Ghiduri

Un angajat a dat click pe un email de phishing: ce faci, calm, în prima oră

Cineva din firmă a dat click pe un link de phishing sau și-a introdus parola pe o pagină falsă. Nu îl certa, mulțumește-i că a raportat. Vezi pas cu pas ce faci în prima oră ca să oprești paguba, ce verifici și cui raportezi.

Echipa UpTrust3 martie 202610 min citire

Angajată la birou privind îngrijorată ecranul laptopului după ce a deschis un email suspect

Un coleg vine alb la față și îți spune: „cred că am dat click pe ceva și mi-am pus parola pe o pagină ciudată". Inima îți cade în pantaloni. Primul impuls e să întrebi „cum ai putut?" și să cauți vinovatul. E exact reacția care îți va face mai mult rău.

Phishing-ul modern e construit special ca să păcălească oameni inteligenți și atenți, iar viteza cu care reacționezi contează mult mai mult decât cine a greșit. Vei vedea mai jos ce faci, calm, în prima oră: ce izolezi, ce parole schimbi, ce verifici și cui raportezi, fără să transformi un incident într-o vânătoare de vrăjitoare.

Primul reflex: nu certa angajatul, mulțumește-i

Angajatul care vine și spune că a dat click este cel mai bun aliat al firmei, nu vinovatul. Dacă e certat sau pedepsit, data viitoare va ascunde incidentul, iar tăcerea e exact ce vrea atacatorul. Spune-i clar, din primele secunde: ai făcut bine că ai raportat, acum rezolvăm împreună. O cultură în care oamenii raportează imediat, fără frică, este cea mai ieftină și eficientă măsură de securitate pe care o poate avea o firmă mică. Cere-i doar să nu mai dea niciun click și să nu închidă brusc nimic până nu îi spui tu, ca să nu pierdeți informații utile.

Prima oră, pas cu pas

În prima oră lucrezi în ordine, nu pe toate fronturile deodată. Pașii de mai jos acoperă cele două scenarii cele mai frecvente, parola introdusă pe o pagină falsă și un fișier deschis sau rulat, plus ce faci în ambele cazuri.

Izolează dispozitivul, dar nu îl opri

Deconectează calculatorul de la rețea (scoate cablul, oprește Wi-Fi-ul) ca să oprești o eventuală răspândire. Nu îl închide brutal dacă suspectezi ransomware: oprirea șterge probe din memorie.

Dacă a introdus parola: schimb-o de pe alt dispozitiv

Presupune că parola e deja furată. Schimb-o de pe un dispozitiv curat și deconectează toate sesiunile active ale contului.

Revocă accesele care supraviețuiesc parolei

Schimbarea parolei nu revocă automat parolele de aplicație și tokenurile. Revocă-le manual și verifică regulile de inbox și redirecționările, pas premergător unei fraude cu factură și IBAN modificat.

Dacă a rulat un fișier: scanează și ține-l izolat

Lasă dispozitivul pornit, dar deconectat, și rulează o scanare completă cu soluția de securitate sau EDR. La dubii serioase, cea mai sigură soluție rămâne reinstalarea sistemului.

Verifică accesele angajatului

Fă lista conturilor și a datelor la care avea acces și resetează parolele și 2FA pe cele sensibile, nu doar pe contul prin care a intrat atacatorul.

Anunță IT-ul, conducerea și păstrează dovezile

Un singur om coordonează. Păstrează emailul de phishing intact, cu antetele complete, plus capturi cu pagina falsă și URL-urile. Documentează ora exactă a fiecărui pas.

Avertizează echipa și blochează expeditorul

Dacă unul a primit emailul, probabil l-au primit și alții. Trimite un avertisment scurt și blochează expeditorul și URL-urile la nivel de server de email și firewall.

Nu închide calculatorul dacă suspectezi ransomware

Reflexul de a opri imediat mașina infectată distruge tocmai probele din memoria volatilă, procese active, conexiuni de rețea, uneori chei, de care are nevoie analiza. CISA recomandă oprirea completă doar ca ultimă soluție, atunci când chiar nu poți izola altfel dispozitivul de la rețea. Deconectează-l de la rețea și lasă-l pornit.

Un incident bine gestionat e un efort de echipă, nu o vânătoare de vinovați. Cine raportează repede salvează firma, iar restul echipei trebuie avertizat în minute, nu în zile.

Un infostealer fură mai mult decât o parolă

Dacă angajatul a rulat un fișier, tratează cu seriozitate posibilitatea unui infostealer, un program care fură parolele salvate, cookie-urile și sesiunile din browser. Asta înseamnă că toate conturile la care angajatul era logat pe acel dispozitiv trebuie considerate potențial compromise: schimbă parolele și revocă sesiunile, nu doar pentru contul evident. Nu te baza pe o singură scanare care iese curată; la dubii, reinstalează sistemul după ce ai păstrat probele.

Cui și în cât timp raportezi

Raportează incidentul la DNSC. Ai linia 1911, apelabilă din orice rețea la tarif normal, și platforma de raportare PNRISC, la adresa pnrisc.dnsc.ro, unde completezi formularul de incident. Dacă s-au scurs date personale ale clienților, angajaților sau pacienților, ai obligația să notifici ANSPDCP fără întârziere nejustificată și, dacă e posibil, în maximum 72 de ore de la momentul în care ai aflat de breșă, conform articolului 33 din GDPR.

Dacă firma intră sub NIS2 (transpus în România prin OUG 155/2024, modificată prin Legea 124/2025), entitățile esențiale și importante au termene proprii de raportare către DNSC: o alertă timpurie în 24 de ore, o notificare a incidentului în 72 de ore și un raport final în aproximativ 30 de zile. Cele trei obligații sunt diferite și se pot suprapune, nu presupune că una le acoperă pe celelalte. Pentru tot tabloul, vezi ghidul despre cui și în cât timp raportezi un incident.

După incident: cum eviți următorul click

Un incident bine gestionat e și o ocazie de a închide ușile pentru data viitoare. Câteva măsuri taie cel mai mult din risc.

Instruire și simulări de phishing

Oamenii care exersează recunoașterea unui email fals îl prind mult mai repede în viața reală, iar simulările arată unde mai e de lucru.

Autentificare în doi pași peste tot

Pe email, pe accesul de la distanță, pe aplicațiile critice. O parolă furată nu mai e suficientă dacă există al doilea pas.

SPF, DKIM și DMARC configurate corect

Îngreunează falsificarea adresei firmei tale și reduc emailurile false trimise în numele ei.

Acces minim necesar

Revizuiește periodic cine la ce are acces, ca un singur cont compromis să facă cât mai puțină pagubă.

Un plan de răspuns de o pagină

Cine ce face în prima oră, pe cine suni, cui raportezi. În criză nu ai timp să improvizezi.

Phishing-ul reușit duce de multe ori la o fraudă cu factură și IBAN schimbat sau la un cont de email compromis. Dacă atacatorul a pus stăpânire pe o căsuță, urmează pașii din ghidul despre contul de email al firmei spart, iar pentru a opri falsificarea propriului domeniu, vezi cum oprești emailurile false în numele firmei.

Pregătește firma înainte de următorul email

La UpTrust ajutăm firmele să se pregătească pentru exact acest moment: instruirea oamenilor, protecția emailului (SPF, DKIM, DMARC), autentificare în doi pași și un plan clar de răspuns la incident. Dacă vrei ca un click greșit să nu mai însemne o criză, scrie-ne pentru o evaluare gratuită.

Întrebări frecvente

Un angajat a dat click pe un link de phishing dar nu a introdus nimic. E grav?

Riscul e mai mic decât dacă ar fi introdus date sau ar fi descărcat un fișier, dar nu îl ignora. Unele pagini încearcă să descarce automat conținut sau să exploateze vulnerabilități doar la deschidere. Izolează dispozitivul de rețea, rulează o scanare cu soluția de securitate și verifică dacă s-a descărcat ceva. Dacă totul iese curat și angajatul confirmă că nu a introdus parola, poți reveni la normal, dar ține incidentul documentat.

Angajatul și-a introdus parola pe o pagină falsă. Ce fac primul lucru?

Presupune că parola e deja furată și acționează imediat. Schimbă parola contului de pe un dispozitiv curat, apoi deconectează toate sesiunile active cu opțiunea de deconectare de peste tot. Foarte important, revocă și parolele de aplicație și tokenurile de acces, pentru că acestea nu se anulează automat când schimbi parola. Verifică apoi regulile de inbox și redirecționările de email, resetează autentificarea în doi pași și schimbă parola și pe alte conturi unde era refolosită.

Trebuie să raportez la DNSC sau ANSPDCP dacă un angajat a dat click pe phishing?

La DNSC poți și e recomandat să raportezi orice incident de securitate cibernetică, prin linia 1911, apelabilă din orice rețea la tarif normal, sau prin platforma PNRISC de la pnrisc.dnsc.ro. Către ANSPDCP ai obligația legală de notificare doar dacă s-au scurs date personale și breșa poate genera un risc pentru persoanele vizate, în cel mult 72 de ore de la momentul în care ai aflat, conform articolului 33 din GDPR. Dacă firma intră sub NIS2, se adaugă termene proprii de raportare către DNSC.

Cum opresc ca același email de phishing să păcălească și alți angajați?

Trimite imediat un avertisment scurt către toată echipa: descrie emailul, cere-le să nu dea click și să raporteze dacă l-au primit sau dacă au acționat deja asupra lui. În paralel, blochează expeditorul și URL-urile periculoase la nivel de server de email și de firewall, ca să oprești valurile următoare. Păstrează emailul original cu antete complete pentru analiză și raportare, fiindcă de acolo se vede infrastructura atacatorului.

Contabilă îngrijorată verificând emailurile firmei pe laptop

Amenințări

Ți-au spart emailul firmei? Ce faci în primele ore

Un cont de email compromis e diferit de un email fals: atacatorul e chiar înăuntru, citește și răspunde. Vezi cum recunoști asta și ce faci în primele ore ca să oprești o fraudă cu factură.

13 ianuarie 20269 min citire

Persoană verificând o factură pe hârtie lângă un laptop, la birou

Amenințări

Furnizorul și-a schimbat IBAN-ul? Atenție la frauda BEC

Primești un email că furnizorul și-a schimbat contul bancar și trebuie să plătești în alt IBAN. De multe ori e fraudă BEC, nu o cerere reală. Vezi cum o recunoști, cum verifici corect și ce faci dacă ai plătit deja.

13 februarie 202610 min citire

Profesionist la birou vorbind la telefon și notând informații în timp ce raportează o problemă