Atak phishingowy w polskiej firmie skutkował naruszeniem ochrony danych

4 listopada br. GRENEVIA S. A. opublikowała komunikat w związku z naruszeniem ochrony danych osobowych, które dotyczy pracowników i współpracowników firmy.

„W dniu 22 października 2025 r. doszło do ataku phishingowego obejmującego między innymi Spółkę GRENEVIA S.A. (dalej: „Spółka”) oraz inne Spółki należące do grupy kapitałowej GRENEVIA. Atak miał na celu przejęcie skrzynek pocztowych poprzez wyłudzenie danych do logowania w systemie Microsoft, a następnie rozpowszechnienie kolejnych wiadomości phishingowych do losowo wybranych osób znajdujących się w książkach adresowych” – stwierdzono w zawiadomieniu.

Spółka poinformowała, że doszło do „niezamierzonego udostepnienia wiadomości mailowych i plików” na czterech skrzynkach mailowych pracowników. W komunikacie podkreślono, że monitorowanie aktywności użytkowników oraz blokowanie dostępu do „zainfekowanych skrzynek” przyczyniło się do znacznego zmniejszenia skali zdarzenia. Stwierdzono, że naruszenie „trwało około pięciu godzin”.

Naruszenie ochrony danych osobowych

Zakres danych, które zostały objęte naruszeniem ochrony, obejmuje m.in.:

• informacje kontaktowe o około 600 osobach (poprzez m.in. adresy e-mail);
• ok. 300 numerów rachunków bankowych klientów i kontrahentów;
• około 160 „informacji o wynagrodzeniach i premiach naszych pracowników i współpracowników”.

Ostatni punkt wskazuje na to, że jednym z celów ataków była osoba posiadająca dostęp do informacji o zarobkach. Co ważne, spółka niezwłocznie zareagowała na incydent oraz poinformowała o nim Prezesa UODO w ciągu 72 godzin od wystąpienia naruszenia.

Dlaczego to takie ważne?

Przejmowanie kontroli nad służbowymi skrzynkami e-mailowymi potrafi nieść za sobą duże zagrożenie. W grudniu 2023 r. Ministerstwo Cyfryzacji określiło ataki BEC (ang. business e-mail compromise) jako „jeden z najprostszych sposobów na wyłudzenie pieniędzy od firmy”.

Należy przy tym nadmienić, że cyberprzestępcy mogą wykorzystać takie skrzynki np. do wysyłania informacji o zmianie numerów konta, co stwarza zagrożenie utraty pieniędzy.

„Wiadomości przeważnie są pilne, najczęściej dotyczą natychmiastowej weryfikacji stanu konta lub uaktualnienia danych do przelewu. Wymagają szybkiego podjęcia określonych działań np. otwarcie załączników lub kliknięcie linków, a poprzez nacisk i presję czasu, nie dają pracownikom przestrzeni na analizę sytuacji” – stwierdzono w opracowaniu MC.

Jak się chronić?

Obecnie hasło nie stanowi wystarczającego zabezpieczenia kont. Konieczne staje się wykorzystanie dodatkowego czynnika, czyli logowanie się z wykorzystaniem tzw. dwuetapowego uwierzytelniania. Niestety takie działanie nie chroni przed wszystkimi rodzajami ataków, co wykazano w artykule

„Jak autorzy phishingu obchodzą wieloczynnikowe uwierzytelnienie?” Sekuraka z sierpnia 2020 roku, lecz znacznie utrudnia nieuprawniony dostęp do kont. Warto rozważyć stosowanie kluczy fizycznych (U2F) czy tzw. „passkeys”.

Jeżeli otrzymujemy wiadomość mailową, która ma skłonić nas do podjęcia określonych działań, takich jak niezwłoczne wykonanie przelewu na nowy numer konta, warto skonsultować się z daną osobą za pomocą innego kanału komunikacji, np. wykonać połączenie telefoniczne po otrzymaniu e-maila, aby potwierdzić lub wykluczyć autentyczność wiadomości.

Wciąż ważne pozostaje używanie unikalnych i odpowiednio skomplikowanych haseł, co opisywaliśmy na łamach naszego portalu. Warto również pamiętać o wdrożeniu SPF, DKIM i DMARC w ramach rekordów TXT DNS domeny oraz o tym, że nie powinniśmy obarczać pracowników odpowiedzialnością za „kliknięcie w link”. Poradnik ENISA dla MŚP jasno wskazuje, że powinniśmy filtrować maile przychodzące, aby nie trafiały do skrzynek odbiorczych użytkowników.

Incydent w polskiej spółce pokazuje również rolę monitoringu infrastruktury IT – niestety niejednokrotnie adwersarze pozostają niewykryci przez stosunkowo długi czas, liczony w dniach czy tygodniach. W tym przypadku firmie udało się, według deklaracji, powstrzymać atakujących w ciągu kilku godzin.

Nie pierwszy taki incydent

W kwietniu br. informowaliśmy o nieuprawnionym dostępie do skrzynek mailowych polskich podmiotów publicznych. Wówczas doszło m.in. do naruszenia ”poufności danych” w jednym z zakładów gospodarki komunalnej. Podobne zdarzenie miało miejsce we wrześniu w jednym z ośrodków pomocy społecznej.