niemal na pewno jest phishingiem. Uwaga: zaawansowany phishing może mieć poprawny SPF i DKIM, dla domeny podobnej do prawdziwej (np. dla micros0ft.com), ale nie dla prawdziwej domeny firmy. Zawsze sprawdzaj, jaka domena jest weryfikowana, a nie tylko wynik weryfikacji.

Sprawdź domenę przez WHOIS

Jeśli masz wątpliwości co do domeny nadawcy, sprawdź w serwisie who.is lub domaintools.com, kiedy domena została zarejestrowana. Domena zarejestrowana kilka dni temu, podszywająca się pod firmę istniejącą od lat, to jednoznaczny sygnał phishingu. Atakujący często rejestrują domeny tuż przed atakiem.

Sprawdź link bez klikania

Skopiuj link (prawy przycisk myszy → Kopiuj adres linku) i wklej go do narzędzia do analizy URL: VirusTotal (virustotal.com), URLVoid lub Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phish). Narzędzia te sprawdzają URL wobec baz znanych stron phishingowych i złośliwych.

Sprawdź certyfikat SSL strony docelowej

Kliknięcie linku phishingu często prowadzi na stronę z certyfikatem SSL, co wiele osób traktuje jako znak bezpieczeństwa. To błąd: certyfikat SSL potwierdza tylko, że połączenie jest szyfrowane, ale nie potwierdza, że strona jest legalna. Phisherzy rutynowo uzyskują bezpłatne certyfikaty Let's Encrypt dla swoich fałszywych stron. Zawsze sprawdzaj domenę w pasku adresu przeglądarki, nie tylko kłódkę.

Typowe scenariusze phishingu — rozpoznaj je po opisie

Phishing bankowy

Wiadomość od „banku" informująca o podejrzanej transakcji, konieczności potwierdzenia danych lub zagrożeniu kontem. Link prowadzi na stronę łudząco podobną do strony banku. Rzeczywisty URL ma inną domenę lub dodatkowy fragment (np. bank-pl.secureverify.com).

Phishing na dostawcę usług cloud

„Twoje konto Microsoft 365/Google Workspace wygasa" lub „Wykryto podejrzane logowanie". Link prowadzi do fałszywej strony logowania, która przechwytuje hasło i może przejąć całe konto firmowe wraz ze wszystkimi danymi.

CEO fraud / BEC (Business Email Compromise)

Atakujący podszywa się pod prezesa, dyrektora finansowego lub menedżera i prosi pracownika (często z działu finansowego lub HR) o pilny przelew, zakup kart podarunkowych lub ujawnienie danych pracowników. Adres e-mail jest sfałszowany lub pochodzi z podobnej domeny (np. firma-pl.com zamiast firma.pl).

Phishing fakturowy

Wiadomość podszywająca się pod dostawcę z fałszywą fakturą do opłacenia lub z informacją o zmianie numeru konta bankowego. Szczególnie skuteczny, bo naśladuje realny proces biznesowy.

Phishing z zainfekowanym załącznikiem

Wiadomość z załącznikiem: fałszywa faktura w formacie .doc lub .xls z makrami, archiwum ZIP z plikiem .exe lub PDF z zainfekowanym JavaScript. Otwarcie uruchamia złośliwe oprogramowanie: ransomware, keylogger lub trojana zdalnego dostępu.

Jak chronić firmę przed phishingiem?

Wdrożenie DMARC z polityką reject

DMARC z p=reject sprawia, że serwery pocztowe odbiorców odrzucają wiadomości podszywające się pod Twoją domenę bez prawidłowego podpisu DKIM. Chroni to zarówno odbiorców Twoich e-maili (nie dostaną phishingu „od Ciebie"), jak i Twoją reputację. Wdrożenie DMARC jest dziś standardem i wymaganiem Gmail oraz Yahoo dla nadawców masowych.

BIMI — logo firmy jako dodatkowy sygnał zaufania

BIMI (Brand Indicators for Message Identification) wyświetla zweryfikowane logo firmy przy wiadomościach w obsługujących go klientach pocztowych. Odbiorcy widzą logo i wiedzą, że wiadomość jest zweryfikowana, co utrudnia phisherom podszywanie się. Wymaga certyfikatu BIMI Verified Mark i aktywnej polityki DMARC p=reject.

Szkolenia pracowników — symulacje phishingu

Techniczne zabezpieczenia nie wystarczą, jeśli pracownicy nie są w stanie rozpoznać phishingu. Regularne szkolenia z bezpieczeństwa e-mail, połączone z symulowanymi atakami phishingowymi (kontrolowanymi przez dział IT) dramatycznie obniżają skuteczność rzeczywistych ataków. Pracownicy, którzy „dali się złapać" w symulacji, są następnie szkoleni z rozpoznawania konkretnych technik, które ich zmyliły.

Procedura weryfikacji dla krytycznych operacji

Każda prośba o przelew, zmianę danych bankowych lub udostępnienie poufnych danych, która przychodzi przez e-mail, powinna być weryfikowana przez drugi kanał komunikacji (telefon na znany numer, weryfikacja osobista). Wprowadź tę zasadę jako bezwzględną procedurę dla działu finansowego i HR.

Filtrowanie antyspamowe i antyphishingowe po stronie serwera

Bezpieczny hosting z wbudowanym filtrowaniem antyspamowym i antyphishingowym na poziomie serwera blokuje część phishingowych wiadomości, zanim dotrą do skrzynki pracownika. Filtry serwerowe analizują reputację domeny nadawcy, wyniki SPF/DKIM, linki w treści wiadomości i załączniki i odrzucają lub oznaczają podejrzane wiadomości. DNSSEC dla Twojej domeny chroni przed atakami DNS cache poisoning, które mogą być elementem zaawansowanego phishingu. Sfałszowane rekordy DNS mogą przekierowywać nawet prawidłowe linki w Twoich e-mailach na strony atakującego.

Poczta biznesowa z kompletną konfiguracją uwierzytelniania SPF, DKIM, DMARC, chroni Twoją markę przed phishingiem wycelowanym w Twoich klientów. Bez tej konfiguracji atakujący może wysyłać wiadomości „od Ciebie" do Twoich klientów, a serwery pocztowe nie będą miały podstaw do ich odrzucenia. Profesjonalna opieka WordPress obejmuje konfigurację i monitoring wszystkich elementów bezpieczeństwa poczty, włącznie z audytem podatności na spoofing i phishing. Certyfikat SSL dla domeny to element budowania zaufani, ale jak pokazuje ten artykuł, nie wystarczy jako jedyna weryfikacja autentyczności strony.

Co zrobić po kliknięciu w phishingowy link?

Jeśli podejrzewasz, że padłeś ofiarą phishingu:

1. Natychmiast zmień hasło do konta, które mogło zostać przejęte — przez bezpośrednie wejście na stronę (nie przez link z e-maila).
2. Włącz uwierzytelnianie dwuskładnikowe (2FA) dla zaatakowanego konta, jeśli jeszcze nie jest aktywne.
3. Sprawdź aktywne sesje konta i wyloguj wszystkie nieznane urządzenia.
4. Poinformuj dział IT i menedżera — natychmiast, bez zwlekania z obawy przed oceną.
5. Jeśli doszło do wycieku danych klientów — rozważ obowiązek zgłoszenia incydentu do UODO (Urząd Ochrony Danych Osobowych) — wymagany przez RODO w ciągu 72 godzin od odkrycia naruszenia.
6. Zeskanuj urządzenie programem antywirusowym — szczególnie jeśli otworzyłeś załącznik.

Podsumowanie

Phishing jest skuteczny, bo odwołuje się do emocji i nawyków, nie do wiedzy technicznej. Najważniejsze zasady ochrony: zawsze sprawdzaj rzeczywisty adres e-mail nadawcy (nie tylko wyświetlaną nazwę), nigdy nie podawaj haseł przez linki z e-maili, weryfikuj wszelkie prośby finansowe przez drugi kanał, nie otwieraj nieoczekiwanych załączników. Po stronie firmy: DMARC z reject, szkolenia pracowników i serwerowe filtrowanie antyphishingowe to inwestycje, które realnie redukują skuteczność ataków.