1. Klikanie w każdy link i załącznik „w ciemno”
Na czym polega błąd
Pracownik dostaje wiadomość z pilną prośbą: „potwierdź dane”, „dopłać do przesyłki” albo „sprawdź fakturę w załączniku”. Treść wygląda w miarę normalnie, więc:
- klika w link prowadzący do fałszywej strony logowania,
- otwiera załącznik, który uruchamia złośliwe makro lub malware.
Często dzieje się to odruchowo – bo „trzeba szybko odpisać” lub „to wygląda jak typowa faktura”.
Jak robić to lepiej
Po pierwsze – kontekst. Warto zadać sobie proste pytanie: czy naprawdę spodziewałeś się tej faktury, dopłaty, skanu umowy albo resetu hasła?
Zasadą powinno być również to, że do banku, firmy kurierskiej czy dostawcy usług logujemy się z zakładek lub ręcznie wpisanego adresu, a nie z linku w losowej wiadomości e-mail.
Załączniki – szczególnie archiwa (`.zip`, `.rar`) oraz dokumenty z makrami – zawsze warto traktować z większym dystansem. W razie wątpliwości lepiej skontaktować się innym kanałem (np. telefonicznie) i potwierdzić, czy nadawca faktycznie wysłał daną wiadomość.
2. Ignorowanie szczegółów nadawcy i treści
Na czym polega błąd
Użytkownicy patrzą głównie na nazwę wyświetlaną przy adresie e-mail („Bank XYZ”, „Dział Kadr”)
oraz ogólny sens treści. Zdecydowanie rzadziej sprawdzają dokładny adres nadawcy albo zauważają
subtelne literówki w domenie, na przykład bankxzy.pl zamiast bankxyz.pl.
Do tego dochodzą:
- błędy językowe maskowane pośpiechem i emocjonalnym tonem,
- małe zmiany w sygnaturze,
- nagłówki typu „Pilne” lub „Ostateczne wezwanie”, których celem jest wywołanie presji.
Jak robić to lepiej
Podstawą jest sprawdzanie pełnego adresu nadawcy, a nie tylko nazwy, która wyświetla się w kliencie pocztowym. Warto zwracać uwagę na domenę, literówki, podejrzane dopiski oraz nietypowe końcówki.
Jeżeli wiadomość jest nietypowa jak na daną osobę lub firmę – na przykład w tonie, języku albo porze wysyłki – warto podejść do niej z większym dystansem. W korespondencji wewnętrznej, takiej jak rzekomy „mail od prezesa”, sygnałem ostrzegawczym może być również styl wypowiedzi, który zupełnie nie pasuje do realiów organizacji.
3. Traktowanie poczty służbowej jak prywatnej
Na czym polega błąd
Adres służbowy bywa używany do wszystkiego: zakładania prywatnych kont w sklepach internetowych, zapisywania się na newslettery, logowania do serwisów społecznościowych czy rejestracji w aplikacjach, które nie mają żadnego związku z pracą.
W efekcie:
- adres służbowy trafia do baz mailingowych i kampanii phishingowych,
- zwiększa się powierzchnia ataku w przypadku wycieków z zewnętrznych serwisów,
- pracownik ma trudność z odróżnieniem wiadomości służbowych od prywatnych.
Jak robić to lepiej
Dobrą praktyką jest prosta zasada: poczta służbowa służy do spraw służbowych. Do rejestracji w serwisach prywatnych powinien być używany prywatny adres e-mail.
W politykach bezpieczeństwa organizacji warto jasno określić, do czego adres firmowy może, a do czego nie powinien być używany – i konsekwentnie to komunikować podczas szkoleń oraz onboardingu nowych osób.
4. Wysyłanie poufnych danych „z przyzwyczajenia”
Na czym polega błąd
Poczta służbowa jest naturalnie wykorzystywana do przekazywania dokumentów, zestawień, danych osobowych czy informacji technicznych. Problem pojawia się wtedy, gdy:
- adresat jest dobierany przez autouzupełnianie i mylimy osoby o podobnych nazwiskach,
- bezrefleksyjnie używamy „Odpowiedz wszystkim”, przekazując poufne informacje zbyt szeroko,
- kopiujemy wątki, w których znajdują się dane, których nie powinny widzieć nowe osoby.
Jak robić to lepiej
Przed wysłaniem wiadomości z załącznikami lub danymi w treści warto wykonać prosty krok: sprawdzić listę odbiorców. To drobna czynność, która często decyduje o tym, czy dojdzie do naruszenia poufności.
Użycie „Odpowiedz wszystkim” powinno być wyjątkiem, a nie standardem. Jeżeli organizacja wdrożyła mechanizmy szyfrowania wiadomości lub załączników, trzeba korzystać z nich zgodnie z procedurą.
W przypadku szczególnie wrażliwych danych warto zastanowić się, czy e-mail jest w ogóle właściwym kanałem, czy lepszym rozwiązaniem nie będzie dedykowane repozytorium dokumentów z kontrolą dostępu.
5. Brak zgłaszania podejrzanych wiadomości
Na czym polega błąd
Wielu pracowników usuwa podejrzane wiadomości i „udaje, że nic się nie stało”, nie zgłaszając potencjalnego incydentu. Zdarza się również, że obawiają się zadać pytanie lub zgłosić wątpliwości, żeby nie wyjść na osobę „nieznającą się na komputerach”.
Efekt jest taki, że:
- zespół IT lub bezpieczeństwa nie widzi pełnego obrazu kampanii,
- inne osoby w organizacji mogą dostać identyczne wiadomości,
- mijana jest szansa na szybkie ostrzeżenie reszty pracowników.
Jak robić to lepiej
Zgłaszanie podejrzanych maili powinno być traktowane jako element obowiązków, a nie jako sprawa „dodatkowa”. Warto korzystać z jasno określonego kanału: dedykowanego adresu zgłoszeń, przycisku w kliencie pocztowym albo systemu Service Desk.
Jeżeli ktoś kliknął w podejrzany link lub otworzył podejrzany załącznik, tym bardziej powinien zgłosić to od razu, zamiast liczyć, że „może nic się nie stanie”. Czas reakcji ma bezpośrednie przełożenie na skalę skutków incydentu.
Co z tego wynika dla organizacji?
Większość opisanych błędów wynika z pośpiechu, braku jasnych zasad oraz braku praktycznego szkolenia. Dobrze zaprojektowany program cyberawareness nie ogranicza się do prezentacji definicji, ale uczy konkretnych zachowań i pokazuje, jak wyglądają realne wiadomości wykorzystywane w atakach.
W praktyce najlepsze efekty daje połączenie kilku elementów:
- jasnych procedur korzystania z poczty służbowej,
- regularnych, praktycznych szkoleń dla pracowników i kadry zarządzającej,
- oraz wsparcia ze strony zespołów IT i bezpieczeństwa przy budowaniu prostego modelu reagowania.
Dzięki temu poczta elektroniczna pozostaje kluczowym narzędziem pracy, a nie najłatwiejszą drogą do poważnego incydentu bezpieczeństwa.