Firma Biuro usługowe (zmienione dane)
Wielkość 18 pracowników
Branża Usługi B2B
Typ ataku Phishing + przejęcie konta
Szacowane straty ~45 000 zł

Przebieg ataku

Dzień 0, 9:15

Podejrzany mail

Księgowa otrzymuje mail wyglądający jak od banku: "Wykryliśmy podejrzaną aktywność na Twoim koncie. Kliknij link, aby zweryfikować tożsamość." Mail wygląda autentycznie - logo banku, poprawny język, znajoma stopka.

Dzień 0, 9:17

Kliknięcie w link

Księgowa klika w link. Otwiera się strona identyczna jak strona logowania do banku. Wpisuje login i hasło. Strona wyświetla błąd: "Serwer niedostępny, spróbuj później." Księgowa myśli, że to problem z bankiem i wraca do pracy.

Co się stało: Dane logowania zostały wysłane na serwer atakujących. Strona błędu była celowa - by nie wzbudzać podejrzeń.
Dzień 0, 9:20

Przejęcie konta

Atakujący logują się na konto księgowej w banku. Zmieniają hasło i adres e-mail powiadomień, by ofiara nie widziała alertów. Mają pełny dostęp do konta.

Dzień 0-3

Cichy okres obserwacji

Atakujący nie działają od razu. Przez 3 dni obserwują ruch na koncie, uczą się jak firma komunikuje się z klientami, jak wyglądają faktury. Przeglądają maile księgowej, by naśladować jej styl pisania.

Dzień 4, 10:30

Fałszywa faktura

Atakujący wysyłają mail do jednego z największych klientów firmy, podszywając się pod księgową: "Dzień dobry, w związku z aktualizacją systemu bankowego prosimy o wpłatę na nowe konto: [numer konta atakujących]. Pozdrawiam, [imię księgowej]." Mail wygląda autentycznie - poprawny język, znana sygnatura.

Dzień 4, 14:00

Klient wpłaca pieniądze

Klient, nie weryfikując telefonicznie, wpłaca fakturę 38 000 zł na podane konto. Pieniądze trafiają do atakujących.

Dzień 7

Odkrycie

Klient dzwoni do firmy z pytaniem o status płatności. Okazuje się, że firma nie otrzymała pieniędzy. Analiza pokazuje, że mail z "nowym kontem" nie pochodził z firmowej domeny - był wysłany z bardzo podobnej (firma-platnosci.pl zamiast firma.pl).

Co było źle - analiza

Brak logowania dwuetapowego

Konto bankowe chronione tylko hasłem. Wystarczyło je zdobyć, by przejąć pełną kontrolę.

Mini-audyt pyta: "Czy używasz logowania dwuetapowego do poczty i kont kluczowych?"

Brak procedury weryfikacji

Firma nie miała ustalonej procedury weryfikacji zmian danych bankowych. Klient nie zadzwonił, by potwierdzić zmianę konta.

Mini-audit pyta: "Czy masz zapisaną prostą procedurę co robić w przypadku podejrzanego maila lub incydentu?"

Brak szkolenia z phishingu

Pracownicy nie byli szkoleni jak rozpoznawać phishing. Księgowa nie zwróciła uwagi na podejrzany adres URL.

Mini-audyt pyta: "Czy pracownicy wiedzą jak rozpoznać phishing (podejrzane maile z linkami lub załącznikami)?"

Brak monitoringu konta

Księgowa nie logowała się regularnie na konto bankowe i nie zauważyła zmiany hasła i adresu e-mail powiadomień przez 4 dni.

Skutki ataku

💰

Bezpośrednia strata finansowa

38 000 zł - pieniądze przelane na konto oszustów. Bank nie zwrócił środków, bo przelew został autoryzowany przez "właściciela konta" (atakujących z nowym hasłem).

⏱️

Przestój w pracy

3 dni - czas poświęcony na analizę, zgłoszenie na policję, zmianę wszystkich haseł, audyt pozostałych kont. Koszt: ok. 12 000 zł.

🔒

Usługi IT ratunkowe

5 000 zł - audyt bezpieczeństwa, zmiana wszystkich haseł, wdrożenie dodatkowych zabezpieczeń.

📉

Utrata zaufania klienta

Klient, który stracił 38 000 zł, rozważał zmianę dostawcy. Ostatecznie został, ale relacja została nadszarpnięta.

SZACUNKOWE STRATY CAŁKOWITE: ~45 000 zł

Co zostało zmienione po ataku

Logowanie dwuetapowe wszędzie

Włączono logowanie dwuetapowe do: banku, poczty, systemu księgowego, dysku w chmurze. Koszt: 0 zł. Czas: 2 godziny.

Procedura weryfikacji zmian

Wprowadzono zasadę: każda zmiana danych bankowych musi być potwierdzona telefonicznie. Wydrukowano i powieszono instrukcję postępowania przy podejrzanych mailach.

Szkolenie pracowników

1-godzinne szkolenie dla wszystkich pracowników z przykładami phishingu i zasadami bezpieczeństwa. Powtarzane co kwartał.

Regularny monitoring

Księgowa loguje się do banku codziennie rano. Włączono powiadomienia SMS o każdym logowaniu i zmianie ustawień.

Kopia zapasowa maili

Włączono automatyczną kopię wszystkich maili do archiwum. W razie przejęcia konta można przeanalizować co zostało wysłane.

Wnioski

1

Atak był prosty i tani do przeprowadzenia. Atakujący nie użyli żadnych zaawansowanych technik - wystarczył prosty phishing i cierpliwość.

2

Podstawowe zabezpieczenia były niewdrożone. Logowanie dwuetapowe, szkolenia, procedury - to podstawy, które kosztują grosze, a blokują większość ataków.

3

Człowiek jest najsłabszym ogniwem. Technicznie systemy były w porządku, ale brak świadomości pracowników pozwolił na atak.

4

Reakcja po ataku jest kosztowna. Strata 45 000 zł mogła zostać zablokowana przez zabezpieczenia warte kilkaset złotych i kilka godzin pracy.

💡

Mini-audyt by to wykrył: Wszystkie braki w zabezpieczeniach, które pozwoliły na atak, zostałyby wykryte przez nasz mini-audyt. Firma otrzymałaby plan działania z priorytetami.

Sprawdź, czy Twoja firma jest podatna na podobny atak

Nasz darmowy mini-audyt pomoże Ci ocenić poziom zabezpieczeń i wskaże obszary wymagające uwagi.

Zrób mini-audyt (2-3 min)