
Włamanie na pocztę firmową trzeba traktować jako realny incydent bezpieczeństwa, a nie tylko problem z hasłem. Jeżeli ktoś uzyskał dostęp do skrzynki pracownika, może czytać korespondencję, wysyłać wiadomości do klientów, ustawiać reguły ukrywające odpowiedzi, przekierowywać pocztę, próbować podmienić numer rachunku na fakturze, pobierać pliki z załączników albo wykorzystać konto do kolejnych ataków phishingowych.
Najważniejsze działania po podejrzeniu włamania na pocztę firmową to: zabezpieczenie konta, zmiana hasła, wylogowanie aktywnych sesji, sprawdzenie MFA, analiza logowań, kontrola reguł poczty, sprawdzenie przekierowań, weryfikacja wysłanych wiadomości, ocena ryzyka wycieku danych i sprawdzenie, czy podobny problem nie dotyczy innych użytkowników.
Microsoft w oficjalnych materiałach dotyczących przejętego konta pocztowego wskazuje, że administrator powinien odzyskać kontrolę nad kontem, sprawdzić podejrzaną aktywność, przejrzeć reguły skrzynki oraz upewnić się, czy konto nie było używane do wysyłania wiadomości wewnątrz lub poza organizację. To ważne, bo przejęta poczta może być elementem szerszego ataku typu Business Email Compromise.
Dlaczego włamanie na pocztę firmową jest groźne?
Poczta firmowa to nie tylko wiadomości. W wielu firmach skrzynka pocztowa jest centrum komunikacji z klientami, dostawcami, księgowością, bankiem, kurierami, systemami SaaS, Microsoft 365, sklepem internetowym, ERP, działem sprzedaży i administracją.
W przejętej skrzynce mogą znajdować się:
- faktury,
- umowy,
- dane klientów,
- dane pracowników,
- historia zamówień,
- korespondencja z księgowością,
- linki do dokumentów,
- pliki z załączników,
- informacje o płatnościach,
- resetowania haseł do innych systemów,
- dane kontrahentów,
- zapytania ofertowe,
- informacje handlowe.
Dlatego włamanie na pocztę może prowadzić nie tylko do utraty prywatności. Może prowadzić do oszustwa finansowego, podszywania się pod firmę, utraty danych, naruszenia RODO, przejęcia kolejnych kont albo wysyłania phishingu do klientów.
FBI opisuje Business Email Compromise jako oszustwo, w którym przestępcy używają wiadomości wyglądających jak pochodzące z zaufanego źródła, aby nakłonić odbiorcę do wykonania pozornie legalnej prośby, najczęściej związanej z pieniędzmi lub płatnością.
Po czym poznać, że mogło dojść do włamania na pocztę?
Nie zawsze widać oczywisty sygnał. Czasem użytkownik sam zgłasza, że „coś jest nie tak”. Czasem klient dzwoni i pyta, czy firma naprawdę wysłała podejrzaną wiadomość. Czasem skrzynka zaczyna wysyłać masowo maile. A czasem atakujący działa cicho: czyta wiadomości i czeka na okazję do podmiany płatności.
Najczęstsze sygnały ostrzegawcze:
- użytkownik nie może zalogować się do poczty,
- hasło zostało zmienione bez wiedzy użytkownika,
- użytkownik widzi wiadomości oznaczone jako przeczytane, których nie otwierał,
- z konta wysłano wiadomości, których użytkownik nie pisał,
- klienci zgłaszają podejrzane maile,
- w skrzynce pojawiły się nieznane reguły,
- wiadomości znikają z folderu Odebrane,
- odpowiedzi od klientów trafiają do dziwnego folderu,
- poczta jest przekierowywana na zewnętrzny adres,
- pojawiły się logowania z nietypowych krajów lub adresów IP,
- dodano nową metodę MFA,
- pojawiła się nieznana aplikacja z dostępem do konta,
- skrzynka wysyła dużo wiadomości zwrotnych lub błędów dostarczenia,
- Microsoft 365 oznaczył użytkownika jako ryzykownego,
- konto zostało zablokowane z powodu podejrzanej aktywności.
Jeżeli występuje choć kilka takich objawów, trzeba założyć, że konto mogło zostać przejęte.
Krok 1: Zabezpiecz konto i zmień hasło
Pierwszym krokiem jest odzyskanie kontroli nad kontem. Jeżeli podejrzewasz włamanie, nie wystarczy poprosić użytkownika o zmianę hasła „kiedy będzie miał czas”. Trzeba działać od razu.
Należy:
- zmienić hasło użytkownika,
- wymusić użycie nowego silnego hasła,
- zablokować możliwość logowania, jeżeli sytuacja jest poważna,
- sprawdzić, czy konto nie ma nadmiarowych uprawnień,
- upewnić się, że użytkownik nie używa tego samego hasła w innych systemach,
- zmienić hasła w innych systemach, jeżeli były takie same lub podobne.
Jeżeli konto ma dostęp do Microsoft 365, panelu administracyjnego, SharePoint, OneDrive, systemu CRM, ERP, bankowości, hostingu, sklepu internetowego lub innych usług, trzeba ocenić, czy atakujący mógł wykorzystać pocztę do resetowania haseł również tam.
W przypadku kont administracyjnych należy zachować szczególną ostrożność. Przejęcie zwykłej skrzynki jest poważne. Przejęcie konta administratora może dać atakującemu dostęp do całego środowiska.
Krok 2: Wyloguj aktywne sesje i unieważnij dostęp
Zmiana hasła jest ważna, ale może nie wystarczyć. Jeżeli atakujący ma aktywną sesję, w niektórych przypadkach może dalej korzystać z dostępu przez pewien czas. Dlatego trzeba wymusić wylogowanie użytkownika ze wszystkich sesji i unieważnić tokeny dostępu, jeżeli środowisko na to pozwala.
Microsoft opisuje scenariusze awaryjnego odbierania dostępu w Microsoft Entra ID, w tym dla kont przejętych, pracowników kończących współpracę i zagrożeń wewnętrznych. W takich sytuacjach administrator może potrzebować wykonać kilka działań, aby realnie odciąć dostęp użytkownika do zasobów.
W praktyce trzeba sprawdzić:
- aktywne sesje,
- urządzenia zalogowane do konta,
- sesje przeglądarkowe,
- aplikacje mobilne,
- aplikacje pocztowe,
- tokeny odświeżania,
- połączenia z Outlook, Teams, OneDrive i SharePoint,
- dostęp przez aplikacje zewnętrzne.
To ważne szczególnie wtedy, gdy użytkownik podał hasło na fałszywej stronie albo zatwierdził logowanie MFA.
Krok 3: Sprawdź logowania do konta
Następnie trzeba przeanalizować logowania. To jeden z najważniejszych etapów. Chodzi o ustalenie, czy ktoś faktycznie logował się do konta z nietypowego miejsca, urządzenia, aplikacji lub adresu IP.
Sprawdź:
- ostatnie udane logowania,
- nieudane próby logowania,
- logowania z nietypowych krajów,
- logowania z nietypowych adresów IP,
- logowania poza godzinami pracy,
- logowania z urządzeń, których użytkownik nie zna,
- logowania z aplikacji legacy,
- logowania przez protokoły pocztowe,
- logowania zakończone sukcesem po kliknięciu podejrzanego linku,
- logowania po zmianie hasła,
- alerty ryzykownego użytkownika, jeżeli dostępne.
Jeżeli firma korzysta z Microsoft 365, logi logowania w Microsoft Entra ID mogą pomóc ustalić źródło dostępu. W zależności od licencji i konfiguracji dostępność historii oraz szczegółów może się różnić, dlatego warto wcześniej zadbać o audyt i retencję logów.
Samo stwierdzenie „ktoś się zalogował z innego kraju” nie zawsze daje pełen obraz, bo atakujący mogą używać VPN, proxy lub infrastruktury pośredniczącej. Ale nietypowe logowania są bardzo ważnym sygnałem.
Krok 4: Sprawdź MFA i metody uwierzytelniania
MFA zmniejsza ryzyko przejęcia konta, ale nie oznacza, że konto jest niemożliwe do przejęcia. Użytkownik może zatwierdzić fałszywe powiadomienie, podać kod na stronie phishingowej albo atakujący może próbować dodać nową metodę logowania.
Sprawdź:
- czy MFA było włączone,
- jaką metodę MFA miał użytkownik,
- czy pojawił się nowy telefon,
- czy dodano nową aplikację Authenticator,
- czy zmieniono numer telefonu,
- czy dodano alternatywny adres e-mail,
- czy użytkownik zatwierdzał nietypowe powiadomienia,
- czy były powtarzające się próby MFA,
- czy istnieją metody MFA, których użytkownik nie rozpoznaje.
Jeżeli konto było przejęte, trzeba usunąć nieznane metody MFA i ponownie skonfigurować uwierzytelnianie. Warto też sprawdzić, czy firma nie opiera się wyłącznie na słabszych metodach, takich jak SMS, jeżeli ma możliwość wdrożenia bezpieczniejszych metod.
Krok 5: Sprawdź reguły poczty
Reguły poczty są jednym z najważniejszych miejsc do sprawdzenia po przejęciu skrzynki. Atakujący często tworzą reguły, które ukrywają ich aktywność. Microsoft w playbooku dotyczącym podejrzanych reguł manipulacji skrzynką wskazuje, że atakujący mogą ustawiać reguły pocztowe, aby ukrywać przychodzące wiadomości w przejętej skrzynce i utrudnić użytkownikowi zauważenie działań napastnika.
Trzeba sprawdzić reguły, które:
- przenoszą wiadomości do archiwum,
- usuwają wiadomości,
- oznaczają wiadomości jako przeczytane,
- ukrywają wiadomości od określonych nadawców,
- przenoszą odpowiedzi od klientów do nietypowych folderów,
- filtrują wiadomości zawierające słowa „faktura”, „płatność”, „przelew”, „invoice”, „payment”,
- przekierowują wiadomości do innych adresów,
- działają tylko na wybrane domeny kontrahentów.
Szczególnie podejrzane są reguły, których użytkownik nie zna, które mają dziwne nazwy albo zostały utworzone w czasie podejrzanych logowań.
Nie wolno zakładać, że po zmianie hasła problem jest rozwiązany, jeżeli reguły poczty nadal działają. Atakujący może już nie mieć dostępu do konta, ale skutki jego zmian mogą pozostać.
Krok 6: Sprawdź przekierowania poczty
Poza regułami skrzynki trzeba sprawdzić również przekierowania. W Microsoft 365 przekierowanie może być ustawione na różne sposoby: przez regułę użytkownika, ustawienie skrzynki, regułę organizacyjną, delegację lub konfigurację administracyjną.
Sprawdź:
- forwarding na poziomie skrzynki,
- reguły przekierowania w Outlook/OWA,
- reguły transportowe w Exchange,
- delegacje do skrzynki,
- uprawnienia Full Access,
- Send As,
- Send on Behalf,
- zewnętrzne adresy odbierające kopie wiadomości,
- automatyczne odpowiedzi,
- podejrzane aliasy.
Nieznane przekierowanie na zewnętrzny adres to jeden z najpoważniejszych sygnałów. Może oznaczać, że korespondencja firmowa była kopiowana poza organizację.
Microsoft udostępnia także instrukcje audytu działań związanych z regułami skrzynki i mail flow rules w Exchange Online, co jest przydatne przy analizie, kto i kiedy utworzył lub zmodyfikował reguły wpływające na dostarczanie poczty.
Krok 7: Sprawdź wysłane wiadomości
Przejęta skrzynka może być użyta do wysyłania phishingu dalej: do pracowników, kontrahentów, klientów, księgowości, dostawców lub partnerów. Wiadomości wysłane z prawdziwego konta firmowego wyglądają bardziej wiarygodnie niż zwykły spam.
Sprawdź:
- folder Wysłane,
- wiadomości usunięte,
- nietypowe wiadomości do klientów,
- wiadomości z załącznikami,
- wiadomości z linkami,
- wiadomości z prośbą o płatność,
- wiadomości o zmianie numeru konta,
- wiadomości wysłane poza godzinami pracy,
- dużą liczbę wysłanych wiadomości,
- zwrotki niedostarczonych wiadomości,
- odpowiedzi od odbiorców.
Jeżeli z konta wysłano podejrzane wiadomości, trzeba ostrzec odbiorców. Nie można liczyć, że „może nikt nie kliknie”. Im szybciej firma poinformuje klientów lub kontrahentów, tym większa szansa ograniczenia szkód.
Krok 8: Sprawdź, czy atakujący nie czytał korespondencji finansowej
Włamanie na pocztę firmową często nie kończy się od razu. Atakujący może przez pewien czas obserwować korespondencję, szukać faktur, płatności, numerów rachunków, kontaktów do księgowości i wiadomości z klientami. Dopiero później może próbować podmienić dane do przelewu.
To klasyczny scenariusz Business Email Compromise.
Trzeba sprawdzić:
- wiadomości dotyczące faktur,
- wiadomości z załącznikami PDF,
- rozmowy z księgowością,
- korespondencję z kontrahentami,
- wiadomości o zaległych płatnościach,
- odpowiedzi na faktury,
- wiadomości z numerami rachunków,
- wiadomości z prośbą o zmianę danych płatności.
Jeżeli istnieje ryzyko, że atakujący mógł wysłać klientom fałszywe dane do przelewu, trzeba szybko poinformować osoby odpowiedzialne za finanse i skontaktować się z kontrahentami.
Krok 9: Sprawdź aplikacje OAuth i dostęp aplikacji zewnętrznych
W środowisku Microsoft 365 problemem mogą być także aplikacje zewnętrzne, które użytkownik autoryzował. Atakujący może próbować uzyskać dostęp nie tylko przez hasło, ale także przez zgodę na aplikację, która potem ma dostęp do poczty, plików lub profilu użytkownika.
Sprawdź:
- aplikacje z dostępem do konta,
- zgody użytkownika,
- aplikacje OAuth,
- nowe lub podejrzane aplikacje,
- uprawnienia do poczty,
- uprawnienia do plików,
- uprawnienia offline access,
- datę udzielenia zgody.
Jeżeli pojawiła się nieznana aplikacja z szerokimi uprawnieniami, trzeba ją usunąć i sprawdzić, czy podobna zgoda nie została udzielona przez innych użytkowników.
To ważny etap, bo zmiana hasła może nie rozwiązać problemu, jeżeli nieznana aplikacja nadal ma przyznane uprawnienia.
Krok 10: Sprawdź OneDrive, SharePoint i załączniki
Poczta firmowa często jest połączona z plikami. Użytkownik może wysyłać linki do OneDrive, odbierać załączniki, pracować z dokumentami w SharePoint albo mieć dostęp do folderów zespołu. Przejęcie konta może więc oznaczać ryzyko dostępu do plików firmowych.
Sprawdź:
- czy pobierano pliki z OneDrive,
- czy udostępniono nowe linki,
- czy zmieniono uprawnienia do plików,
- czy pobrano załączniki z poczty,
- czy udostępniano dane na zewnątrz,
- czy konto miało dostęp do SharePoint,
- czy użytkownik miał dostęp do dokumentów księgowych, handlowych lub kadrowych.
Jeżeli konto miało dostęp do dużej liczby danych, trzeba ocenić, czy mogło dojść do naruszenia poufności informacji. W zależności od rodzaju danych może być konieczna analiza pod kątem RODO i obowiązków zgłoszeniowych.
Krok 11: Sprawdź inne konta użytkownika
Jeżeli użytkownik używał tego samego hasła w innych systemach, trzeba założyć, że te systemy również mogą być zagrożone. Dotyczy to szczególnie sytuacji, gdy użytkownik wpisał hasło na stronie phishingowej.
Sprawdź dostęp do:
- Microsoft 365,
- VPN,
- ERP,
- CRM,
- sklepu internetowego,
- hostingu,
- panelu domeny,
- systemu księgowego,
- systemu magazynowego,
- bankowości,
- portali kontrahentów,
- narzędzi do faktur,
- aplikacji SaaS.
Jeżeli hasło było używane w wielu miejscach, trzeba je zmienić wszędzie. Najlepiej przy okazji wprowadzić zasadę unikalnych haseł i menedżera haseł.
Krok 12: Sprawdź, czy problem dotyczy tylko jednego konta
Jedna przejęta skrzynka może być początkiem większego problemu. Atakujący mógł wysłać phishing do innych pracowników z wewnętrznego, zaufanego adresu. Takie wiadomości są szczególnie niebezpieczne, bo wyglądają jak komunikacja z firmy.
Trzeba sprawdzić:
- czy inni pracownicy dostali podejrzane wiadomości,
- czy ktoś kliknął link,
- czy ktoś podał hasło,
- czy podobne logowania pojawiły się na innych kontach,
- czy podobne reguły poczty istnieją u innych użytkowników,
- czy atak dotyczy jednej osoby, czy całej organizacji.
Jeżeli wiadomość przyszła z konta przejętego kontrahenta, trzeba też poinformować kontrahenta. Możliwe, że jego środowisko zostało przejęte i atak rozchodzi się dalej.
Krok 13: Oceń ryzyko naruszenia danych
Po przejęciu skrzynki trzeba odpowiedzieć na trudne pytanie: czy mogło dojść do naruszenia danych?
Trzeba ocenić:
- jakie dane były w skrzynce,
- czy atakujący mógł je odczytać,
- czy mógł pobrać załączniki,
- czy konto miało dostęp do plików,
- czy w korespondencji były dane osobowe,
- czy były dane finansowe,
- czy były dane klientów,
- czy były dane pracowników,
- czy były umowy, faktury, dokumenty kadrowe lub medyczne,
- czy z konta wysyłano wiadomości dalej.
Nie każdy incydent oznacza automatycznie obowiązek zgłoszenia naruszenia, ale każdy powinien zostać oceniony. Jeżeli firma przetwarza dane osobowe, trzeba uwzględnić obowiązki wynikające z RODO i wewnętrznych procedur.
Krok 14: Udokumentuj incydent
Dokumentacja nie jest biurokracją dla samej biurokracji. Pomaga ustalić, co się stało, jakie działania wykonano i co trzeba poprawić.
W dokumentacji warto zapisać:
- datę i godzinę wykrycia,
- konto, którego dotyczył incydent,
- pierwsze objawy,
- podejrzane logowania,
- adresy IP,
- kraje logowania,
- zmiany MFA,
- reguły poczty,
- przekierowania,
- wysłane wiadomości,
- aplikacje zewnętrzne,
- wykonane działania,
- zmienione hasła,
- wylogowane sesje,
- decyzję dotyczącą naruszenia danych,
- działania naprawcze.
Przy kolejnym incydencie taka dokumentacja bardzo przyspiesza reakcję. Pozwala też pokazać, że firma podeszła do sprawy odpowiedzialnie.
Krok 15: Popraw zabezpieczenia po incydencie
Po opanowaniu sytuacji trzeba usunąć przyczynę i ograniczyć ryzyko powtórki. Jeżeli firma tylko zmieni hasło i zamknie temat, problem może wrócić.
Najważniejsze działania po incydencie:
- włączenie MFA dla wszystkich użytkowników,
- zmiana słabych metod MFA,
- blokada automatycznych przekierowań na zewnątrz,
- monitoring reguł poczty,
- przegląd kont administratorów,
- zasady silnych i unikalnych haseł,
- szkolenie użytkowników,
- konfiguracja SPF, DKIM i DMARC,
- lepsze filtrowanie phishingu,
- przegląd aplikacji OAuth,
- alerty dla nietypowych logowań,
- procedura zgłaszania phishingu,
- regularny przegląd logów i reguł poczty.
CISA zaleca małym i średnim firmom między innymi szkolenie pracowników w rozpoznawaniu phishingu oraz wymaganie silnych haseł, bo phishing i słabe poświadczenia nadal są typowym sposobem uzyskiwania dostępu do kont.
Czego nie robić przy podejrzeniu włamania na pocztę?
Nie należy:
- czekać, aż problem sam się wyjaśni,
- usuwać wiadomości bez analizy,
- zmieniać tylko hasła bez wylogowania sesji,
- ignorować reguł poczty,
- ignorować przekierowań,
- zakładać, że MFA na pewno zatrzymało atak,
- pomijać aplikacji OAuth,
- nie sprawdzać wysłanych wiadomości,
- ukrywać incydentu przed osobami odpowiedzialnymi za firmę,
- ignorować klientów, którzy zgłosili podejrzaną wiadomość,
- pomijać oceny naruszenia danych,
- kończyć działań bez dokumentacji.
Największy błąd to potraktowanie włamania na pocztę jak zwykłego resetu hasła. Reset hasła to dopiero początek.
Krótka checklista: włamanie na pocztę firmową
Jeżeli potrzebujesz szybkiej listy działań, użyj tej kolejności:
- Zablokuj lub zabezpiecz konto.
- Zmień hasło.
- Wyloguj aktywne sesje.
- Sprawdź logowania.
- Sprawdź MFA i metody uwierzytelniania.
- Sprawdź reguły poczty.
- Sprawdź przekierowania.
- Sprawdź wysłane wiadomości.
- Sprawdź aplikacje OAuth.
- Sprawdź OneDrive i SharePoint.
- Sprawdź inne konta z tym samym hasłem.
- Sprawdź, czy problem dotyczy innych użytkowników.
- Oceń ryzyko naruszenia danych.
- Udokumentuj incydent.
- Popraw zabezpieczenia po incydencie.
Jak pomaga Rovens?
Rovens pomaga firmom sprawdzać i zabezpieczać pocztę firmową po podejrzeniu włamania. W praktyce obejmuje to analizę logowań, aktywnych sesji, MFA, reguł poczty, przekierowań, aplikacji zewnętrznych, wysłanych wiadomości, dostępów do Microsoft 365, OneDrive, SharePoint i podstawowych ryzyk związanych z przejęciem konta.
Jeżeli podejrzewasz przejęcie skrzynki, warto zacząć od przeglądu konta i środowiska w ramach cyberbezpieczeństwa dla firm. Taki przegląd pozwala ustalić, czy konto było używane przez osobę nieuprawnioną, czy dodano reguły ukrywające wiadomości, czy istnieją przekierowania i czy z konta wysyłano podejrzane wiadomości.
Podsumowanie
Włamanie na pocztę firmową to nie jest zwykły problem z hasłem. Przejęta skrzynka może zostać użyta do czytania korespondencji, wyłudzeń finansowych, podmiany numeru konta, wysyłania phishingu do klientów, dostępu do plików i resetowania haseł w innych usługach.
Dlatego reakcja powinna być konkretna i uporządkowana. Trzeba zabezpieczyć konto, zmienić hasło, wylogować sesje, sprawdzić MFA, logowania, reguły poczty, przekierowania, wysłane wiadomości, aplikacje OAuth, OneDrive, SharePoint oraz inne konta użytkownika.
Najważniejsze jest to, żeby nie kończyć działań na zmianie hasła. Atakujący mógł zostawić po sobie reguły, przekierowania, aplikacje zewnętrzne albo wysłać wiadomości do kontrahentów. Dopiero pełna analiza pozwala ocenić, czy firma odzyskała kontrolę nad kontem i czy trzeba podjąć dalsze działania.
Dobrze przygotowana firma powinna mieć MFA, monitoring logowań, zasady silnych haseł, kontrolę przekierowań, regularny przegląd kont, procedurę reagowania na phishing i jasny sposób zgłaszania podejrzanych wiadomości. Wtedy włamanie na pocztę nadal może się zdarzyć, ale skutki będą łatwiejsze do ograniczenia.










