Dlaczego te ataki w ogóle się udają? Bo w MŚP mało kto ma czas na „wielkie projekty bezpieczeństwa”. Zespół ogarnia „bieżączkę”, a cyberbezpieczeństwo odkłada „na później”. Atakujący to wykorzystują: polują na najprostsze wektory (poczta, zdalny pulpit, słabe hasła, urządzenia IoT) i na luki organizacyjne (brak weryfikacji płatności, brak segmentacji, brak kopii nieusuwalnych). Dobra wiadomość? Większość z tych problemów można ograniczyć w 1–2 dni pracy, jeśli wiesz, od czego zacząć.
Canva
1) Phishing/BEC: „Proszę o zmianę numeru konta”
Jak to się dzieje: Księgowość lub PM dostaje maila niby od prezesa albo dostawcy z prośbą o aktualizację rachunku bankowego „na już”. Wiadomość wygląda wiarygodnie (sygnatura, wątek, styl). Bywa, że konto w M365 ofiary jest wcześniej przejęte i napastnik kontynuuje autentyczną korespondencję.
Objawy u Ciebie: nagłe prośby o poufne dane lub przelewy; reguły skrzynki tworzące przekierowania na zewnątrz; logowania do poczty z nietypowych lokalizacji; wiadomości w outboksie, których użytkownik „nie pamięta”.
Skutki: Dzień wypłat. Księgowa klika „aktualizacja rachunku”, 38 000 zł znika do banku pośrednika. Dwa telefony od dostawców z pytaniem „gdzie przelew?”, sprzedaż wstrzymuje wysyłki za 12 000 zł, bo magazyn nie dostaje potwierdzeń płatności. 6 godzin na infolinii banku, 14 maili wyjaśnień do kontrahentów. Wewnętrznie: nerwowa odprawa, szukanie winnego. Reputacja: „firma nie ogarnia płatności”.
Szybkie wygrane (dziś): włącz MFA (uwierzytelnienie dwuskładnikowe) wszędzie; ustaw SPF, DKIM, DMARC (choćby w trybie monitorowania); dodaj prostą procedurę call-back dla zmian rachunków (telefon na znany numer, nie na ten z maila); włącz alert na tworzenie reguł przekierowania w M365.
Co wdrożyć w 30 dni: Conditional Access (blok legacy auth, geo-blokady), szkolenie mikro (5 min) o rozpoznawaniu phishingu, krótkie szablony odpowiedzi dla księgowości (odmowa bez weryfikacji).
Te nazwy brzmią obco? Pomożemy Ci je rozszyfrować! Skontaktuj się z nami! Podpowiemy, jak wdrożyć protokoły uwierzytelniania poczty!
2) „MFA fatigue” i kradzież sesji
Jak to się dzieje: Pracownik wchodzi na fałszywą stronę logowania, wpisuje hasło. Napastnik od razu używa go do logowania i zasypuje ofiarę powiadomieniami push „zatwierdź logowanie”. Po kilku/kilkunastu klikach w końcu dostaje akcept. Alternatywnie atakujący kradnie token sesyjny z przeglądarki.
Objawy u Ciebie: nietypowe logowania „prawidłowe”, ale z egzotycznych IP; nagłe utworzenie reguł skrzynki (forward do .ru/.com); nieudane próby MFA setkami; zgłoszenia „miga mi Authenticator”.
Skutki: Prezes zatwierdza „na automacie” powiadomienie w telefonie. Rano skrzynka pełna zwrotek: z konta poszły maile z prośbą o proformy. Dział handlowy traci dwa duże leady („co się u Was dzieje?”). IT spędza 5–7 godzin na czyszczeniu przekierowań, resetach haseł, przeglądzie logów. Dwa dni później zarząd prosi o raport „czyje dane mogły wypłynąć” — łańcuszek pracy dla IOD.
Szybkie wygrane (dziś): wymuś MFA z number matching i odciskami kontekstu (lokalizacja, aplikacja); ogranicz metody do Authenticatora/klucza FIDO2; zablokuj legacy auth; włącz alerty na reguły redirect i logowania ryzykowne.
Co wdrożyć w 30 dni: Conditional Access oparte o ryzyko (jeśli masz licencje), szkolenie „nie zatwierdzaj tego, czego sam nie zainicjowałeś”, przegląd wszystkich reguł skrzynek i reset haseł dla kont naruszonych.
3) RDP/TeamViewer „na świat”
Jak to się dzieje: Zdalny pulpit (RDP) wystawiony do internetu lub starszy TeamViewer bez MFA. Boty robią brute-force, czasem kupują wyciekłe hasła. Po wejściu uruchamiają ransomware albo kradną dane.
Objawy u Ciebie: wzmożone próby logowania w logach, otwarte porty 3389/5938 widoczne w skanerach, dziwne konta lokalne z uprawnieniami admina.
Skutki: Poniedziałek 8:40. Księgowość nie otwiera programu FK, pliki mają dziwne rozszerzenia. Na drukarkach pojawia się „readme.txt”. Produkcja staje, bo nie można pobrać rysunków. 12 osób bez pracy przez 7 godzin = realnie kilka–kilkanaście tysięcy złotych kosztu, plus odzyskiwanie z backupu. Jeśli kopie są wadliwe — rozmowa o okupie. Telefon od kluczowego klienta: „czy nasze dane są bezpieczne?”.
Szybkie wygrane (dziś): zamknij RDP z internetu, dopuszczaj tylko przez VPN/ZTNA; włącz MFA do narzędzi zdalnych; ustaw blokady po X nieudanych próbach; zmień porty i wymuś silne hasła.
Co wdrożyć w 30 dni: wdrożenie dostępu „just-in-time”, lista dozwolonych narzędzi zdalnych (whitelist), przegląd kont serwisowych i rotacja haseł.
4) Port-forwarding do kamer/NVR/NAS z domyślnym hasłem
Jak to się dzieje: Router przekierowuje port 80/554/37777 na rejestrator lub NAS. Urządzenie działa na domyślnych danych logowania lub ma znaną podatność. Napastnik loguje się i robi „pivot” do reszty sieci.
Objawy u Ciebie: wyniki skanów Shodan/Censys z Twoim IP; logi z wieloma próbami logowania do NVR; kamera „miga” ruchem mimo braku zmian.
Skutki: W nocy ktoś przełącza kamery w tryb czerni. Nad ranem w panelu routera widać nowe reguły. Po LAN‑ie rozlewa się skanowanie; na dwóch stacjach pojawia się adware i tajemniczy „agent”. Audyt pokazuje, że „podgląd” CCTV miało też… paru „gości” z zewnątrz. Efekt: wymiana rejestratora, przegląd wszystkich haseł i tygodniowy stres, czy materiały z monitoringu nie trafiły do sieci.
Szybkie wygrane (dziś): usuń port-forwarding; dostęp zdalny tylko przez VPN/ZTNA; zmień hasła na unikalne, włącz MFA (jeśli producent wspiera); odseparuj CCTV/IoT do VLAN z ACL „deny by default”.
Co wdrożyć w 30 dni: aktualizacje firmware, inwentaryzacja IoT, wymiana urządzeń bez wsparcia, monitoring nietypowego ruchu z VLAN IoT.
5) Słabe/wyciekłe hasła i „credential stuffing”
Jak to się dzieje: Pracownik używa tego samego hasła w serwisie społecznościowym i w pracy. Po wycieku bazy napastnik automatycznie testuje kombinacje login+hasło w M365/CRM/VPN.
Objawy u Ciebie: nagłe „prawidłowe” logowania z nowych lokalizacji, wzrost błędnych logowań tuż przed skutecznym, naruszenia pojedynczych kont bez śladów malware.
Skutki: Handlowiec używa tego samego hasła do M365 i pewnego forum. Po weekendzie w CRM pojawiają się podejrzane eksporty, a w skrzynce ustawiona jest reguła „ukryj odpowiedzi z banku”. Dwa zapytania ofertowe znikają z radaru. 4 godziny na dochodzenie, 30 minut na kryzysowy call z kluczowym klientem („kto dostał moje dane?”). Wewnętrznie: wymuszone resety, spadek zaufania do IT.
Szybkie wygrane (dziś): MFA jako standard; wymuś banned password list (hasła podobne do nazwy firmy zakazane); zaproponuj menedżer haseł; zrób przegląd logów i wymuś reset haseł zagrożonych kont.
Co wdrożyć w 30 dni: egzekwuj rotację haseł kont serwisowych, wdroż „passwordless” (FIDO2/Windows Hello) dla adminów i działów wrażliwych.
6) Makra Office i „living off the land” (PowerShell)
Jak to się dzieje: Załącznik „faktura.docm” prosi o „włączenie makr”. Po kliknięciu pobiera malware, które używa systemowych narzędzi (PowerShell, WMI) do ściągnięcia kolejnych komponentów, rozpoznania sieci i kradzieży danych.
Objawy u Ciebie: nietypowe uruchomienia PowerShell z Worda/Excela; wzrost ruchu do rzadkich domen; zgłoszenia, że „komputer zwolnił”, dziwne zadania w harmonogramie.
Skutki: „Faktura z Allegro” trafia do czterech osób. Jedna włącza makro. Komputer zaczyna „mielić”, wentylator wyje, w Menedżerze zadań mruga PowerShell. Po godzinie trzy osoby narzekają, że „Excel się wiesza”, udziały plików działają w żółwim tempie. Dzień kończy się skanem całej sieci, wymuszoną przerwą w pracy sześciu stanowisk i cofnięciem się do kopii wcześniejszej o 24 h — utrata części pracy z dnia.
Szybkie wygrane (dziś): zablokuj makra bez podpisu (Intune/GPO); włącz Attack Surface Reduction w Defenderze; ogranicz uruchamianie skryptów do podpisanych; edukuj o podglądzie dokumentów „bez włączania makr”.
Co wdrożyć w 30 dni: sandbox do otwierania podejrzanych plików (Safe Attachments), wdrożenie EDR i alertów na LoLbins.
7) Shadow IT i publiczne linki do plików
Jak to się dzieje: Handlowiec udostępnia plik „Anyone with the link”, bo tak jest szybciej. Link krąży między klientami i partnerami, trafia do wyszukiwarek. Dokument żyje własnym życiem latami.
Objawy u Ciebie: linki publiczne w raportach DLP; niekontrolowane kopie w Dropboxach/GDrive’ach; dziwne prośby o dostęp do dokumentów z zewnątrz.
Skutki: Cennik z rabatami „tylko dla partnerów” znajduje się w Google. Za późno — klienci dzwonią i cytują zrzuty. Marketing zmienia politykę cenową w pośpiechu, sprzedaż spędza trzy godziny na gaszeniu pożaru u największych klientów. Zespół traci tydzień na porządkowanie linków i „zamykanie” plików. Reputacja: „u nich wszystko wycieka”.
Szybkie wygrane (dziś): zmień domyślne linki na „Tylko wewnątrz” i włącz wygasanie linków; dodaj policy tips przy PESEL/NIP; wdroż etykiety poufności blokujące anonimowe udostępnianie.
Co wdrożyć w 30 dni: porządek w SharePoint/OneDrive (strukturę i właścicieli), przegląd linków publicznych i ich czyszczenie, szkolenie „jak udostępniać poprawnie”.
8) Brak segmentacji: IoT jako boczna furtka
Jak to się dzieje: Kamera, drukarka lub terminal POS jest w tej samej sieci co stacje księgowości. Urządzenie ma lukę i zostaje przejęte. Atakujący skanuje sieć, przejmuje udziały i serwery plików.
Objawy u Ciebie: ruch z podsieci „kamery/drukarki” do serwerów; nietypowe protokoły między urządzeniami; logi switchy pełne ARP/LLDP z różnych segmentów.
Skutki: Zhakowana kamera biurowa zaczyna „rozmawiać” z serwerem plików. Udziały dostają zadyszki, a w logach wysyp błędów. Po dwóch dniach magazyn zgłasza, że skaner kodów „gubi” połączenia. Finał: dwie noce pracy na przeniesienie IoT do izolowanego VLAN‑u, rozjazd SLA i spóźnione dostawy. Właściciel firmy: „czemu jedna kamera potrafi zatrzymać firmę?”.
Szybkie wygrane (dziś): wydziel VLAN‑y (goście/IoT/VoIP/biuro); ustaw ACL między VLAN‑ami (domyślnie „deny”); osobny SSID+VLAN dla gości; wyłącz nieużywane porty na switchach; ogranicz ruch IoT do minimum.
Co wdrożyć w 30 dni: mikrosegmentacja kluczowych serwerów, monitoring NetFlow/sFlow, aktualizacja firmware IoT i plan wymiany „trupów”.
9) Dostawca zdalnego wsparcia jako wektor (łańcuch dostaw)
Jak to się dzieje: Partner IT ma stały dostęp AnyDesk/VNC/RDP do serwera lub aplikacji. Jego konto wycieka lub kończy współpracę pracownik z wiedzą o hasłach. Dostęp spoza Waszego nadzoru staje się wejściem do sieci.
Objawy u Ciebie: połączenia z narzędzi zdalnych poza godzinami; konta serwisowe bez MFA; brak dzienników i rozliczalności sesji; loginy z sieci dostawcy.
Skutki: O 23:17 pojawia się sesja AnyDesk „serwis‑XYZ”. Rano brakuje paru logów, a na serwerze widnieje nowe konto „admin2”. Dostawca twierdzi, że „to nie my”. Zarząd: „odciąć dostęp wszystkim zewnętrznym do wyjaśnienia”. Dwa dni spowolnionej pracy, bo helpdesk nie ma jak pomóc. Nerwowe aneksy do umów i pytanie klientów o politykę bezpieczeństwa.
Szybkie wygrane (dziś): dostęp dla dostawców tylko przez Wasz VPN/ZTNA; konta serwisowe z MFA i minimalnymi uprawnieniami; włącz nagrywanie/ewidencję sesji; whitelist dozwolonych narzędzi.
Co wdrożyć w 30 dni: zasada just‑in‑time (dostęp nadawany na czas), cykliczny przegląd kont i kluczy, klauzule bezpieczeństwa w umowach z dostawcami.
10) Ransomware + brak kopii nieusuwalnych
Jak to się dzieje: Napastnik najpierw rozpoznaje środowisko i wyłącza/psuje backupy. Dopiero potem szyfruje serwery i udziały. Bez kopii offline/immutable odtworzenie jest bardzo trudne.
Objawy u Ciebie: brak niedawnych testów odtworzeniowych; konto backupowe używa tych samych danych co produkcja; pliki backupów dostępne z tej samej sieci; pojedynczy serwer backupu bez izolacji.
Skutki: Ekran z zegarem odlicza 72 godziny. Backup? Ostatnia pełna kopia sprzed dziewięciu dni, wczorajsza uszkodzona. Produkcja wraca „na papier”, sprzedaż robi oferty „z pamięci”, w księgowości panika, bo JPK nieaktualne. Każdy dzień to realnie od kilku do kilkunastu tysięcy zł strat + ryzyko kar. Po tygodniu część danych odtwarzacie, ale dwa projekty przepadają, a jeden klient odchodzi „dla bezpieczeństwa”.
Szybkie wygrane (dziś): wdroż 3‑2‑1 (w tym jedna kopia offline/immutable); rozdziel poświadczenia backupu od produkcji; zablokuj dostęp do repozytoriów z kont użytkowników; zrób test odtwarzania dziś.
Co wdrożyć w 30 dni: segmentacja dostępu do udziałów, backup „air‑gapped” lub obiektowy z nieusuwalnością (WORM), wskaźniki RPO/RTO i procedura odzyskiwania.
Jak wykrywać szybciej: sygnały w logach i „czarne listy” błędów
Nawet najlepsze „szybkie wygrane” wymagają obserwacji. W małej firmie postaw na trzy proste filary: logowania do M365 (Sign‑in logs, alerty na reguły skrzynek i podejrzane IP), zdarzenia systemowe na stacjach/serwerach (Defender/EDR z domyślnymi alertami) oraz monitoring urządzeń sieciowych (uptime, ruch, błędy portów, próby logowania do paneli). Ustal proste progi: 10 nieudanych logowań z jednego IP w 5 minut, nagła zmiana miejsca logowania o tysiące kilometrów, pojawienie się protokołów RDP/SMB z VLAN IoT do serwerów. Zapisz to w krótkim runbooku, żeby każdy wiedział, co robić, gdy dzwoni telefon.