Uważaj na spoofing – cyberoszustwo, które wygląda jak zwykły e-mail
Wyobraź sobie, że pracujesz w dziale finansów. Z samego rana zauważasz wiadomość e-mail od przełożonego z prośbą, aby niezwłocznie opłacić fakturę pro forma od firmy marketingowej, przesłaną w załączniku. Wszystko wygląda jak zwykle – zgadza się adres e-mail, stopka i charakter usług, z których wasza firma korzysta. Chcesz sprawnie wykonać przydzielone ci zadanie, wykonujesz przelew, a środki trafiają… wprost w ręce oszustów.
W tym konkretnym scenariuszu zdecydował przypadek – pracownicy działu finansów przekazali dalej tę wiadomość z przełożonym w DW (do wiadomości), aby upewnić się, że żadne z nich nie opłaciło jeszcze faktury pro forma. Chcieli po prostu uniknąć podwójnego przelewu. Wówczas wiadomość ze zdziwieniem dostrzegł sam “nadawca”. Wiadomość wyglądała, jakby została wysłana z użyciem jego adresu o 5:13 rano, choć w elementach wysłanych nie było po niej śladu.
Jak się później okazało, nie doszło ani do przejęcia hasła, ani do włamania na skrzynkę mailową. Próba wyłudzenia oparta była na phishingu, w ramach którego zastosowano spoofing, czyli fałszowanie tożsamości nadawcy.
Omówiona powyżej próba wyłudzenia nie była przypadkiem odosobnionym. Firma, pod którą przestępca się podszywał, otrzymała tego dnia kilka podobnych zgłoszeń, a sprawa trafiła na policję.
Jaki z tego wniosek? Oszustwa stają się nie tylko coraz bardziej powszechne, ale także wzrasta poziom ich wyrafinowania. Aby im zapobiec, potrzebna jest wzmożona czujność nie tylko wśród pracowników, ale także na poziomie całej organizacji.
Czym jest spoofing?
Spoofing jest techniką polegającą na podszywaniu się pod inną osobę, urządzenie lub system w celu wywołania zaufania i wprowadzenia odbiorcy w błąd. W kontekście e-maili oznacza to fałszowanie adresu nadawcy w taki sposób, aby wyglądał na autentyczny (np. adres przełożonego, kontrahenta czy instytucji), choć sama wiadomość została wysłana z innego, niepowiązanego źródła.
Spoofing nie wymaga włamania na konto – polega wyłącznie na sfałszowaniu nagłówka wiadomości. Można go wykryć poprzez analizę pełnych nagłówków wiadomości (ang. email headers), które zdradzają prawdziwe źródło nadania. Większość programów do obsługi poczty elektronicznej (również Webmail) pokazuje tylko nazwę i adres nadawcy, a nie rzeczywiste źródło wiadomości, dlatego taki e-mail może wyglądać bardzo wiarygodnie. Jeśli firma nie ma dobrze skonfigurowanych zabezpieczeń (np. SPF, DKIM, DMARC), takie oszustwa łatwo przechodzą przez filtry.
W jaki sposób zabezpieczyć firmę przed atakiem?
Aby zmniejszyć skalę ryzyka, warto podjąć kilka działań prewencyjnych. W tym celu można rozważyć:
- weryfikację zmian danych do przelewu telefonicznie lub osobiście u znanej osoby kontaktowej;
- procedurę “czterech oczu” przy autoryzacji płatności (dwustopniowe zatwierdzanie);
- regularne szkolenia pracowników z rozpoznawania phishingu i spoofingu;
- wdrożenie wyodrębnionego środowiska (sandbox) do otwierania załączników od nowych kontrahentów;
- konfigurację SPF, DKIM i DMARC w domenie e-mail, by blokować fałszywe nagłówki (najważniejsze jest ustawienie DMARC w trybie reject lub quarantine, a nie tylko „monitorującym”).
- wprowadzenie zaawansowanych filtrów antyphishingowych i skanerów załączników.
Cyberbezpieczeństwo w polskich firmach
Cisco w raporcie Cybersecurity Readiness Index 2025 oceniło poziom gotowości polskich firm na cyberzagrożenia jako niski. Zaledwie 3 proc. organizacji osiągnęło całkowicie dojrzały poziom cybergotowości.
Polskie firmy nie stanowią jednak pod tym względem wyjątku. Tylko 4 proc. organizacji na świecie posiada pełną dojrzałość w dziedzinie cyberbezpieczeństwa.
Sztuczna inteligencja stanowi w tym kontekście miecz obosieczny. Rewolucjonizując bezpieczeństwo, jednocześnie zwiększa poziom zagrożeń. Raport ujawnia, że prawie dziewięć na dziesięć organizacji w naszym kraju (86 proc.) doświadczyło incydentów związanych z AI w ostatnim roku.
Wątpliwości budzi także przygotowanie pracowników – jedynie 46 proc. respondentów wierzy, że ich pracownicy w pełni rozumieją zagrożenia związane z AI. Niski poziom przygotowania budzi niepokój liderów, 65 proc. z nich spodziewa się zakłóceń w działalności z powodu incydentów cybernetycznych w ciągu najbliższych 12–24 miesięcy.
“Wyniki tegorocznego raportu nadal wskazują na alarmujące luki w gotowości na cyberzagrożenia i brak priorytetowości w ich eliminowaniu. Organizacje muszą już teraz zredefiniować swoje strategie, w przeciwnym razie ryzykują utratę znaczenia w erze AI” – powiedział Jeetu Patel, Chief Product Officer w Cisco.
Aby skutecznie dbać o bezpieczeństwo przedsiębiorstw i pracowników, potrzebni są wykwalifikowani specjaliści, którzy potrafią nie tylko reagować na incydenty, ale także im zapobiegać. Autorzy raportu wskazują, że utrzymujący się niedobór specjalistów ds. cyberbezpieczeństwa stanowi poważne wyzwanie.
