Phishing — jak rozpoznać fałszywy e-mail zanim klikniesz w link?

Phishing to dziś numer jeden wśród przyczyn incydentów bezpieczeństwa w polskich firmach. Według danych CERT Polska ponad 60% wszystkich zgłoszonych ataków to próby wyłudzenia danych przez e-mail, SMS lub telefon. Dobra wiadomość: fałszywe wiadomości mają charakterystyczne sygnały ostrzegawcze — trzeba tylko wiedzieć, czego szukać.

Czym właściwie jest phishing?

Phishing (od angielskiego „fishing" — łowienie ryb) to technika socjotechniczna, w której atakujący podszywa się pod zaufaną osobę lub instytucję, aby nakłonić ofiarę do kliknięcia w link, pobrania pliku lub podania poufnych danych. Cel może być różny: kradzież hasła, zainstalowanie ransomware, wyłudzenie przelewu bankowego.

Phishing ewoluował — dziś nie chodzi już o wiadomości z oczywistymi błędami pisowni i obietnicą milionowego spadku od nigeryjskiego księcia. Współczesne ataki są precyzyjne, spersonalizowane i przekonująco wyglądające, często naśladując grafikę i język rzeczywistych banków, dostawców usług czy klientów.

5 sygnałów ostrzegawczych w e-mailu phishingowym

1. Sztuczna pilność i presja emocjonalna

„Twoje konto zostanie zablokowane w ciągu 24 godzin", „Wykryliśmy podejrzaną aktywność — kliknij natychmiast" — to klasyczne zagrywki phishingowe. Presja czasu wyłącza krytyczne myślenie i zmusza do działania bez zastanowienia. Każda wiadomość wymagająca natychmiastowej reakcji powinna wzbudzić czujność. Zadzwoń bezpośrednio do nadawcy i potwierdź, zamiast klikać.

2. Fałszywy adres nadawcy

E-mail może wyglądać jak wiadomość od „DHL Polska" lub „mBank", ale wystarczy sprawdzić pełny adres nadawcy (nie tylko wyświetlaną nazwę), aby dostrzec nieprawidłowości. Adres typu kontakt@dhl-polska-dostawa.net lub support@mbank-secure.com to ewidentna podróbka. Prawdziwa domena DHL to dhl.com, mBanku — mbank.pl.

3. Linki z literówkami lub podejrzanymi domenami

Zanim klikniesz w jakikolwiek link, najedź na niego kursorem (bez klikania) — w pasku statusu przeglądarki lub kliencie pocztowym zobaczysz rzeczywisty adres URL. Atakujący często rejestrują domeny z celowymi literówkami: allegro.com.pl zamiast allegro.pl, paypa1.com zamiast paypal.com, czy n3s-pl.eu zamiast n3s.pl. Jeśli cokolwiek wygląda inaczej niż zwykle — nie klikaj.

4. Prośba o podanie danych logowania lub danych karty

Żaden bank, urząd ani dostawca usług IT nie prosi o podanie hasła przez e-mail. Jeśli wiadomość kieruje na formularz logowania, sprawdź dokładnie adres strony w pasku przeglądarki. Obecność kłódki HTTPS nie gwarantuje bezpieczeństwa — atakujący coraz częściej wyrabiają certyfikaty SSL dla phishingowych stron.

5. Niespodziewane załączniki

Plik o nazwie „Faktura_03_2026.pdf.exe" lub „WZ_zamówienie.xlsm" z prośbą o uruchomienie makr to klasyczne nośniki złośliwego oprogramowania. Nigdy nie otwieraj załączników od nieznanych nadawców, a w przypadku znanych — skontaktuj się z nimi innym kanałem, jeśli plik był nieoczekiwany. Makra w dokumentach Office mogą zainstalować ransomware w ciągu sekund.

Phishing to nie tylko e-mail — vishing i smishing

Atakujący coraz częściej rezygnują z e-maila na rzecz innych kanałów:

• Vishing (voice phishing) — telefon od „pracownika banku" lub „działu IT" firmy, który prosi o podanie danych lub zainstalowanie aplikacji do zdalnej pomocy. Pamiętaj: pracownik banku nigdy nie poprosi Cię o podanie pełnego numeru karty ani hasła przez telefon.
• Smishing (SMS phishing) — wiadomość SMS informująca o niedopłacie za paczkę, mandacie do zapłaty lub wygranej w konkursie. Zawiera skrócony link prowadzący do fałszywej strony zbierającej dane karty płatniczej.
• Spear phishing — atak celowany w konkretną osobę lub firmę. Atakujący wcześniej zbiera informacje (LinkedIn, strona firmowa) i tworzy wiadomość „szytą na miarę" — np. podszywając się pod kontrahenta z odniesieniem do realnego projektu.

Co zrobić, jeśli już kliknąłem w link?

Spokojnie — nie każde kliknięcie w phishingowy link kończy się katastrofą. Ważne jest, co zrobiłeś dalej. Jeśli tylko kliknąłeś, ale nie podałeś danych i nie pobierałeś pliku, ryzyko jest niskie. Jeśli jednak:

1. Wpisałeś hasło — natychmiast zmień je w serwisie, do którego prowadziła strona, i we wszystkich miejscach, gdzie używałeś tego samego hasła. Włącz MFA.
2. Pobrałeś i uruchomiłeś plik — odłącz komputer od sieci (ethernet + Wi-Fi) i skontaktuj się z działem IT lub zewnętrzną firmą IT. Nie próbuj samodzielnie "czyścić" systemu.
3. Podałeś dane karty płatniczej — natychmiast zadzwoń na infolinię banku i zastrzeż kartę.

W każdym przypadku poinformuj dział IT lub swojego dostawcę usług IT — incydent musi zostać udokumentowany, a pozostałe osoby w firmie powinny zostać ostrzeżone.

Jak chronić firmę przed phishingiem — systemowe podejście

Szkolenia pracowników

Jednorazowe szkolenie to za mało. Regularne, krótkie sesje uświadamiające (np. co kwartał) i symulowane ataki phishingowe (testy, w których firma IT wysyła fałszywe e-maile do pracowników) budują nawyk czujności. Pracownicy, którzy „dali się złapać" na teście, trafiają na krótki moduł szkoleniowy — bez konsekwencji służbowych, ale z lekcją, którą zapamiętają.

Filtry antyspamowe i zaawansowana ochrona e-mail

Microsoft 365 Defender (dostępny w planie Business Premium) oferuje Safe Links i Safe Attachments — funkcje, które skanują każdy link i załącznik w czasie rzeczywistym, zanim dotrą do skrzynki odbiorczej pracownika. To inwestycja rzędu kilkudziesięciu złotych miesięcznie na użytkownika, która może uchronić firmę przed stratami liczonymi w dziesiątkach tysięcy złotych.

Uwierzytelnianie wieloskładnikowe (MFA)

MFA to ostatnia linia obrony — nawet jeśli pracownik poda hasło na fałszywej stronie, atakujący bez drugiego składnika uwierzytelnienia nie zaloguje się na konto. W Microsoft 365 włączenie MFA jest bezpłatne i zajmuje kilkanaście minut.

Protokoły DMARC, DKIM i SPF

Konfiguracja tych protokołów DNS dla domeny firmowej znacząco utrudnia podszywanie się pod adresy e-mail Twojej firmy przez atakujących. Bez DMARC każdy może wysłać e-mail udający, że pochodzi z Twojej domeny — np. do Twoich klientów lub pracowników. To szczególnie istotne dla firm z rozpoznawalną marką lub obsługujących wielu klientów.