Phishing — jak rozpoznać atak i ochronić firmę?
Najczęstsze schematy phishingu w 2025: SMS, email, QR. Co sprawdzić przed kliknięciem i jak szkolić pracowników.
Czym jest phishing?
Phishing to atak socjotechniczny, w którym atakujący podszywa się pod zaufaną osobę lub instytucję (bank, Microsoft, kurier, prezes firmy), aby wyłudzić dane logowania, pieniądze lub dostęp do systemu. W 2024 roku phishing był przyczyną ponad 80% naruszeń bezpieczeństwa danych w europejskich MŚP.
E-mail phishing – na co uważać?
Sygnały ostrzegawcze w wiadomościach e-mail: adres nadawcy różni się od wyświetlanej nazwy, pilny ton ('Twoje konto zostanie zablokowane w ciągu 24h'), linki prowadzące do innych domen niż oczekiwane, prośba o podanie hasła lub kliknięcie w przycisk. Zawsze najedź kursorem na link przed kliknięciem.
Smishing (SMS phishing)
Ataki przez SMS są szczególnie niebezpieczne, bo większość ludzi ufa SMS-om bardziej niż e-mailom. Typowe schematy: fałszywy SMS od kuriera z prośbą o dopłatę, SMS od banku z linkiem do 'weryfikacji', SMS z informacją o wygranej nagrody.
Quishing (QR phishing)
Nowa i rosnąca forma ataku — atakujący umieszczają złośliwe kody QR w e-mailach, na plakatach lub naklejają je na prawdziwe kody QR (np. w restauracjach). Przed zeskanowaniem kodu QR zawsze sprawdź adres URL, na który prowadzi.
BEC – Business Email Compromise
Najbardziej kosztowna forma phishingu dla firm. Atakujący przejmuje lub podszywa się pod konto e-mail kadry zarządzającej i wydaje polecenie przelania środków. W Polsce odnotowano setki takich przypadków z stratami sięgającymi setek tysięcy złotych.
Jak szkolić pracowników?
Regularne szkolenia (minimum dwa razy w roku) i symulowane ataki phishingowe to najskuteczniejsza metoda. Narzędzia do symulacji: KnowBe4, Proofpoint, Microsoft Attack Simulator (wbudowany w M365 Business Premium). Kluczowe: pracownicy muszą wiedzieć, co zrobić gdy dostaną podejrzaną wiadomość — do kogo zgłosić, jak ją oznaczyć.
Techniczne środki ochrony
Oprócz szkoleń: włącz DMARC/DKIM/SPF na domenie firmowej, skonfiguruj Microsoft Defender lub zewnętrzny filtr antyspamowy, włącz MFA na wszystkich kontach, wdróż politykę blokowania makr w plikach Office z internetu.
Podsumowanie
Ochrona przed phishingiem to połączenie technologii i edukacji. Żadne oprogramowanie nie zastąpi świadomego pracownika, ale świadomy pracownik bez narzędzi też sobie nie poradzi. Jeśli chcesz ocenić poziom zabezpieczeń swojej firmy, umów bezpłatny audyt IT z Second Life IT.