🔐 Symulacja phishingu – komunikat Działu IT

Przeprowadziliśmy kontrolowaną kampanię phishingową

Dział IT przygotował testowy atak phishingowy w celu podniesienia bezpieczeństwa informacji oraz świadomości użytkowników w firmie. Poniżej znajdziesz opis, jak można było rozpoznać fałszywą wiadomość i w jaki sposób chronić się przed podobnymi próbami w przyszłości.

Celem kampanii nie jest karanie, lecz nauka i poprawa bezpieczeństwa.
ℹ️

Co dokładnie się wydarzyło?

Cel kampanii

Na wybrane firmowe skrzynki e-mail zostały wysłane kontrolowane, testowe wiadomości phishingowe. Miały one na celu sprawdzenie, jak reagujemy na podejrzane maile oraz czy stosujemy dobre praktyki bezpieczeństwa.

Wiadomość oraz strona, do której prowadził link, zostały przygotowane przez Dział IT. Dane wpisane w formularzu nie zostały przekazane osobom trzecim – służą jedynie do analizy wyników kampanii i przygotowania szkoleń.

Jeśli masz wątpliwości, czy brałeś/aś udział w kampanii, skontaktuj się z Działem IT.

🕵️‍♀️

Jak można było wykryć phishing?

3 najważniejsze sygnały ostrzegawcze
1 Sprawdzenie linku w wiadomości e-mail

Zanim klikniesz, najedź kursorem na link (bez klikania!) i sprawdź adres, który wyświetli się w dolnej części okna lub przy samym linku.

  • ⚠️ Zwróć uwagę, czy domena wygląda wiarygodnie, np. https://logowanie.twojafirma.pl vs. https://twojafirma.login-konto-security.xyz. Ten drugi adres jest podejrzany.
  • 🧩 Literówki, dodatkowe słowa, dziwne rozszerzenia (np. .xyz, .top, .ru) mogą oznaczać fałszywą stronę.
  • 🔒 Brak https lub kłódki przy adresie nie zawsze oznacza atak, ale powinien zwiększyć Twoją czujność.
2 Weryfikacja nadawcy wiadomości

Sam wyświetlany podpis (np. „Dział IT”, „Administracja”) można łatwo podrobić. Liczy się dokładny adres e-mail.

  • 👁️ Sprawdź, czy adres pochodzi z oficjalnej domeny firmy, np. it@twojafirma.pl, a nie it.twojafirma@gmail.com.
  • 🚩 Uważaj na adresy z dodatkowymi znakami, np. support-twojafirma@outlook.com zamiast firmowego adresu.
  • Jeśli wiadomość rzekomo pochodzi od przełożonego, ale jest wysłana z prywatnej poczty – to poważny sygnał ostrzegawczy.
3 Analiza strony, na którą prowadzi link

Po kliknięciu w link zawsze spójrz jeszcze raz na adres strony i jej wygląd. Oszuści często kopiują wygląd znanych serwisów.

  • 🧱 Strona prosi o ponowne podanie loginu i hasła, chociaż przed chwilą logowałeś/aś się do systemu? To może być próba przechwycenia danych.
  • 🌐 W treści pojawiają się drobne błędy językowe, niepasujące logo, brak stopki firmowej lub polityki prywatności – to częste cechy stron phishingowych.
  • 🧪 W przypadku naszej kampanii testowej strona była kontrolowana przez Dział IT, ale wyglądała podobnie do prawdziwego serwisu – właśnie po to, by przećwiczyć prawidłowe reakcje.
🛡️

Jak się zabezpieczać przed phishingiem na co dzień?

Dobre praktyki bezpieczeństwa
Zastosuj poniższe zasady podczas pracy z pocztą i stronami WWW
🚫 Nie klikaj w linki ani załączniki z podejrzanych wiadomości.
🔑 Nie podawaj hasła po kliknięciu w link z maila – lepiej wpisz adres systemu ręcznie w przeglądarce.
🔁 Używaj różnych haseł do różnych systemów, najlepiej z menedżerem haseł.
📲 Włącz uwierzytelnianie dwuetapowe (2FA), jeśli jest dostępne.
  • 📬 Traktuj każdą prośbę o dane logowania, numery kart, kody SMS lub inne wrażliwe informacje jako podejrzaną, dopóki nie potwierdzisz jej u oficjalnego źródła (np. telefonicznie).
  • 👨‍💻 W razie wątpliwości skontaktuj się z Działem IT – lepiej zgłosić „fałszywy alarm”, niż zignorować realne zagrożenie.
  • 📚 Bierz udział w szkoleniach z cyberbezpieczeństwa i dziel się wiedzą z innymi pracownikami.
  • 🧹 Regularnie aktualizuj system, przeglądarkę oraz program antywirusowy – to dodatkowa warstwa ochronna.