Co zrobić, gdy ktoś przejmie firmową skrzynkę e-mail

Ktoś przejął firmową skrzynkę e-mail? Sprawdź, co zrobić najpierw, jak ograniczyć szkody i jak zabezpieczyć firmę, żeby podobna sytuacja nie powtórzyła się w przyszłości.

Przejęcie firmowej skrzynki e-mail to bardzo poważny problem, bo często pozwala na dostęp nie tylko do wiadomości, ale też do kontaktów, dokumentów i innych usług używanych w firmie. Może też zostać wykorzystana do wysyłania fałszywych wiadomości do klientów lub partnerów biznesowych. Skutkiem mogą być straty finansowe, utrata danych, chaos organizacyjny i utrata zaufania.

Po czym poznać, że coś jest nie tak

Nie zawsze od razu widać, że ktoś przejął skrzynkę. Sygnałem ostrzegawczym może być brak możliwości zalogowania się, zmiana ustawień bezpieczeństwa, wiadomości wysłane z konta bez wiedzy właściciela, logowania z dziwnych miejsc albo o nietypowych godzinach, a także informacje od klientów, że dostali podejrzaną wiadomość z firmowego adresu. Takich objawów nie warto lekceważyć. Nawet jeśli nie masz pewności, lepiej założyć, że doszło do incydentu i szybko to sprawdzić.

Co zrobić?

1. Zablokuj dostęp do skrzynki

Jeżeli firma ma administratora poczty albo zewnętrzną obsługę IT, trzeba od razu poprosić o zablokowanie lub czasowe zawieszenie przejętego konta. Najważniejsze jest to, aby jak najszybciej odciąć nieautoryzowany dostęp.

2. Zmień hasło i wyloguj wszystkie urządzenia

Kolejny krok to natychmiastowa zmiana hasła do skrzynki. Warto też wylogować wszystkie urządzenia i aplikacje, które były połączone z kontem. To ważne, bo samo ustawienie nowego hasła może nie wystarczyć, jeśli ktoś nadal ma aktywną sesję.

3. Sprawdź, czy poczta nie jest przekierowywana gdzieś dalej

Po przejęciu skrzynki bardzo często ustawiane jest automatyczne przekierowanie wiadomości. Dzięki temu ktoś z zewnątrz może nadal dostawać kopie e-maili nawet po zmianie hasła. Dlatego trzeba sprawdzić filtry, reguły i przekierowania skrzynki.

4. Sprawdź komputer i telefon, z których logowano się do poczty

Jeżeli hasło zostało przechwycone przez zainfekowane urządzenie, problem może wrócić. Dlatego warto sprawdzić bezpieczeństwo komputera i telefonu, zaktualizować system oraz upewnić się, że nie ma tam złośliwego oprogramowania.

5. Uprzedź pracowników i klientów

Jeżeli z przejętej skrzynki mogły zostać wysłane fałszywe wiadomości, trzeba szybko ostrzec zespół, księgowość, klientów i partnerów. Przejęta poczta jest często wykorzystywana do próśb o pilny przelew, zmianę numeru rachunku albo przesłanie danych. Im szybciej uprzedzisz otoczenie, tym mniejsze ryzyko, że ktoś zaufa takiej wiadomości.

6. Jeśli ktoś zdążył wysłać pieniądze, od razu skontaktuj się z bankiem

W takiej sytuacji liczą się minuty. Jeżeli doszło do przelewu na podstawie fałszywej wiadomości, trzeba natychmiast skontaktować się z bankiem i zgłosić sytuację, korzystając wyłącznie z oficjalnej strony lub numeru telefonu.

Co sprawdzić po opanowaniu sytuacji?

Gdy skrzynka jest już odzyskana, warto sprawdzić, co dokładnie mogło się stać. Dobrze przejrzeć historię logowań, podłączone urządzenia, zmiany w ustawieniach oraz ślady nietypowej aktywności. Dzięki temu można ocenić, czy problem dotyczył tylko jednej skrzynki, czy może także innych usług w firmie. To ważne, bo przejęta poczta bywa tylko początkiem większego problemu.

Jak zmniejszyć ryzyko, że to się powtórzy?

Najważniejszym dodatkowym zabezpieczeniem jest włączenie dodatkowego potwierdzania logowania. MFA (uwierzytelnianie wieloskładnikowe) oznacza, że samo hasło nie wystarcza do zalogowania się do konta. Potrzebny jest jeszcze drugi element potwierdzenia, na przykład kod z telefonu. Drugim ważnym krokiem jest uporządkowanie haseł. Hasła powinny być mocne, różne dla różnych usług i zmienione wszędzie tam, gdzie wcześniej użyto tego samego lub podobnego hasła.

Warto też zadbać o zabezpieczenia samej domeny e-mail, czyli firmowego adresu, z którego wysyłane są wiadomości. Najczęściej ustawia się tu trzy mechanizmy:
SPF (lista zaufanych serwerów wysyłających pocztę),
DKIM (podpis kryptograficzny wiadomości),
DMARC (zasady postępowania z podejrzanymi wiadomościami).

Dla właściciela firmy najważniejsze jest nie tyle zapamiętanie nazw, ile dopilnowanie, aby dostawca poczty lub obsługa IT potwierdziła, że te zabezpieczenia są ustawione.

Plan reakcji po wykryciu przejęcia skrzynki e-mail:

zablokuj lub zawieś przejęte konto,
zmień hasło i wyloguj wszystkie urządzenia,
sprawdź przekierowania i reguły pocztowe,
ostrzeż pracowników i klientów,
jeśli poszedł przelew, dzwoń do banku natychmiast,
po wszystkim włącz dodatkowe zabezpieczenie logowania i uporządkuj hasła.

Przejęta skrzynka e-mail to nie tylko problem z pocztą. To ryzyko utraty pieniędzy, danych, zaufania klientów i kontroli nad codzienną komunikacją firmy. Dlatego najważniejsze jest szybkie działanie: odcięcie dostępu, zmiana hasła, sprawdzenie ustawień skrzynki, ostrzeżenie otoczenia i zabezpieczenie firmy przed powtórnym przejęciem.

Nie trzeba być specjalistą technicznym, żeby wykonać pierwsze właściwe kroki. Trzeba działać szybko, spokojnie i według prostego planu.

Jeżeli chcą Państwo sprawdzić, czy firmowa poczta jest dobrze zabezpieczona i czy firma ma prosty plan działania na wypadek przejęcia skrzynki, warto zacząć od przeglądu kont użytkowników, sposobu logowania, ustawień skrzynki i zasad reagowania w razie incydentu. Taki pierwszy krok pomaga ograniczyć ryzyko strat i uporządkować bezpieczeństwo bez wchodzenia w techniczne szczegóły.