Phishing na weryfikację konta pocztowego

TL;DR

CERT Polska opisał kampanię podszywającą się pod dostawcę usług pocztowych. Wiadomość informuje o rzekomym planowanym wyłączeniu lub dezaktywacji konta, a link prowadzi do strony przypominającej panel logowania poczty. W rzeczywistości jest to fałszywa witryna służąca do przechwycenia loginu i hasła.

Ten scenariusz jest groźny, bo poczta jest centrum tożsamości użytkownika. Przez skrzynkę resetuje się hasła, odbiera faktury, prowadzi rozmowy z kontrahentami, potwierdza procesy HR, przesyła dokumenty i obsługuje systemy SaaS. Przejęcie poczty może więc oznaczać przejęcie znacznie większej części organizacji niż jedno konto e-mail.

Najważniejsza zasada dla użytkownika jest konkretna: komunikatu o blokadzie, dezaktywacji albo weryfikacji poczty nie sprawdzamy przez link z wiadomości. Wchodzimy do poczty oficjalnym kanałem i dopiero tam szukamy potwierdzenia problemu.

Dlaczego fałszywa weryfikacja poczty działa

Wiadomość o dezaktywacji konta wywołuje prostą reakcję: trzeba działać szybko, bo inaczej stracę dostęp. Dla użytkownika poczta jest narzędziem pracy, więc groźba jej wyłączenia brzmi poważnie. Przestępcy wykorzystują ten odruch.

Taki phishing nie musi być bardzo rozbudowany. Wystarczy krótki komunikat o planowanym wyłączeniu, link do weryfikacji i strona przypominająca panel logowania. Jeżeli użytkownik działa w pośpiechu, może wpisać login i hasło zanim sprawdzi domenę, nadawcę albo oficjalny panel usługi.

W firmach ryzyko jest większe, bo poczta często jest powiązana z logowaniem jednokrotnym, czyli Single Sign-On. Single Sign-On, w skrócie SSO, pozwala używać jednego konta do wielu aplikacji. To wygodne, ale po przejęciu danych logowania atakujący może próbować dostać się nie tylko do poczty, lecz także do plików, komunikatora, CRM, HR, helpdesku albo paneli administracyjnych.

Ten scenariusz jest klasycznym przykładem phishingu, ale jego skutki często przypominają incydent tożsamości. Celem nie jest sama wiadomość. Celem jest konto i wszystko, do czego konto daje dostęp.

Skrzynka pocztowa to nie tylko e-mail

Skrzynka pocztowa zawiera więcej niż korespondencję. Jest archiwum relacji biznesowych, źródłem danych o kontrahentach, magazynem załączników, kanałem resetu haseł i miejscem, w którym użytkownik potwierdza wiele procesów.

Po przejęciu poczty atakujący może czytać wcześniejsze wątki i uczyć się stylu komunikacji. Może znaleźć faktury, numery rachunków, dane osobowe, dokumenty HR, umowy, potwierdzenia zamówień i wiadomości z systemów SaaS. Może też usuwać wiadomości, tworzyć reguły przekazywania, ukrywać odpowiedzi i przygotowywać bardziej precyzyjne oszustwa.

Szczególnie groźne są oszustwa Business Email Compromise, czyli BEC. W takim scenariuszu przestępca wykorzystuje zaufanie do przejętej korespondencji, aby zmienić numer rachunku, poprosić o pilny przelew, wysłać fałszywy dokument albo nakłonić kontrahenta do ujawnienia danych.

Dlatego przejęcie skrzynki nie powinno być traktowane jako zwykła zmiana hasła po błędzie użytkownika. To zdarzenie, które wymaga sprawdzenia skutków.

Jak wygląda moment decyzji użytkownika

Użytkownik dostaje wiadomość, która informuje o problemie z kontem. Może to być blokada, dezaktywacja, wygasająca skrzynka, przekroczony limit, konieczność potwierdzenia aktywności albo aktualizacja zabezpieczeń. Link prowadzi do strony, która wygląda jak panel logowania.

Decyzja zapada bardzo szybko. Użytkownik nie analizuje całej wiadomości. Widzi groźbę utraty dostępu i próbuje ją usunąć. Właśnie dlatego fałszywe komunikaty o kontach pocztowych są skuteczne. Dotykają codziennego narzędzia, bez którego trudno pracować.

Punktem zatrzymania powinno być pytanie: czy ta informacja jest widoczna także po wejściu do poczty oficjalnym kanałem? Jeśli dostawca naprawdę wymaga działania, użytkownik powinien zobaczyć komunikat po ręcznym wpisaniu adresu usługi, otwarciu aplikacji albo wejściu przez firmowy portal.

Drugim punktem zatrzymania jest domena. Fałszywa strona może mieć logo i podobny układ, ale nie będzie oficjalnym adresem dostawcy. Warto też sprawdzić, czy nadawca wiadomości jest zgodny z rzeczywistą domeną organizacji lub dostawcy usługi.

Microsoft 365, Google Workspace i polski kontekst firmowy

W Polsce wiele firm używa Microsoft 365, Google Workspace, hostingu pocztowego, paneli dostawców domen, systemów CRM, ERP i narzędzi HR połączonych z pocztą. Przejęcie skrzynki może więc szybko stać się problemem całej organizacji.

Jeżeli atakujący uzyska dostęp do Microsoft 365 lub Google Workspace, może próbować przeszukać pocztę, pobrać pliki, sprawdzić kontakty, stworzyć reguły przekazywania, wysyłać wiadomości z konta ofiary albo podszywać się pod pracownika w rozmowach z kontrahentami.

W małych firmach ten problem bywa jeszcze trudniejszy. Jedno konto pocztowe może obsługiwać faktury, kontakt z biurem rachunkowym, zamówienia, logowanie do bankowości, reset haseł i komunikację z klientami. Przejęcie takiej skrzynki daje przestępcy bardzo szeroki obraz firmy.

Dlatego program awareness powinien tłumaczyć, że hasło do poczty nie jest zwykłym hasłem do komunikacji. To często klucz do wielu procesów biznesowych.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik kliknął link, ale nie wpisał danych, powinien zamknąć stronę i zgłosić wiadomość do IT, Security lub SOC. Zespół może zablokować domenę, sprawdzić, czy wiadomość trafiła do innych osób i ostrzec pracowników.

Jeżeli użytkownik wpisał login i hasło, trzeba natychmiast zmienić hasło z innego, zaufanego urządzenia. Następnie należy unieważnić aktywne sesje, sprawdzić metody wieloskładnikowego uwierzytelniania, czyli MFA, i upewnić się, że nie dodano nowej metody odzyskiwania konta.

Kolejnym krokiem jest sprawdzenie reguł pocztowych. Atakujący często tworzą reguły ukrywające wiadomości, przekierowujące korespondencję albo przenoszące odpowiedzi do folderów, których użytkownik nie sprawdza. Trzeba też przejrzeć automatyczne przekazywanie, podpisy, aliasy i ostatnie wysyłki.

Jeżeli konto było używane do logowania do innych usług, potrzebny jest przegląd powiązanych aplikacji. Dotyczy to szczególnie systemów SaaS, paneli HR, CRM, repozytoriów kodu, narzędzi projektowych, systemów fakturowych i kont administratorów.

Jeżeli z konta wysłano wiadomości do kontrahentów, trzeba ocenić ryzyko BEC. W niektórych przypadkach konieczne jest powiadomienie odbiorców, że wiadomości z określonego okresu mogą być nieautoryzowane.

Co powinny sprawdzić IT, Security i SOC

Zespół bezpieczeństwa powinien zacząć od logowań. Ważne są nietypowe lokalizacje, nowe urządzenia, nowe aplikacje, błędne próby logowania przed udanym dostępem i aktywność po godzinach pracy. W Microsoft 365 i Google Workspace trzeba sprawdzić również sesje, tokeny i ewentualne zgody aplikacji.

Drugim obszarem są reguły i konfiguracja skrzynki. Nowa reguła pocztowa może być cichszym skutkiem przejęcia niż zmiana hasła. Jeżeli przestępca ustawi przekierowanie albo ukrywanie odpowiedzi, może prowadzić dalszą korespondencję bez wiedzy użytkownika.

Trzecim obszarem jest zasięg kampanii. Trzeba ustalić, czy wiadomość trafiła do jednej osoby, do całego działu, czy do wielu pracowników. Warto przeszukać pocztę po temacie, nadawcy, linku i charakterystycznych fragmentach treści.

Czwartym obszarem jest komunikacja. Użytkownicy powinni dostać prostą instrukcję: wiadomości o dezaktywacji poczty sprawdzamy wyłącznie przez oficjalny panel, nie przez link z e-maila. Jeżeli organizacja ma przycisk zgłaszania phishingu, trzeba przypomnieć, kiedy go używać.

Jak ćwiczyć ten scenariusz w awareness

Ten typ ataku bardzo dobrze nadaje się do kontrolowanych testów, bo dotyka codziennego nawyku. Użytkownik nie musi być przekonywany do nietypowej czynności. Ma tylko uratować dostęp do poczty.

W testach phishingowych dla firm warto mierzyć kilka etapów: otwarcie wiadomości, kliknięcie linku, wpisanie loginu, rozpoczęcie wpisywania hasła, zgłoszenie wiadomości i późniejszą reakcję użytkownika. To pokazuje więcej niż sam wskaźnik kliknięć.

Dobre ćwiczenie powinno uczyć konkretnej zasady. Nie chodzi o zawstydzanie użytkownika. Chodzi o to, aby w realnej sytuacji wiedział, że komunikaty o dezaktywacji, wygasającym koncie i weryfikacji poczty sprawdza się przez oficjalny panel albo firmowy helpdesk.

Najlepszy wniosek jest prosty: jeżeli wiadomość straszy utratą poczty i podaje link do logowania, nie loguj się z tego linku. Otwórz pocztę znaną ścieżką i sprawdź, czy problem naprawdę istnieje.