Phishing w firmie - jak ochronić pracowników i nie stracić danych
W zeszłym roku ratowałem trzy firmy po atakach phishingowych. Księgowa kliknęła link - atakujący miał dostęp do 200 skrzynek. Pokazuję, jak wyglądają prawdziwe ataki, po czym je rozpoznać, co realnie wdrożyć, żeby się chronić, i ile to kosztuje. Z perspektywy informatyka, który wolałby, żebyś nie musiał do niego dzwonić w panice.
W zeszłym roku ratowałem trzy firmy po atakach phishingowych. Za każdym razem słyszałem to samo: „przeciez to wyglądało jak normalny mail”. Księgowa kliknęła w link, podała hasło - i atakujący miał dostęp do skrzynek 200 klientów biura rachunkowego. Odbudowa trwała dwa tygodnie. Biuro straciło trzech klientów. A wystarczyło jedno proste zabezpieczenie, żeby do tego nie doszło. W tym artykule pokażę Ci dokładnie, co widzieli moi klienci - i czego nie zauważyli. Jak wyglądają prawdziwe ataki, po czym je rozpoznać, co wdrożyć technicznie i ile to kosztuje. Żebyś nie musiał dzwonić do informatyka w panice, tylko miał spokój, że Twoja firma jest zabezpieczona.
W skrócie
W skrócie: phishing to atak na człowieka, nie na komputer - dlatego ochrona pracowników stoi na dwóch nogach. Technika: MFA na wszystkim, poprawny SPF/DKIM/DMARC, filtrowanie maili i monitoring logowań. Ludzie: regularne szkolenia (min. 2x/rok) i testowe maile phishingowe. Wdrożenie tych zabezpieczeń kosztuje 2 000-8 000 zł jednorazowo, a jeden udany atak potrafi kosztować około 180 000 zł.
Czym jest phishing - i dlaczego działa
Zanim pokażę Ci jak się chronić, musisz zrozumieć jedną rzecz: phishing to nie jest „wirus”. To atak na człowieka, nie na komputer. Atakujący nie łamie haseł - przekonuje Twojego pracownika, żeby sam je podał. I robi to na cztery sposoby. Każdy z nich widziałem u swoich klientów:[2][3]
E-mail phishing (klasyczny)
Najczęstszy typ - dostajesz maila udającego bank, urząd skarbowy albo DHL. Widziałem to u klienta: księgowa dostała „fakturę od kontrahenta” z załącznikiem .exe. Kliknęła, bo czekała akurat na korektę. Ransomware był na dysku w 30 sekund.
„Twoja faktura jest zaległa - kliknij tutaj, żeby uniknąć odsetek” - od nadawcy „DHL Polska” z adresem [email protected]
Spear phishing (celowany)
Ten jest gorszy, bo jest skrojony pod konkretną osobę. Atakujący sprawdza LinkedIn, stronę firmy, wie jak masz na imię i nad czym pracujesz. U mojego klienta mail wyglądał tak dobrze, że nawet ja na pierwszy rzut oka nie zauważyłem różnicy - domena różniła się jedną literą.
„Cześć Aniu, w załączniku poprawiona umowa od Kowalski sp. z o.o. - sprawdź i odeślij podpisaną” - od adresu łudząco podobnego do prawdziwego kontrahenta
Smishing (SMS)
SMS z linkiem - udaje InPost, bank albo urząd. Na telefonie trudniej sprawdzić adres URL, więc ludzie klikają odruchowo. Ostatnio co trzeci mój klient dostaje fałszywe SMS-y „od kuriera” - zwłaszcza w okresie świątecznym i Black Friday.
„InPost: Twoja paczka czeka. Dopłać 1,29 zł, bo wróci do nadawcy: [link]” - z numeru +48 XXX
Vishing (telefon)
Ktoś dzwoni i mówi, że jest z banku albo „z Microsoftu”. Buduje presję czasu - „musi Pan teraz podać kod, bo zablokujemy konto”. Miałem klienta, który prawie podał dane do bankowości, bo dzwoniący znał jego imię, nazwisko i ostatnie cztery cyfry karty.
„Dzień dobry, tu dział bezpieczeństwa ING. Wykryliśmy nieautoryzowaną transakcję. Proszę podać kod z SMS, żebyśmy ją zablokowali.”
8 sygnałów ostrzegawczych - jak rozpoznać phishing
Tę listę daję każdemu klientowi na pierwszym szkoleniu. Mówię: wydrukuj i powieś w kuchni albo przy drukarce - tam, gdzie ludzie stoją i czekają. Jeden plakat z tymi ośmioma punktami działa lepiej niż godzinny wykład, o którym wszyscy zapomną za tydzień.
Nadawca ma dziwny adres e-mail - np. [email protected] zamiast @firma.pl
Presja czasu - "musisz kliknąć w ciągu 24h, bo konto zostanie zablokowane"
Link prowadzi do innego adresu niż wyświetlany tekst - najedź myszką i sprawdź
Załącznik z nietypowym rozszerzeniem - .exe, .scr, .zip z hasłem, .xlsm (makra)
Błędy językowe i dziwne sformułowania - tłumaczenia maszynowe, literówki w nazwie firmy
Prośba o dane logowania, hasło, kod SMS - żaden bank ani urząd tego nie robi mailem
Mail "od szefa" z prywatnego adresu - "Pilne, przelej 15 000 zł na ten rachunek"
Zbyt dobra oferta - "Wygrałeś iPhone'a", "Zwrot podatku 2 300 zł"
Skala problemu - żeby nie było, że straszę
91%
cyberataków zaczyna się od phishingu[3]
240 000+
incydentów w Polsce w 2025 (CERT)[1]
57%
pracowników klika w testowy phishing (bez szkolenia)
13%
klika po jednym szkoleniu - spadek o 44 p.p.
5 zabezpieczeń technicznych - co wdrażam u klientów
Szkolenie to jedna strona medalu. Druga to zabezpieczenia, które działają nawet wtedy, gdy ktoś kliknie. Bo kliknie - prędzej czy później. Nie mówię tego złośliwie, mówię to z doświadczenia. Dlatego u każdego klienta wdrażam te pięć rzeczy - w tej kolejności:
MFA - podwójne logowanie na wszystkim
Dlaczego:To jest zabezpieczenie numer jeden. U klientki z biura rachunkowego, o której pisałem wyżej - gdyby miała MFA, atakujący miałby hasło, ale nie wszedłby dalej. Podwójne logowanie to jak drugi zamek w drzwiach - sam klucz nie wystarczy.
Co robię:Wdrażam MFA na poczcie, VPN, systemach ERP i dostępie zdalnym. Używam Microsoft Authenticator lub kluczy FIDO2 - nie SMS-ów, bo te też można przechwycić. U każdego nowego klienta to pierwsze co konfiguruję - dosłownie w pierwszy dzień.
SPF + DKIM + DMARC - ochrona poczty firmowej
Dlaczego:Brzmi technicznie? W praktyce to trzy ustawienia, które mówią światu: „maile z mojej domeny wysyłam tylko ja”. Bez tego ktoś może wysyłać maile wyglądające jak od Ciebie - do Twoich klientów i kontrahentów. Widziałem przypadek, gdzie atakujący wysyłał faktury z adresu udającego mojego klienta.
Co robię:Konfiguruję SPF, DKIM i DMARC w DNS - to bezpłatne i zajmuje godzinę. Większość firm, które przejmuję pod opiekę, tego nie ma. A to pierwsza linia obrony, którą naprawiam od razu.
Filtrowanie maili - Safe Links i Safe Attachments
Dlaczego:Nawet jeśli phishing przejdzie przez antyspam, dobry filtr potrafi go zatrzymać w momencie kliknięcia. Microsoft Defender for Office 365 otwiera podejrzane załączniki w „piaskownicy” - osobnym środowisku, gdzie wirus nie zrobi szkody. I skanuje linki w momencie, gdy ktoś w nie klika.
Co robię:W Microsoft 365 Business Premium włączam Safe Links, Safe Attachments i Anti-phishing policies. To jest wliczone w licencję Business Premium - nie trzeba nic dokupować, wystarczy poprawnie skonfigurować. Większość firm za to płaci, ale tego nie używa, bo nikt nie włączył.
Monitoring - widzę, kto się loguje i skąd
Dlaczego:Gdy ktoś zaloguje się o 3 w nocy z Nigerii na konto Twojej księgowej - chcesz o tym wiedzieć. Bez monitoringu dowiesz się dopiero, gdy pieniądze znikną z konta albo dane wyciekną.
Co robię:Conditional Access w Entra ID - blokuję logowania z zagranicy, wymuszam MFA na nowych urządzeniach. Alerty na podejrzaną aktywność lecą do mnie SMS-em. Kiedyś o 23:00 dostałem alert - ktoś próbował wejść na konto klienta z Brazylii. Zablokowałem w minutę.
Szkolenie zespołu - najważniejsze zabezpieczenie
Dlaczego:Mogę postawić najlepszego firewalla na świecie, ale jeśli Twoja księgowa sama poda hasło atakującemu - to żadna technologia nie pomoże. Szkolenie to nie „prezentacja PowerPoint raz w roku” - to budowanie nawyku, jak mycie rąk.
Co robię:Robię szkolenia 2x do roku - nie nudne wykłady, ale konkretne przykłady z praktyki (w tym maile, które sam zebrałem od klientów). Plus wysyłam testowe maile phishingowe, żeby sprawdzić, kto kliknie. Bez oceniania - chodzi o naukę, nie o kary. Pierwszy test zwykle pokazuje 50-60% kliknięć. Po szkoleniu spada do 10-15%.
[5][6]
NIS2 a phishing - co mówi prawo
Od 3 kwietnia 2026 roku obowiązuje w Polsce nowelizacja ustawy o cyberbezpieczeństwie - polska implementacja dyrektywy NIS2. Jednym z wymagań jest regularne szkolenie pracowników z bezpieczeństwa IT. To nie jest już „dobry pomysł na kiedyś” - to obowiązek prawny. Mój klient, producent z 80 osobami, dowiedział się o tym od sieci handlowej, dla której jest dostawcą. Dostał maila: „wykaż, że szkolisz pracowników z cyberbezpieczeństwa, albo szukamy innego dostawcy.” Nawet jeśli Twoja firma nie podlega NIS2 bezpośrednio - Twój kontrahent może tego od Ciebie wymagać. I to nie jest kwestia czy, tylko kiedy.[4]
Czytaj: NIS2 w praktyce - co musisz wdrożyć w firmieIle kosztuje phishing - i ile kosztuje ochrona
tyle kosztowała odbudowa u mojego klienta z biura rachunkowego - 2 tygodnie przestoju, utrata 3 klientów, odbudowa danych
prawnik, zgłoszenie do UODO, powiadomienie 200 osób których dane wyciekły, ewentualna kara
w B2B jeden klient to często tyle miesięcznie - biuro rachunkowe straciło trzech
jednorazowo: MFA + SPF/DKIM/DMARC + szkolenie + Safe Links - ułamek kosztów jednego incydentu
Widzisz tę ostatnią pozycję? 2-8 tysięcy złotych jednorazowo. Tyle kosztuje zabezpieczenie firmy przed atakami, które kosztują dziesiątki albo setki tysięcy. Jeden z moich klientów powiedział mi po incydencie: „Gdybym wiedział, że to tyle kosztuje, zrobiłbym to rok temu.” Nie czekaj na swój incydent.
Zasady dla pracowników - 10 punktów
Te zasady wysyłam każdemu klientowi po pierwszym szkoleniu. Drukuję je na A4, laminuję i wieszam przy wejściu do biura. Proste? Tak. Ale gdyby moi klienci znali te 10 punktów wcześniej, nie musiałbym ratować ich danych:
Nie klikaj w linki z maili - wejdź na stronę ręcznie, wpisując adres w przeglądarkę
Sprawdź adres nadawcy - nie wyświetlaną nazwę, ale faktyczny adres e-mail
Najedź myszką na link ZANIM klikniesz - sprawdź, dokąd naprawdę prowadzi
Nie otwieraj załączników od nieznanych nadawców - szczególnie .zip, .exe, .xlsm
Nigdy nie podawaj hasła ani kodu SMS w odpowiedzi na maila lub telefon
"Mail od szefa" z prywatnego adresu z prośbą o przelew? Zadzwoń i potwierdź osobiście
Zgłoś podejrzany mail do działu IT - lepiej zgłosić fałszywy alarm niż przeoczyć atak
Używaj menedżera haseł - jedno hasło na jeden serwis, minimum 12 znaków
Aktualizuj system i przeglądarkę - stare oprogramowanie to otwarte drzwi
Nie używaj firmowego maila do rejestracji w prywatnych serwisach
Z mojej praktyki - trzy historie
Żeby nie było, że tylko straszę statystykami - oto trzy sytuacje, które sam przeżyłem z klientami. Każda mogła się skończyć inaczej, gdyby mieli wdrożone to, o czym piszę wyżej:
Biuro rachunkowe, 12 osób - telefon w piątek o 16:00
Zadzwoniła właścicielka. Głos jej się trzęsł. „Michał, chyba mamy problem.” Księgowa kliknęła w załącznik „faktura_korekta.pdf.exe” - czekała akurat na korektę od kontrahenta, więc nie sprawdziła. Ransomware zaszyfrował dysk sieciowy z danymi 200 klientów biura. Backup? Lokalny, na tym samym serwerze - też zaszyfrowany. Odbudowa trwała 2 tygodnie. Biuro straciło 3 klientów, którzy po prostu przenieśli się do konkurencji. Po incydencie wdrożyliśmy MFA, filtrowanie załączników i kwartalne szkolenia. Koszt wdrożenia: 4 500 zł. Koszt incydentu: ponad 180 tysięcy.
Firma handlowa, 25 osób - 47 000 zł w powietrzu
Główna księgowa pokazała mi maila dopiero następnego dnia. „Prezes” pisał z prywatnego Gmaila: „Aniu, pilne - przelej 47 000 zł na ten rachunek, faktura do końca dnia. Nie dzwoń, jestem na spotkaniu.” To „nie dzwoń” powinno było zapalić czerwoną lampkę - ale presja czasu zadziałała. Przelała. Pieniądze nie wróciły. Klasyczny Business Email Compromise. Po incydencie wdrożyliśmy jedną prostą zasadę: każdy przelew powyżej 5 000 zł wymaga potwierdzenia telefonicznego. Zero złotych kosztowała ta zmiana. A mogła oszczędzić 47 tysięcy.
Producent, 60 osób - „nikt by u nas nie kliknął”
Właściciel był przekonany, że jego ludzie są „zbyt mądrzy na phishing.” Zaproponowałem test. Wysłałem do 60 pracowników maila: „aktualizacja regulaminu pracy - kliknij i zaloguj się, żeby potwierdzić zapoznanie.” Wynik? 34 osoby (57%) kliknęły. 18 osób (30%) podało login i hasło. Zero - dokładnie zero - zgłosiło maila do IT. Właściciel zamilkł. Zrobiliśmy szkolenie. Miesiąc później powtórzyłem test - kliknęło 8 osób (13%), a 12 zgłosiło podejrzanego maila. Jedna sesja szkoleniowa zmieniła wynik z 57% na 13%. Ale to musi być regularne - bez powtórek wraca do starych nawyków.
Zabezpiecz firmę przed phishingiem
Zrobię audyt zabezpieczeń pocztowych, sprawdzę konfigurację SPF/DKIM/DMARC, wdrożę MFA i przeprowadzę szkolenie antyphishingowe dla Twojego zespołu. Bezpłatna konsultacja - powiem Ci, co masz, czego brakuje i od czego zacząć.
Powiązane artykuły
Najczęstsze pytania
Czym jest phishing i jak go rozpoznać?
Phishing to metoda oszustwa, w której atakujący podszywa się pod zaufaną osobę lub instytucję (bank, urząd, kontrahenta), żeby wyłudzić dane logowania, hasła lub pieniądze. Rozpoznasz go po: dziwnym adresie nadawcy, presji czasu, linkach prowadzących do fałszywych stron, prośbie o hasło lub kod SMS. 91% cyberataków zaczyna się właśnie od phishingu.
Jak ochronić firmę przed phishingiem?
Ochrona przed phishingiem wymaga połączenia zabezpieczeń technicznych i szkoleń. Technicznie: wdrożenie MFA (podwójnego logowania), konfiguracja SPF/DKIM/DMARC na domenie pocztowej, filtrowanie maili (Safe Links, Safe Attachments w Microsoft 365) i monitoring logowań. Szkoleniowo: regularne ćwiczenia (min. 2x/rok), testowe maile phishingowe i jasna procedura zgłaszania podejrzanych wiadomości.
Ile kosztuje atak phishingowy na firmę?
Średni koszt incydentu phishingowego dla polskiej firmy 10-50 osób to ok. 180 000 zł (przestój, odbudowa, utrata danych). Dochodzi koszt obsługi prawnej naruszenia RODO (10-50 tys. zł) i potencjalna utrata klientów. Dla porównania - wdrożenie zabezpieczeń antyphishingowych (MFA, SPF/DKIM/DMARC, szkolenie, filtrowanie maili) to koszt 2 000-8 000 zł jednorazowo.
Czy NIS2 wymaga szkoleń z phishingu?
Tak. Nowelizacja ustawy o cyberbezpieczeństwie (KSC), implementująca dyrektywę NIS2, obowiązująca od 3 kwietnia 2026 roku, wymaga od firm z regulowanych sektorów prowadzenia regularnych szkoleń pracowników z bezpieczeństwa IT - w tym rozpoznawania phishingu. Nawet firmy nie podlegające NIS2 bezpośrednio mogą być zobowiązane przez kontrahentów z sektorów objętych ustawą do wykazania, że szkolą pracowników.
Źródła
- [1]CERT Polska - Raport roczny 2025: 240 000+ incydentów, phishing jako wektor nr 1
- [2]ENISA Threat Landscape 2025 - phishing remains top initial access vector
- [3]Verizon DBIR 2025 - 91% of cyberattacks begin with phishing email
- [4]Ustawa o KSC (nowelizacja 2026) - wymóg szkoleń pracowników z cyberbezpieczeństwa
- [5]Microsoft - Safe Links and Safe Attachments in Defender for Office 365
- [6]Google - SPF, DKIM, DMARC - jak chronić domenę przed spoofingiem
- [7]NASK - Poradnik antyphishingowy dla firm
- [8]KNF CSIRT - Lista ostrzeżeń przed fałszywymi stronami
12 lat w IT - od banku, przez Kancelarię Prezydenta RP, do własnej firmy. Outsourcing IT dla firm, które nie mogą sobie pozwolić na przestoje.
Poznaj mnie lepiejPowiązane artykuły
Nowe oszustwa AI 2026 - jak rozpoznać i nie dać się nabrać
Literówki i kanciasta polszczyzna przestały zdradzać oszustów - bo mają teraz AI. Maile są bezbłędne, strony logowania nie do odróżnienia, a głos w słuchawce brzmi jak Twój wspólnik. Jako informatyk z przeszłością w bezpieczeństwie pokazuję trzy sztuczki, na które firmy dają się nabrać w 2026, i konkretnie jak się bronić - tanio i skutecznie.
NIS2 weszło w życie - 5 rzeczy do zrobienia w tym tygodniu
3 kwietnia 2026 ustawa weszła w życie. Odebrałem więcej telefonów niż zwykle - właściciele firm pytają: czy mnie to dotyczy? Oto 5 rzeczy, które powinieneś zrobić w tym tygodniu. Z perspektywy informatyka, który już wdrażał to u klientów.
NIS2 w praktyce - co musisz wdrożyć w swojej firmie
3 kwietnia 2026 wchodzi w życie ustawa, która dotyczy więcej firm, niż się wydaje - i o której słyszałem od klientów „to chyba nie o nas”. Tłumaczę, kogo to dotyczy, jakie są realne terminy, co musisz mieć od strony technicznej i dlaczego „nic nie zrobiłem” zaczyna kosztować. Bez paragrafów, z przykładami z praktyki.