Phishing w firmie — jak rozpoznać atak

Czym jest phishing i dlaczego to problem całej firmy

Phishing to wyłudzanie danych — fałszywa wiadomość, która udaje znanego nadawcę, żeby wyciągnąć od pracownika hasło, kod albo dane karty. Wystarczy jeden klik jednej osoby, by problem dotknął całą firmę: konto na poczcie, dostęp do systemów, czasem dane klientów.

To nie jest temat wyłącznie dla działu IT. Phishing celuje w człowieka, a nie w komputer. Dlatego pierwszą linią obrony jest zespół, który wie, na co patrzeć — nie sam program.

Skala jest realna. CERT Polska to zespół, który przyjmuje zgłoszenia cyberataków w Polsce. W raporcie rocznym za 2024 r. phishing był najczęstszym typem ataku i odpowiadał za większość wszystkich zgłoszeń. To nie margines, to główny scenariusz.

Oszuści podszywają się pod marki, które Twój pracownik zna z prywatnego telefonu. Najczęściej są to platformy ogłoszeniowe i zakupowe, takie jak OLX i Allegro. Znajomy logotyp usypia czujność — i o to chodzi w ataku.

Po czym poznać fałszywy e-mail

Fałszywy e-mail poznasz po kilku powtarzalnych sygnałach. Żaden z nich osobno nie jest dowodem — ale dwa lub trzy naraz to wyraźny znak, że trzeba się zatrzymać. To jest lista, którą możesz skopiować i rozesłać po zespole.

• Nadawca tylko wygląda znajomo — nazwa się zgadza, ale adres e-mail jest dziwny albo z literówką w domenie.
• W treści jest presja czasu albo groźba: „faktura do zapłaty dziś", „konto zostanie zablokowane".
• Link prowadzi pod inny adres niż pokazuje — najedź kursorem, nie klikaj, i sprawdź adres na dole ekranu.
• Wiadomość prosi o hasło, kod z SMS-a albo dane karty — żaden bank ani kurier o to nie poprosi mailem.
• Załącznik to „faktura" albo „dokument", którego nie zamawiałeś.
• Drobne błędy: dziwna polszczyzna, brak Twojego imienia, ogólne „Szanowny Kliencie".

Najważniejsza zasada jest jedna: nie klikaj, sprawdź nadawcę osobno. Jeśli wiadomość niby jest z banku — zadzwoń pod numer z umowy, nie z maila. Jeśli od kuriera — wejdź na stronę przewoźnika ręcznie, nie przez link.

To już nie tylko e-mail: smishing, vishing, quishing

Phishing przestał być wyłącznie mailem. Te same triki przychodzą dziś SMS-em, telefonem i kodem QR. Nazwy brzmią obco, ale mechanizm jest ten sam — ktoś udaje zaufanego nadawcę i naciska, żebyś działał szybko.

• Smishing (phishing przez SMS) — fałszywy SMS o dopłacie do paczki albo zaległej fakturze. W treści jest link do strony, która wygląda jak InPost czy bank.
• Vishing (phishing przez telefon) — ktoś dzwoni i podaje się za „dział bezpieczeństwa banku". Namawia, żebyś zainstalował na komputerze program do zdalnego dostępu.
• Quishing (phishing przez kod QR) — kod QR osadzony w treści maila lub na wydruku. Po zeskanowaniu telefonem prowadzi na fałszywą stronę logowania.

Te kanały rosną szybko. Na przełomie 2025 i 2026 r. ataki z kodami QR zaczęły rosnąć najszybciej ze wszystkich kanałów. Kod łatwo ukryć w mailu, a telefon trudniej ochronić niż firmowy komputer. SMS-y to już codzienność.

Poniżej masz cztery kanały zestawione obok siebie — jak przychodzi atak, po czym go poznasz i co zrobić. To tabela, którą warto mieć pod ręką w biurze.

Cztery kanały ataku — porównanie

• Phishing (e-mail) — Jak przychodzi: e-mail od „banku", „kuriera", „księgowej". Sygnał: link prowadzi gdzie indziej niż pokazuje. Co zrobić: nie klikaj, sprawdź nadawcę osobno.
• Smishing (SMS) — Jak przychodzi: SMS o dopłacie do paczki lub faktury. Sygnał: skrócony link i presja czasu. Co zrobić: wejdź na stronę firmy ręcznie, nie przez link z SMS-a.
• Vishing (telefon) — Jak przychodzi: telefon od „działu bezpieczeństwa". Sygnał: prośba o instalację programu lub podanie kodu. Co zrobić: rozłącz się i oddzwoń pod oficjalny numer.
• Quishing (kod QR) — Jak przychodzi: kod QR w mailu lub na wydruku. Sygnał: skan prowadzi na stronę logowania. Co zrobić: nie skanuj kodów z niezamówionych wiadomości.

Co zrobić, gdy pracownik już kliknął

Pierwsza godzina po kliknięciu liczy się najbardziej. Spokojnie, po kolei — panika kosztuje więcej niż samo kliknięcie. Oto kroki, które możesz wykonać od razu, zanim zadzwonisz do obsługi IT.

1. Odłącz urządzenie od sieci — wyjmij kabel albo wyłącz Wi-Fi. To zatrzymuje dalsze rozprzestrzenianie.
2. Zmień hasła z innego, czystego urządzenia — nie z tego, które mogło zostać przejęte.
3. Włącz lub sprawdź logowanie dwuetapowe na poczcie i w systemach firmy.
4. Zgłoś incydent do CERT Polska na stronie incydent.cert.pl — to oficjalny kanał zgłoszeń.
5. Powiedz zespołowi, że krąży taka wiadomość — żeby inni jej nie otworzyli.

Bądźmy szczerzy co do granic. Część skutków — na przykład ransomware, czyli atak szyfrujący dane dla okupu — wymaga reakcji specjalisty. Samodzielne kroki ograniczają szkodę, ale nie zawsze ją cofają.

To jest moment na telefon do osoby od IT. Jeśli nie masz stałej obsługi, nasza obsługa IT dla firm obejmuje takie zgłoszenia — pomagamy odzyskać konta i ustalić, co się stało.

Jak firma może się zabezpieczyć zawczasu

Lepiej zatrzymać atak, zanim ktoś kliknie. Zabezpieczenie przed phishingiem to kilka warstw — żadna sama nie wystarczy, ale razem znacząco utrudniają sprawę oszustom. Oto co działa w firmie 50–100 osób.

Logowanie dwuetapowe na poczcie

MFA (logowanie dwuetapowe) to dodatkowy kod albo potwierdzenie z telefonu przy logowaniu. Nawet jeśli ktoś wykradnie hasło, bez drugiego składnika nie wejdzie na konto. To pojedynczy najskuteczniejszy krok — pomagaliśmy firmie z Lubina ustawić go na całej poczcie firmowej.

Krótkie szkolenie zespołu

Pracownik, który raz zobaczył przykład fałszywego maila, rozpoznaje kolejny szybciej. Krótkie szkolenie albo „próbny phishing" — kontrolowana, nieszkodliwa wiadomość testowa — pokazują, kto klika, bez żadnego ryzyka. To tańsze niż jeden realny incydent.

Zabezpieczenie poczty firmowej

SPF, DKIM i DMARC to trzy filtry techniczne, które utrudniają podszywanie się pod Twoją domenę. W skrócie: sprawdzają, czy mail naprawdę wyszedł z Twojego serwera. Bez nich oszust łatwiej wyśle „fakturę od Ciebie" do Twoich klientów.

Regularne kopie zapasowe

Jeśli atak zaszyfruje dane, sprawna kopia zapasowa dla firmy jest różnicą między godziną przestoju a tygodniem. Kopie nie powstrzymają phishingu, ale ratują firmę, gdy reszta zawiedzie.

Częste błędy, które ułatwiają atak

Większość udanych ataków nie korzysta z genialnej technologii — korzysta z firmowych nawyków. Oto błędy, które widzimy najczęściej i które łatwo naprawić bez dużych kosztów.

• Jedno hasło do kilku systemów — wyciek z jednego miejsca otwiera resztę.
• Brak logowania dwuetapowego na poczcie — najczęstsza luka w firmach 50–100 osób.
• Założenie, że „to się zdarza dużym firmom" — ataków przybywa wszędzie. W raporcie rocznym za 2024 r. CERT Polska odnotował wzrost liczby incydentów o 29% rok do roku.
• Brak prostej procedury: pracownik nie wie, komu zgłosić podejrzany mail, więc go ignoruje albo klika.
• Klikanie linków „dla świętego spokoju", żeby sprawdzić, czy to prawda — to dokładnie ten ruch, na który liczy oszust.

Najtańsza poprawa to jasna zasada w zespole: każdy podejrzany mail trafia do jednej osoby od IT, zanim ktokolwiek kliknie. Jedna ścieżka zgłoszeń zatrzymuje większość ataków, zanim się rozkręcą.

Przykład z firmy w regionie

Wyobraź sobie typową sytuację z firmy w Legnicy. Do księgowej przychodzi mail „od kuriera" z dopłatą 4,20 zł i linkiem do płatności. Adres nadawcy prawie się zgadza — różni się jedną literą w domenie.

Pod presją końca dnia łatwo kliknąć. Ale księgowa najechała kursorem na link i zobaczyła, że prowadzi pod zupełnie inny adres. Nie kliknęła — przesłała maila osobie od IT i ostrzegła resztę biura.

Cała obrona zajęła minutę i nie wymagała żadnego programu. Zadziałały dwie rzeczy: pracownica znała sygnały i wiedziała, komu zgłosić. To jest dokładnie ten układ, który chcesz mieć w swojej firmie — i który możesz zbudować w tydzień.