Pracownik kliknął podejrzany link – co powinna zrobić firma krok po kroku?

Opublikowano Dodaj komentarz
Pracownik kliknął podejrzany link - co powinna zrobić firma krok po kroku

Jeżeli pracownik kliknął podejrzany link, firma powinna działać szybko, ale spokojnie. Najważniejsze kroki to: nie podawać dalszych danych, zabezpieczyć konto, zmienić hasło, wylogować aktywne sesje, sprawdzić MFA, przejrzeć reguły poczty i przekierowania, zweryfikować logowania, sprawdzić komputer, ocenić, czy doszło do pobrania pliku, oraz udokumentować zdarzenie. Samo kliknięcie linku nie zawsze oznacza włamanie, ale wpisanie hasła, kodu MFA, pobranie pliku albo uruchomienie załącznika może już oznaczać realny incydent.

Phishing jest jedną z najczęstszych metod ataku na firmy. Polega na podszywaniu się pod zaufaną osobę, firmę, bank, operatora, dostawcę poczty, kuriera, kontrahenta albo usługę Microsoft 365 po to, aby nakłonić użytkownika do kliknięcia linku, podania hasła, zatwierdzenia logowania, pobrania pliku lub wykonania przelewu. CISA zaleca rozpoznawanie i zgłaszanie phishingu, a brytyjskie NCSC podkreśla, że organizacje powinny budować odporność na phishing nie tylko przez szkolenia, ale też przez techniczne zabezpieczenia i procedury zgłaszania.

W małej firmie najgorsza reakcja to zlekceważenie tematu. Drugim błędem jest panika i przypadkowe działania bez kolejności. Prawidłowa reakcja powinna ustalić trzy rzeczy:

  • czy pracownik tylko kliknął link,
  • czy wpisał login, hasło, kod MFA albo dane firmowe,
  • czy pobrał lub uruchomił plik.

Od tego zależy dalsza procedura.

Krok 1: Ustal, co dokładnie zrobił pracownik

Na początku trzeba zebrać podstawowe informacje. Nie oceniaj pracownika i nie szukaj winnego. Jeżeli ludzie boją się zgłaszać takie sytuacje, następnym razem mogą ukryć problem. Wtedy firma straci najważniejszy element reakcji: czas.

Trzeba zapytać:

  • kiedy wiadomość przyszła,
  • z jakiego adresu,
  • jaki był temat wiadomości,
  • czy pracownik kliknął link,
  • czy strona się otworzyła,
  • czy wpisał login i hasło,
  • czy podał kod MFA lub zatwierdził logowanie w aplikacji,
  • czy pobrał plik,
  • czy uruchomił plik,
  • czy otworzył załącznik,
  • czy wiadomość została przesłana dalej,
  • czy problem dotyczy poczty firmowej, banku, systemu ERP, Microsoft 365, kuriera, portalu kontrahenta lub innej usługi.

To ważne, bo samo kliknięcie linku nie zawsze ma takie same skutki jak wpisanie hasła. Jeżeli użytkownik tylko otworzył stronę, ryzyko może być mniejsze. Jeżeli podał dane logowania, trzeba traktować sprawę jak potencjalne przejęcie konta. Jeżeli uruchomił plik, trzeba sprawdzić urządzenie pod kątem złośliwego oprogramowania.

Krok 2: Zachowaj wiadomość i dowody

Nie usuwaj od razu wiadomości. Najpierw zachowaj informacje potrzebne do analizy:

  • adres nadawcy,
  • temat wiadomości,
  • datę i godzinę,
  • link z wiadomości,
  • załączniki,
  • zrzut ekranu strony,
  • informację, co użytkownik wpisał,
  • nazwę komputera i użytkownika,
  • adres IP, jeżeli jest dostępny,
  • logi z Microsoft 365 lub innego systemu.

Wiadomość może być potrzebna do sprawdzenia, czy trafiła też do innych pracowników. Może też pomóc ustalić, czy link prowadził do fałszywego logowania Microsoft 365, pobrania pliku, strony podszywającej się pod bank, formularza Google, system kuriera albo inną usługę.

Dopiero po zabezpieczeniu informacji można usuwać wiadomości ze skrzynek użytkowników lub blokować podobne wiadomości.

Krok 3: Jeżeli pracownik wpisał hasło — natychmiast zabezpiecz konto

Jeżeli pracownik wpisał login i hasło na podejrzanej stronie, trzeba założyć, że dane mogły zostać przejęte. W takim przypadku nie wystarczy powiedzieć użytkownikowi: „zmień hasło”. Trzeba również wylogować aktywne sesje i sprawdzić, czy atakujący nie zdążył dodać własnych metod logowania, reguł poczty albo przekierowań.

W środowisku Microsoft 365 Microsoft zaleca przy podejrzeniu kompromitacji skrzynki między innymi odzyskanie kontroli nad kontem, sprawdzenie aktywności, reguł skrzynki i śladów nadużycia konta. Microsoft wskazuje też, że przejęte konto pocztowe może być używane do wysyłania wiadomości do odbiorców wewnątrz i poza organizacją, co jest typowe dla Business Email Compromise.

Minimalne działania:

  • zresetować hasło użytkownika,
  • wymusić wylogowanie ze wszystkich sesji,
  • sprawdzić metody MFA,
  • usunąć nieznane metody uwierzytelniania,
  • sprawdzić logowania z nietypowych lokalizacji,
  • sprawdzić aplikacje OAuth i udzielone zgody,
  • sprawdzić reguły poczty,
  • sprawdzić przekierowania,
  • sprawdzić wysłane wiadomości,
  • sprawdzić, czy podobny link nie trafił do innych osób.

Ważne: jeżeli atakujący ma aktywną sesję, sama zmiana hasła może nie wystarczyć. Trzeba wymusić wylogowanie aktywnych sesji i unieważnić tokeny, jeżeli system na to pozwala.

Krok 4: Sprawdź MFA, czyli drugi składnik logowania

Jeżeli firma korzysta z MFA, trzeba sprawdzić, czy pracownik nie zatwierdził podejrzanego logowania. Ataki phishingowe coraz częściej próbują nie tylko ukraść hasło, ale też wymusić zatwierdzenie logowania przez aplikację, SMS albo inny drugi składnik.

Trzeba sprawdzić:

  • jakie metody MFA są przypisane do konta,
  • czy nie pojawił się nowy telefon,
  • czy nie dodano nowej aplikacji Authenticator,
  • czy nie dodano alternatywnego numeru telefonu,
  • czy użytkownik zatwierdzał nietypowe powiadomienie,
  • czy logowania pochodzą z nietypowych krajów lub adresów IP,
  • czy nie ma podejrzanych prób logowania zakończonych sukcesem.

MFA bardzo pomaga, ale nie jest magiczną ochroną. Jeżeli użytkownik poda hasło i zatwierdzi logowanie, atakujący może uzyskać dostęp. Dlatego po phishingu trzeba sprawdzić nie tylko hasło, ale też metody uwierzytelniania i historię logowań.

Krok 5: Sprawdź reguły poczty i przekierowania

Po przejęciu skrzynki atakujący często nie robi od razu nic widocznego. Może dodać regułę, która ukrywa odpowiedzi, usuwa wiadomości, przenosi maile do archiwum, oznacza je jako przeczytane albo przekierowuje korespondencję na zewnętrzny adres.

Dlatego trzeba sprawdzić:

  • reguły skrzynki odbiorczej,
  • reguły ukrywające wiadomości,
  • reguły przenoszące pocztę do folderów,
  • automatyczne przekierowania,
  • delegacje skrzynki,
  • dostęp do skrzynki współdzielonej,
  • aliasy,
  • wysłane wiadomości,
  • usunięte wiadomości,
  • wiadomości wysłane do kontrahentów.

To jeden z najważniejszych etapów. Jeżeli firma tylko zmieni hasło, ale zostawi regułę przekierowania, atakujący może nadal otrzymywać kopie wiadomości albo ukrywać korespondencję dotyczącą faktur, płatności i zamówień.

Krok 6: Sprawdź, czy wiadomość dotarła do innych pracowników

Phishing rzadko trafia tylko do jednej osoby. Jeżeli jeden pracownik dostał podejrzaną wiadomość, trzeba sprawdzić, czy identyczna lub podobna wiadomość nie trafiła do innych skrzynek.

Warto sprawdzić:

  • temat wiadomości,
  • adres nadawcy,
  • domenę nadawcy,
  • linki w wiadomości,
  • załączniki,
  • podobne wiadomości w ostatnich godzinach,
  • czy ktoś przesłał wiadomość dalej,
  • czy ktoś odpowiedział nadawcy,
  • czy ktoś wpisał dane logowania.

Jeżeli firma korzysta z Microsoft 365, administrator może wykorzystać narzędzia bezpieczeństwa, śledzenie wiadomości i wyszukiwanie zagrożeń, zależnie od posiadanych licencji. W małej firmie nawet proste wyszukanie tematu lub adresu nadawcy w skrzynkach może pomóc ustalić skalę problemu.

Krok 7: Jeżeli pobrano lub uruchomiono plik — odłącz komputer od sieci

Jeżeli pracownik pobrał i uruchomił plik, sytuacja jest poważniejsza. Wtedy trzeba założyć możliwość infekcji urządzenia. Jeżeli istnieje podejrzenie złośliwego oprogramowania, warto odłączyć komputer od sieci firmowej i internetu, aby ograniczyć potencjalną komunikację z atakującym lub rozprzestrzenianie się zagrożenia.

Nie chodzi o wyłączenie całej firmy. Chodzi o izolację konkretnego urządzenia.

Należy:

  • odłączyć komputer od Wi-Fi lub kabla sieciowego,
  • nie podłączać dysków USB,
  • nie logować się na tym komputerze do kolejnych systemów,
  • nie usuwać pochopnie plików bez analizy,
  • zapisać nazwę pliku i lokalizację,
  • sprawdzić, czy plik był uruchomiony,
  • wykonać skanowanie narzędziem ochronnym,
  • sprawdzić autostart, procesy i logi,
  • rozważyć reinstalację lub odtworzenie urządzenia, jeżeli ryzyko jest wysokie.

Jeżeli firma ma EDR, antywirusa centralnie zarządzanego lub system monitoringu, należy sprawdzić alerty dla danego urządzenia.

Krok 8: Sprawdź logowania do kluczowych systemów

Jeżeli kliknięty link dotyczył poczty, Microsoft 365, banku, systemu ERP, panelu klienta, sklepu internetowego, hostingu lub innej usługi, trzeba sprawdzić logowania.

Warto przejrzeć:

  • logowania użytkownika,
  • nietypowe lokalizacje,
  • nietypowe urządzenia,
  • logowania poza godzinami pracy,
  • nieudane próby logowania,
  • udane logowanie po kliknięciu linku,
  • zmiany hasła,
  • zmiany MFA,
  • zmiany w uprawnieniach,
  • zmiany w konfiguracji konta,
  • aktywne sesje.

Jeżeli link podszywał się pod Microsoft 365, priorytetem jest konto Microsoft. Jeżeli podszywał się pod bank, trzeba natychmiast skontaktować się z bankiem. Jeżeli dotyczył kuriera albo faktury, trzeba sprawdzić, czy nie doszło do pobrania pliku lub wpisania danych.

Krok 9: Zmień hasła także tam, gdzie użytkownik używał tego samego hasła

To bardzo ważne. Jeżeli pracownik wpisał hasło na fałszywej stronie i używał tego samego hasła w innych systemach, trzeba je zmienić również tam.

Dotyczy to zwłaszcza:

  • poczty,
  • Microsoft 365,
  • VPN,
  • systemu ERP,
  • CRM,
  • sklepu internetowego,
  • panelu hostingu,
  • panelu domeny,
  • systemu księgowego,
  • kont bankowych,
  • portali kontrahentów.

Hasło użyte w wielu miejscach zwiększa skalę incydentu. Jedno przejęte hasło może dać dostęp do kilku systemów. Dlatego firma powinna wymagać unikalnych haseł i MFA wszędzie tam, gdzie to możliwe.

Krok 10: Sprawdź, czy nie doszło do wycieku danych lub oszustwa finansowego

Po kliknięciu linku trzeba ocenić, czy atak mógł doprowadzić do wycieku danych albo próby oszustwa finansowego.

Trzeba sprawdzić:

  • czy z konta wysłano wiadomości do kontrahentów,
  • czy wysłano wiadomości z prośbą o zmianę numeru rachunku,
  • czy atakujący czytał korespondencję z fakturami,
  • czy były odpowiedzi od klientów,
  • czy w skrzynce są wiadomości o płatnościach,
  • czy ktoś wysłał dane osobowe,
  • czy pobrano pliki z OneDrive lub SharePoint,
  • czy były nietypowe działania na koncie,
  • czy kontrahenci zgłaszają podejrzane wiadomości.

Phishing może być początkiem Business Email Compromise, czyli oszustwa opartego na przejęciu lub podszyciu się pod pocztę firmową. Atakujący mogą obserwować korespondencję, a później próbować podmienić numer rachunku na fakturze albo wysłać fałszywą prośbę o płatność.

Jeżeli istnieje ryzyko naruszenia danych osobowych, firma powinna ocenić obowiązki wynikające z RODO i procedur wewnętrznych. W niektórych przypadkach konieczne może być zgłoszenie naruszenia do właściwego organu lub poinformowanie osób, których dane dotyczą.

Krok 11: Ostrzeż innych pracowników

Po potwierdzeniu phishingu trzeba szybko ostrzec zespół. Komunikat powinien być krótki i konkretny.

Przykład:

Uwaga, do pracowników trafia fałszywa wiadomość podszywająca się pod [nazwa]. Nie klikajcie linku, nie wpisujcie hasła i nie otwierajcie załącznika. Jeżeli ktoś kliknął lub podał dane, proszę natychmiast zgłosić to do osoby odpowiedzialnej za IT.

Nie należy zawstydzać osoby, która kliknęła link. Lepiej pokazać wiadomość jako przykład i wyjaśnić, na co uważać: nadawcę, domenę, presję czasu, link, załącznik, prośbę o hasło, kod MFA lub płatność.

CISA i NCSC promują zgłaszanie podejrzanych wiadomości jako część obrony przed phishingiem, bo szybkie raportowanie pomaga ograniczać skutki i blokować kampanie.

Krok 12: Usuń lub zablokuj wiadomość w organizacji

Jeżeli wiadomość trafiła do wielu osób, należy ją usunąć lub zablokować, zależnie od możliwości systemu pocztowego.

Można wykonać:

  • blokadę nadawcy,
  • blokadę domeny,
  • blokadę linku,
  • usunięcie wiadomości ze skrzynek,
  • zgłoszenie phishingu do dostawcy poczty,
  • utworzenie reguły transportowej,
  • analizę podobnych wiadomości,
  • sprawdzenie, czy ktoś odpowiedział.

Trzeba uważać, aby nie blokować pochopnie całych legalnych domen, jeżeli atak polegał na podszyciu lub przejęciu konta kontrahenta. Czasami wiadomość przychodzi z prawdziwego konta, które zostało przejęte. Wtedy problem jest bardziej złożony.

Krok 13: Sprawdź backup i możliwość odtworzenia danych

Jeżeli istniało ryzyko pobrania lub uruchomienia złośliwego pliku, trzeba sprawdzić backup. Nie dlatego, że zawsze trzeba odtwarzać dane, ale dlatego, że firma musi wiedzieć, czy ma możliwość powrotu do pracy, gdyby okazało się, że doszło do infekcji lub szyfrowania plików.

Warto sprawdzić:

  • kiedy był ostatni poprawny backup,
  • czy backup obejmuje dane użytkownika,
  • czy backup obejmuje pliki firmowe,
  • czy backup obejmuje serwer,
  • czy backup obejmuje bazy danych,
  • czy backup nie jest dostępny z tego samego konta użytkownika,
  • czy wykonano test odtworzenia,
  • czy są kopie offline lub poza głównym środowiskiem.

Backup jest szczególnie ważny, gdy phishing prowadził do pobrania pliku, makra, archiwum, programu EXE, skryptu, pliku ISO, pliku HTML albo fałszywego dokumentu.

Krok 14: Udokumentuj incydent

Każdy taki przypadek warto opisać. Nie musi to być raport korporacyjny, ale firma powinna wiedzieć, co się stało i co zrobiono.

Dokumentacja powinna zawierać:

  • datę i godzinę zdarzenia,
  • użytkownika,
  • opis wiadomości,
  • adres nadawcy,
  • link lub nazwę załącznika,
  • informację, czy podano dane,
  • informację, czy pobrano plik,
  • wykonane działania,
  • wyniki sprawdzenia logów,
  • zmienione hasła,
  • sprawdzone reguły poczty,
  • informację o backupie,
  • wnioski i zalecenia.

Dokumentacja pomaga przy kolejnych incydentach. Pozwala też pokazać, że firma nie zignorowała problemu i podjęła działania ograniczające ryzyko.

Krok 15: Wyciągnij wnioski i popraw zabezpieczenia

Po opanowaniu sytuacji trzeba odpowiedzieć na pytanie: dlaczego ta wiadomość była groźna i co można poprawić?

Najczęstsze działania po incydencie:

  • włączenie MFA,
  • zmiana słabych metod MFA,
  • edukacja użytkowników,
  • konfiguracja SPF, DKIM i DMARC,
  • poprawa filtrów antyspamowych,
  • blokada automatycznych przekierowań poczty,
  • przegląd reguł transportowych,
  • wdrożenie przycisku zgłaszania phishingu,
  • ograniczenie lokalnych administratorów,
  • poprawa backupu,
  • monitoring logowań,
  • przegląd uprawnień,
  • procedura reakcji na phishing.

Nie chodzi o to, żeby po jednym kliknięciu wprowadzać chaos i zakazy. Chodzi o to, żeby firma po incydencie była lepiej przygotowana niż przed nim.

Czego nie robić po kliknięciu podejrzanego linku?

Nie należy:

  • ukrywać zdarzenia,
  • czekać „czy coś się stanie”,
  • obwiniać pracownika zamiast zebrać informacje,
  • usuwać wiadomości bez zabezpieczenia dowodów,
  • zmieniać tylko hasła bez wylogowania sesji,
  • ignorować reguł poczty i przekierowań,
  • zakładać, że MFA zawsze zatrzymało atak,
  • uruchamiać ponownie podejrzanego pliku „żeby zobaczyć”,
  • logować się z podejrzanego komputera do kolejnych systemów,
  • ignorować innych pracowników, którzy mogli dostać tę samą wiadomość,
  • zapominać o backupie.

Największy błąd to potraktowanie sprawy jako jednorazowego problemu użytkownika. Phishing jest problemem organizacji, nie tylko jednej osoby.

Krótka checklista: pracownik kliknął podejrzany link

Jeżeli trzeba działać szybko, użyj tej listy:

  1. Ustal, czy pracownik tylko kliknął, czy wpisał dane.
  2. Zachowaj wiadomość, link, załącznik i godzinę zdarzenia.
  3. Jeżeli podano hasło — zresetuj hasło.
  4. Wyloguj aktywne sesje użytkownika.
  5. Sprawdź metody MFA.
  6. Sprawdź logowania i nietypowe lokalizacje.
  7. Sprawdź reguły poczty i przekierowania.
  8. Sprawdź wysłane wiadomości.
  9. Sprawdź, czy podobna wiadomość trafiła do innych osób.
  10. Jeżeli pobrano plik — odłącz komputer od sieci i sprawdź urządzenie.
  11. Sprawdź backup i możliwość odtworzenia danych.
  12. Ostrzeż pracowników.
  13. Zablokuj wiadomość, link lub nadawcę, jeżeli to zasadne.
  14. Udokumentuj zdarzenie.
  15. Popraw zabezpieczenia i procedury.

Jak pomaga Rovens?

Rovens pomaga firmom reagować na sytuacje, w których pracownik kliknął podejrzany link, podał dane logowania, pobrał plik albo istnieje podejrzenie przejęcia poczty firmowej.

W ramach cyberbezpieczeństwa dla firm można sprawdzić konto użytkownika, logowania, MFA, reguły poczty, przekierowania, aktywne sesje, podejrzane wiadomości, backup i podstawowe ryzyka w środowisku Microsoft 365.

Podsumowanie

Jeżeli pracownik kliknął podejrzany link, firma nie powinna panikować, ale nie powinna też ignorować sytuacji. Najważniejsze jest szybkie ustalenie, czy użytkownik tylko kliknął link, czy podał login i hasło, zatwierdził MFA, pobrał plik albo uruchomił załącznik.

Samo kliknięcie nie zawsze oznacza włamanie. Podanie danych logowania, zatwierdzenie drugiego składnika, dodanie nowej metody MFA, uruchomienie pliku albo aktywna sesja z nietypowej lokalizacji to już poważniejsze sygnały.

Najważniejsze działania to: zabezpieczenie konta, reset hasła, wylogowanie sesji, sprawdzenie MFA, reguł poczty, przekierowań, logowań, urządzenia, backupu i innych pracowników. Potem trzeba udokumentować zdarzenie i poprawić zabezpieczenia, aby podobna sytuacja nie zakończyła się poważniejszym incydentem.

Phishingu nie da się całkowicie wyeliminować. Można jednak ograniczyć ryzyko i skutki: przez MFA, dobrą konfigurację poczty, procedurę zgłaszania, backup, monitoring logowań, edukację użytkowników i jasną reakcję krok po kroku.

Średnia ocen użytkowników 0 na podstawie 0 głosów

Dodaj komentarz