W erze cyfrowej rośnie liczba przypadków, w których cyberprzestępcy podszywają się pod nadawców maili, wysyłając fałszywe wiadomości z podrobionych adresów.
Niestety, brak odpowiednich zabezpieczeń poczty elektronicznej zwiększa podatność domen na tego rodzaju ataki.
Phishing i podszywanie się pod domenę firmy to nadal jedna z najgroźniejszych przyczyn strat finansowych w MŚP. Zdarza się, że oszuści podmieniają numer konta na fakturze lub przechwytują skrzynkę mailową księgowości, a właściciel firmy dowiaduje się o tym dopiero, gdy jest za późno. W tym artykule wyjaśnimy, jak krok po kroku sprawdzić, czy e-mail jest prawdziwy, jak czytać nagłówki wiadomości, jakie rekordy DNS warto wdrożyć (SPF, DKIM, DMARC), oraz jakie procedury wewnętrzne wprowadzić, żeby nie stracić pieniędzy i nie dać się zhakować.
Case study: utrata wynagrodzenia
Księgowa otrzymała wiadomość z firmowego adresu e-mail pracownika o rzekomej zmianie numeru rachunku do wypłaty wynagrodzenia. Wiadomość wyglądała wiarygodnie i zawierała stopkę firmową. Bez dodatkowej weryfikacji księgowa wprowadziła nowy numer do systemu kadrowo-płacowego. Wynagrodzenie trafiło jednak na konto oszusta, a nie pracownika. Sprawa pokazała, jak ważne są procedury weryfikacji zmian danych oraz zabezpieczenia poczty firmowej przed przejęciem.
Jak wygląda podszywanie się pod e-mail (email spoofing)
Czym jest spoofing?
Spoofing to technika, w której cyberprzestępca wysyła wiadomość e-mail tak spreparowaną, aby wyglądała, jakby pochodziła od zaufanego nadawcy (np. Twojego pracownika, kontrahenta albo szefa). Sam fakt, że w polu „Od:” widnieje znany adres, nie jest dowodem autentyczności, bo ten element można łatwo sfałszować.
Przejęcie konta vs. podszycie się pod domenę
-
Przejęcie konta – atakujący zdobywa dane logowania do prawdziwej skrzynki (np. przez phishing lub brak 2FA) i wysyła wiadomości z autentycznego konta.
-
Podszycie się pod domenę (spoofing) – haker nie ma dostępu do konta, ale fałszuje nagłówki wiadomości, aby wyglądały, jakby przyszły z Twojej domeny. Wtedy e-mail wygląda „prawdziwie”, choć w rzeczywistości został wysłany z zewnętrznego serwera.
Przykłady najczęstszych ataków:
-
Podmiana konta dostawcy – oszust wysyła fakturę z nowym numerem rachunku, podszywając się pod kontrahenta.
-
CEO fraud – wiadomość wygląda, jakby przyszła od prezesa lub dyrektora, i nakazuje wykonanie pilnego przelewu.
-
Przechwycenie skrzynki księgowej – haker zdobywa dostęp do poczty działu finansowego i modyfikuje dane w korespondencji z klientami lub pracownikami.
7 sygnałów, że e-mail może być fałszywy
-
Nagły, nietypowy ton i wymaganie pilnej akcji (np. „pilny przelew teraz!”).
-
Błędy językowe, dziwne formatowanie, brak spójności z dotychczasową korespondencją.
-
Inny adres nadawcy w nagłówku (sprawdź „Od:” vs „Return-Path”).
-
Linki prowadzące do domen podobnych do oryginalnej (tzw. typosquatting).
-
Załączniki z rozszerzeniami .exe / .scr / .zip — zawsze podejrzane.
-
Prośba o przelew na nowy rachunek bez wcześniejszej weryfikacji innym kanałem.
-
Niepoprawne rekordy SPF/DKIM/DMARC po sprawdzeniu nagłówków.
Procedury wewnętrzne i szkolenia pracowników
Krótka, wypunktowana check-lista, którą można wdrożyć w firmie (np. wymagane dwie autoryzacje, potwierdzenie numeru konta telefonicznie, zapis rozmowy/wiadomości etc.) może okazać się niezwykle pomocna, by uniknąć ataku hakerskiego. Niemniej ważna, o ile nie najważniejsza jest jednak świadomość pracowników i ciągłe doskonalenie. Dzięki szkoleniom pracownicy stają się bardziej czujni i ostrożni, chroniąc tym samym dane i finanse firmy.
Co zrobić, gdy padłeś ofiarą oszustwa
-
Niezwłocznie zgłoś incydent do banku — żądaj blokady przelewów.
-
Zgłoś incydent CERT-owi i prokuraturze.
-
Zabezpiecz logi i kopie nagłówków e-maili.
-
Powiadom klientów/dostawców, jeśli ich dane zostały narażone.
-
Przeprowadź audyt bezpieczeństwa poczty firmowej – dobre i darmowe narzędzie oferuje CERT Bezpieczna Poczta
Jeśli chcesz wiedzieć, jak uniknąć oszustwa przy przelewach z kontrahentami, sprawdź też artykuł:
Jak rozpoznać fałszywego maila i uniknąć oszustwa przy przelewie? Praktyczny poradnik dla firm
FAQ – najczęściej zadawane pytania
| Pytanie | Odpowiedź |
|---|---|
| Jak sprawdzić nadawcę wiadomości w Gmail? | W Gmailu kliknij w trzy kropki w prawym górnym rogu wiadomości i wybierz „Pokaż oryginał”. Dzięki temu zobaczysz pełne nagłówki e-maila i sprawdzisz, z jakiego serwera faktycznie został wysłany. |
| Czy wpis w „From:” gwarantuje, że e-mail jest bezpieczny? | Nie. Pole „Od:” (From:) można łatwo sfałszować. Bezpieczniejszym sposobem jest sprawdzenie nagłówków wiadomości oraz weryfikacja rekordów SPF, DKIM i DMARC domeny nadawcy. |
| Jakie są koszty wdrożenia SPF/DKIM/DMARC? | Koszty zależą od wielkości organizacji i infrastruktury pocztowej. Dla małej lub średniej firmy wdrożenie podstawowych rekordów DNS to zwykle od kilkuset złotych. Możesz skorzystać z naszego audytu i poznać koszty usługi. |
| Czy bank pomoże odzyskać pieniądze po przelewie na fałszywe konto? |
Jeśli zgłosisz incydent natychmiast, bank może podjąć próbę zablokowania przelewu i odzyskania środków. Jednak po zaksięgowaniu na koncie oszusta szanse znacząco maleją. Warto zgłosić sprawę również do organów ścigania. Liczy się szybka reakcja oraz prewencja poprzez odpowiednie procedury bezpieczeństwa. |
Skutki Braku Zabezpieczeń
Firmy, które nie stosują tych mechanizmów, nie tylko narażają się na ryzyko ataków, ale również ryzykują zakwalifikowanie swoich wiadomości jako spam. Wiarygodność ich komunikacji jest przez to podważona, co może wpływać na realizację kontraktów czy zaufanie klientów.
Wdrożenie mechanizmów SPF, DKIM i DMARC jest niezbędne dla każdej firmy, która ceni bezpieczeństwo swojej komunikacji. Narzędzie bezpiecznapoczta.cert.pl pozwala na szybkie sprawdzenie, czy konfiguracja zabezpieczeń w domenie jest wystarczająca, chroniąc firmę przed atakami oraz poprawiając jej reputację.
Czy Twój test wypadł negatywnie? Skontaktuj się z naszymi ekspertami ds. cyberbezpieczeństwa – rozwiążemy Twój problem.
