Reakcja na incydent
Co zrobić po kliknięciu w phishing? Plan na 60 minut
Pracownik kliknął w link, otworzył załącznik albo wpisał hasło na fałszywej stronie. Pierwsza godzina decyduje, czy zostanie z tego incydent czy katastrofa. Ten poradnik to gotowa lista działań, którą można wydrukować i powiesić na ścianie.
Pierwsza zasada
Im szybciej zgłosisz, tym mniejsze szkody. Atakujący wykorzystuje zwykle pierwsze 30-90 minut po przejęciu konta — wysyła wiadomości do Twoich kontaktów, zmienia ustawienia, próbuje przelewów. Każda minuta opóźnienia zwiększa zasięg ataku.
Plan na pierwsze 60 minut
0-5 minut — Odetnij urządzenie od sieci
Wyłącz Wi-Fi i kabel Ethernet w komputerze, na którym kliknięto link. Zatrzymaj synchronizację plików (Dropbox, OneDrive, Google Drive). Nie restartuj — to może uruchomić kolejne procesy.
5-10 minut — Zgłoś incydent osobie odpowiedzialnej
Powiedz właścicielowi/managerowi/IT. Nie ukrywaj, nawet jeśli wstyd. Każda minuta zwłoki zwiększa straty.
10-20 minut — Zmień hasła do kont używanych z tego komputera
Zacznij od poczty, banku, panelu sklepu, kont social media. Zmień z innego, bezpiecznego urządzenia. Wymuszaj wylogowanie wszystkich sesji.
20-30 minut — Włącz MFA tam, gdzie go jeszcze nie było
Każde konto, które miało hasło na tym komputerze, dostaje teraz drugi składnik. To zatrzyma atakującego nawet z hasłem.
30-40 minut — Sprawdź skrzynkę i historię konta
Wysłane wiadomości, reguły przekierowań poczty, autoryzowane aplikacje, podejrzane logowania w historii. Atakujący często zostawia ślady.
40-50 minut — Powiadom kogo trzeba
Bank (jeśli klikano w „bankowy” phishing), kontrahenci (jeśli z konta wyszły wiadomości), klienci (jeśli wyciekły ich dane).
50-60 minut — Udokumentuj zdarzenie
Spisz: co się stało, kiedy, na jakim koncie, jakie działania podjęto. To podstawa do RODO, ubezpieczenia i ewentualnego zgłoszenia do CERT Polska.
Przypadek: kliknięcie w „fakturę”
Pracownik biura rachunkowego klika w fałszywą fakturę PDF. Otwiera się dokument, który prosi o włączenie makr. Pracownik klika „Tak”. W tle uruchamia się skrypt szyfrujący pliki na dysku. Pierwsze 5 minut: odetnij komputer od sieci. Następne 10 minut: zgłoś, sprawdź, czy szyfrowanie nie sięgnęło dysku sieciowego. To często decyduje, czy odzyskasz dane z kopii czy płacisz okup.
Czego NIE robić
- nie kasuj wiadomości phishingowej (zostaw jako dowód)
- nie restartuj komputera bez zgody osoby technicznej
- nie udzielaj kolejnych danych osobie z „pomocy technicznej”, która do Ciebie zadzwoni — to ciąg dalszy ataku
- nie próbuj „testować” linku ponownie — masz to zostawić specjaliście
- nie obwiniaj pracownika publicznie — to zniechęca innych do zgłaszania incydentów
Po godzinie - co dalej
Po pierwszej godzinie sytuacja jest zwykle pod kontrolą. Następne kroki: pełny skan komputera, weryfikacja, czy z konta nie wyszły wiadomości do kontrahentów, ewentualne zgłoszenie do CERT Polska (cert.pl) i — jeśli wyciekły dane osobowe — do PUODO w ciągu 72h.
Jak się przygotować zanim się stanie
Najlepszy plan reakcji to taki, który zespół zna na pamięć przed incydentem. W Pakiecie Start jest gotowa instrukcja — kogo zawiadomić, co kliknąć, gdzie zapisać. Wydrukuj, powieś i powtórz raz na kwartał z zespołem.
Podsumowanie
Kliknięcie w phishing nie jest końcem świata, jeśli reakcja jest szybka. Pierwsza godzina to: odetnij sieć → zgłoś → zmień hasła → włącz MFA → udokumentuj. Reszta to już pochodna tych pięciu kroków.