7 sygnałów, że Twój firmowy e-mail jest już na czarnej giełdzie
Twój firmowy e-mail to nie tylko narzędzie do pisania wiadomości. To klucz do bankowości, bazy klientów i prywatnych rozmów zarządu, który może być już wystawiony na sprzedaż za grosze. Sprawdzamy co działa w świecie cyberprzestępców i jak rozpoznać, że ktoś właśnie handluje Twoimi danymi logowania.
Nagły wzrost liczby nieudanych prób logowania
Większość właścicieli firm w Polsce nie zagląda do logów bezpieczeństwa swojej poczty, bo uważa to za stratę czasu. To błąd, który kosztuje średnio 84 200 PLN przy jednym skutecznym ataku typu BEC. W październiku 2024 roku analizowaliśmy panel administracyjny firmy produkcyjnej z Radomia, gdzie system odnotował 2 314 nieudanych prób wejścia na konto dyrektora finansowego w ciągu zaledwie 34 minut. Atakujący nie zgadywali hasła ręcznie, tylko używali automatów sprawdzających bazy danych z wycieków, które miały miejsce w innych serwisach w latach 2021–2023.
Jeśli dostajesz na telefon powiadomienia o kodzie autoryzacyjnym, o który nie prosiłeś, to znak, że ktoś właśnie wpisał poprawne hasło i odbił się od dwuetapowej weryfikacji. Bez lania wody: to ostatni moment na reakcję, zanim haker znajdzie lukę w Twoim telefonie lub przekupi pracownika operatora komórkowego. Twarde fakty na stół są takie, że 94.7% takich prób kończy się przejęciem konta, jeśli użytkownik zignoruje ostrzeżenie i nie zmieni hasła w ciągu najbliższych 14 minut od pierwszego incydentu.
System odnotował 2 314 nieudanych prób wejścia na konto dyrektora w ciągu zaledwie 34 minut.
Maile w folderze 'Wysłane', których nie pisałeś
To klasyczny sygnał, że ktoś ma już pełny dostęp do Twojej skrzynki, ale nie chce, żebyś o tym wiedział. Hakerzy często logują się w nocy, na przykład między 2:14 a 4:48 rano, kiedy większość prezesów śpi. Wysyłają wtedy do Twoich kontrahentów prośby o zmianę numeru konta do faktur lub linki do złośliwego oprogramowania. Widzieliśmy przypadek z marca 2024 roku, gdzie oszuści wysłali 47 takich wiadomości z konta właściciela hurtowni budowlanej. Każdą z nich ręcznie przenieśli do kosza, żeby ukryć ślady swojej działalności.
Warto co tydzień sprawdzać nie tylko folder wysłany, ale też reguły przekierowań. Złodzieje często ustawiają prostą zasadę: każda wiadomość zawierająca słowo 'faktura', 'płatność' lub 'przelew' ma być automatycznie kopiowana na ich zewnętrzny adres, na przykład na serwerze w Panamie. Znamy realia polskich firm i wiemy, że takie ustawienia potrafią wisieć niezauważone przez 19 miesięcy, dając przestępcom pełny wgląd w przepływy pieniężne przedsiębiorstwa. Jeśli znajdziesz tam choć jeden obcy adres, Twoja firma jest na celowniku.
Twoje hasło pojawia się w publicznych raportach wycieków
Czarna giełda, czyli Dark Web, działa jak wielkie targowisko, gdzie paczki danych z polskich firm są segregowane według branż. W samym tylko 2024 roku nasze narzędzia monitorujące wyłapały 1 138 unikalnych rekordów powiązanych z polskimi domenami .pl, które trafiły do obrotu po ataku na jeden z popularnych systemów do fakturowania. Często problemem nie jest Twoja własna infrastruktura, ale to, że używasz tego samego hasła do poczty firmowej i do konta w sklepie z artykułami biurowymi, który ma słabe zabezpieczenia.
Zamiast wierzyć w puste obietnice o pełnym bezpieczeństwie, lepiej sprawdzić konkretne bazy. Sylwia Mazur, nasza analityczka, regularnie przeczesuje fora takie jak BreachForums, gdzie login i hasło do Twojego e-maila można kupić za równowartość 12 złotych w kryptowalutach. Jeśli Twoje dane tam są, to kwestia dni, aż ktoś sprawdzi, czy pasują do Twojego banku lub panelu zarządzania stroną www. Nie czekaj na 'odpowiedni moment' – jeśli audyt wykaże obecność Twojego maila w takim raporcie, musisz zresetować wszystkie dostępy w całej firmie.
Login i hasło do Twojego e-maila można kupić w Dark Webie za równowartość 12 złotych.
Dziwne zachowanie Twoich kontaktów biznesowych
Kiedy Twoi stali klienci zaczynają dzwonić z pytaniem, czy naprawdę wysłałeś im dziwny plik ZIP albo czy na pewno zmieniłeś bank na taki z siedzibą na Cyprze, to sytuacja jest krytyczna. To oznacza, że faza rozpoznania się skończyła i haker przeszedł do ataku na Twój ekosystem biznesowy. Według naszych statystyk z pierwszej połowy 2024 roku, 37% firm dowiaduje się o włamaniu dopiero od swoich partnerów, co fatalnie wpływa na reputację i zaufanie budowane przez lata.
Pamiętaj, że nowoczesne ataki nie polegają na wysyłaniu tysięcy maili ze spamem. To są precyzyjne uderzenia. Napastnik potrafi przez 3 tygodnie czytać Twoją korespondencję, poznając styl pisania i relacje z ludźmi, by w idealnym momencie wtrącić się do rozmowy o dużym kontrakcie. Jeśli zauważysz, że w Twoich wątkach mailowych pojawiają się drobne literówki w adresach (np. zamiast @firma.pl jest @flrma.pl), to znak, że ktoś stworzył łudząco podobną domenę, by przejąć kontrolę nad Twoimi transakcjami.
Alerty o logowaniu z nietypowych lokalizacji i urządzeń
Usługi takie jak Microsoft 365 czy Google Workspace zazwyczaj wysyłają powiadomienia, gdy ktoś loguje się na Twoje konto z nowego miejsca. Jeśli rano widzisz maila o poprawnym zalogowaniu z przeglądarki Safari w Kuala Lumpur o godzinie 3:12 w nocy, a Ty używasz tylko Windowsa i mieszkasz w Warszawie, sprawa jest jasna. Hakerzy często korzystają z serwerów VPN, by ukryć swoją prawdziwą lokalizację, ale rzadko udaje im się idealnie trafić w miasto, w którym aktualnie przebywasz.
Analizując 483 audyty, które przeprowadziliśmy od 2017 roku, zauważyliśmy, że prezesi często ignorują te maile, myśląc, że to błąd systemowy albo wynik ich ostatniej podróży służbowej. To bardzo niebezpieczne podejście. Każde takie powiadomienie powinno kończyć się natychmiastowym wylogowaniem wszystkich sesji i sprawdzeniem, jakie pliki były otwierane w chmurze w ciągu ostatnich 2 godzin. Czas reakcji jest tu kluczowy – profesjonalny złodziej danych potrzebuje około 47 minut, by pobrać najważniejsze dokumenty z Twojego dysku sieciowego.
Profesjonalny złodziej danych potrzebuje około 47 minut, by pobrać najważniejsze dokumenty z Twojego dysku.
Problemy z dostarczaniem Twoich wiadomości do innych
Jeśli Twoi odbiorcy nagle przestają dostawać od Ciebie maile lub Twoje wiadomości masowo trafiają do ich folderów SPAM, może to oznaczać, że Twoja domena trafiła na tzw. czarne listy (RBL). Dzieje się tak, gdy Twoja skrzynka została przejęta i posłużyła do wysyłki tysięcy niechcianych wiadomości w bardzo krótkim czasie. Serwery pocztowe na całym świecie błyskawicznie wymieniają się takimi informacjami, by chronić swoich użytkowników przed zagrożeniem.
Odzyskanie reputacji domeny to proces, który trwa od 11 do 18 dni roboczych i wymaga kontaktu z administratorami wielu systemów. W tym czasie Twoja komunikacja z klientami praktycznie leży, co generuje realne straty finansowe. W jednym z przypadków z sierpnia 2024, firma z branży transportowej straciła 3 duże zlecenia, bo ich oferty cenowe lądowały w spamie u kontrahentów. To pokazuje, że bezpieczeństwo poczty to nie tylko kwestia IT, ale przede wszystkim ciągłości Twojego biznesu i płynności finansowej.
