Co zrobić po wykryciu włamania na firmową skrzynkę e-mail. Pierwsze kroki.

Włamanie na firmową skrzynkę e-mail może prowadzić do poważnych konsekwencji, takich jak wyciek poufnych danych, oszustwa finansowe czy ataki phishingowe na klientów i współpracowników. Niestety są to coraz częstsze sytuacje, w których należy spokojnie zastosować niezbędne procedury. Dlatego kluczowe jest szybkie i skuteczne działanie. Oto kroki, które należy podjąć natychmiast po wykryciu incydentu.

1. Natychmiastowa zmiana hasła

Jeśli podejrzewasz włamanie lub zostałeś o nim poinformowany przez nasz zespół lub Twojego operatora hostingu, pierwszym krokiem jest zmiana hasła do skrzynki e-mail. Powinno być ono silne, unikalne i zawierać:

• Minimum 12 znaków,

• Wielkie i małe litery,

• Cyfry oraz znaki specjalne. Jeżeli firma korzysta z menedżera haseł, warto wygenerować losowe i bezpieczne hasło.

W większości przypadków po wykryciu potencjalnego włamania hasło zostanie zmienione przez zespół magico. Prosimy wtedy o pilny kontakt z naszym zespołem oraz przeprowadzenie działań diagnostycznych opisanych w poniższych krokach.

2. Weryfikacja ustawień konta

Po zmianie hasła należy sprawdzić, czy atakujący nie zmienił ustawień konta, np.:

• Przekierowań e-maili – upewnij się, że wiadomości nie są przesyłane na podejrzane adresy. Wiele osób po wykryciu włamania zmienia hasło do skrzynki mailowej poprzestając na tych działaniach. Jednak coraz częściej zdarza się, że atakujący pozostawia w ustawieniach skrzynki e-mail reguły przekierować, kiedy np każdy odbierany lub wysyłany mail jest automatycznie przesyłany na wskazany przez niego adres e-mail. W takiej sytuacji mimo odcięcia go od bezpośredniego dostępu do poczty - nadal ma dostęp do korespondencji. Ustawienia filtrów należy zweryfikować zarówno na poziomie interfejsu webowego jak roundcube, jak również w klientach pocztowych typu Outlock czy Thunderbird.

• Reguł filtrowania – sprawdź, czy nie zostały dodane reguły ukrywające istotne wiadomości.

• Podpisu i autorespondera – sprawdź, czy nie zostały zmodyfikowane.

3. Sprawdzenie aktywności logowań

Po wykryciu włamania administrator serwerów powinien skontaktować się z dostawcą usług serwerowych/hostingowych w celu uzyskania niezbędnych logów i historii operacji na serwerze. W magico takie działanie realizujemy niezwłocznie po wykryciu problemu. Jeśli otrzymasz je od nas, zapisz je jako dowód.

4. Powiadomienie działu IT i przeprowadzenie analizy

Jeżeli firma posiada dział IT lub administratora systemów, należy natychmiast zgłosić incydent. Specjaliści mogą:

• Analizować logi i wykryć źródło ataku,

• Sprawdzić, czy inne systemy w firmie zostały naruszone,

• Podjąć działania w celu zabezpieczenia infrastruktury IT.

5. Zabezpieczenie innych kont i zmiana haseł

Jeśli używasz tego samego hasła w innych systemach (co jest błędem), zmień je natychmiast. Atakujący może próbować uzyskać dostęp do innych firmowych systemów.

6. Powiadomienie klientów i współpracowników (jeśli konieczne)

Jeżeli istnieje ryzyko, że haker mógł wysyłać wiadomości do klientów lub współpracowników, warto ich o tym poinformować, aby uniknęli oni potencjalnych oszustw lub phishingu.

7. Przeskanowanie urządzeń pod kątem złośliwego oprogramowania

Włamanie mogło nastąpić przez malware na Twoim urządzeniu. Warto wykonać pełne skanowanie antywirusowe i upewnić się, że komputer jest wolny od zagrożeń.

8. Zgłoszenie incydentu odpowiednim organom (jeśli wymagane)

Jeśli włamanie wiąże się z naruszeniem danych osobowych lub oszustwem finansowym, należy zgłosić incydent:

• Administratorowi bezpieczeństwa informacji w firmie,

• CERT Polska (w przypadku incydentów dotyczących bezpieczeństwa IT),

• Policji (jeśli doszło do oszustwa lub wyłudzenia).

Podsumowanie

Szybkie podjęcie odpowiednich działań po wykryciu włamania na skrzynkę e-mail może ograniczyć potencjalne szkody i zabezpieczyć firmowe dane. Warto także regularnie edukować pracowników na temat bezpieczeństwa cybernetycznego, aby minimalizować ryzyko przyszłych incydentów.