Ți-au spart contul de email al firmei? Ce faci în primele ore, pas cu pas

O contabilă dintr-o firmă mică ne-a sunat într-o vineri seara cu o nedumerire ciudată. Trimitea răspunsuri la emailuri, clienții confirmau că au primit mesaje de la ea, dar în folderul „Trimise" jumătate din conversații pur și simplu lipseau. Câteva mesaje de la un furnizor dispăreau din „Primite" la câteva secunde după ce soseau. Nu era neglijență și nu era o defecțiune. Cineva era deja înăuntru, în căsuța ei, și ștergea în timp real ce nu voia să vadă ea.

Asta e o situație complet diferită de cea în care cineva trimite emailuri false care par de la tine. Acolo atacatorul stă afară și îți imită numele. Aici are cheia: s-a logat cu parola reală, citește, răspunde și manevrează din interior. E mai periculos și cere o reacție mult mai rapidă. Hai să vedem cum recunoști asta și ce faci în primele ore, în ordinea care contează.

Semne că cineva are acces la emailul firmei (nu doar parola furată)

Un atacator care vrea să stea cât mai mult nu îți schimbă parola și nu îți blochează contul. Ar însemna să te alarmeze. Vrea exact opusul: să nu observi nimic, ca să poată citi conversațiile cu clienții și să aștepte momentul potrivit pentru o factură falsă. De asta semnele sunt subtile. Iată ce vedem cel mai des:

• Răspunsuri sau emailuri care dispar. Mesaje pe care le-ai primit nu mai sunt în „Primite", iar unele răspunsuri lipsesc din „Trimise". E semnul clasic al unei reguli ascunse care le mută la coș sau într-un folder obscur, imediat ce sosesc.
• Contacte care îți spun că au primit mesaje pe care nu le-ai trimis. Mai ales mesaje despre plăți, facturi sau schimbări de cont bancar. Asta înseamnă că cineva scrie chiar din căsuța ta.
• Cereri de „verificare" a parolei la care nu te aștepți. Sau notificări că ți s-a schimbat parola, deși nu tu ai făcut-o.
• Logări din locuri sau de pe dispozitive necunoscute. În Microsoft 365 și Google Workspace vezi un istoric al conectărilor. O logare reușită dintr-o țară în care nu ai fost și de la o oră imposibilă e un semnal de alarmă serios.
• Avertismente de la furnizor. Atât Microsoft, cât și Google semnalează uneori „activitate neobișnuită de conectare". Nu ignora aceste mesaje și verifică-le că sunt reale, nu chiar ele phishing.

Niciunul nu e o dovadă singur, dar două sau trei împreună sunt suficiente cât să tratezi contul drept compromis până la proba contrară. E mai ieftin să verifici degeaba decât să lași un atacator încă o săptămână înăuntru.

Verifică imediat: reguli de redirecționare sau ștergere ascunse și sesiuni active

Primul lucru pe care îl face un atacator după ce intră nu e să fure ceva, ci să își asigure liniștea. Își construiește un mod de a urmări conversațiile chiar dacă tu îți schimbi parola mâine. De aceea, înainte să repari orice, uită-te exact în locurile pe care le folosește el.

Regulile de inbox. Deschide setările de reguli din Outlook sau Gmail și citește fiecare regulă, una câte una. Atacatorii pun de obicei reguli care trimit automat copii spre o adresă externă, sau care mută la coș orice mesaj ce conține cuvinte ca „factură", „IBAN", „plată" sau numele unui furnizor. Scopul e ca tu să nu vezi conversația pe care o deturnează ei. O regulă cu nume golit, format dintr-un punct sau dintr-un spațiu, e aproape sigur pusă de cineva care nu voia să fie observată.

Redirecționarea la nivel de cont. Pe lângă reguli, atât Microsoft 365, cât și Google Workspace au o setare separată de forwarding automat al întregii căsuțe. Verific-o distinct, fiindcă e ușor de ratat dacă te uiți doar la reguli. În multe firme, administratorul poate dezactiva complet redirecționarea externă, exact ca să taie acest vector.

Sesiunile și dispozitivele conectate. Uită-te ce sesiuni sunt active acum și de pe ce dispozitive. Dacă vezi o sesiune pe care nu o recunoști, e confirmarea de care aveai nevoie. Reține: doar schimbarea parolei nu închide o sesiune deja deschisă, motiv pentru care pasul de „deconectare de peste tot" din secțiunea următoare e obligatoriu, nu opțional.

Delegări și acces de tip „send as". Verifică dacă i s-a dat cuiva drept de a citi căsuța ta sau de a trimite în numele tău. E o cale discretă prin care un atacator păstrează accesul chiar și după ce ai reparat contul principal.

Pașii de containment în primele ore

Când ai confirmarea, contează viteza și ordinea. Dacă schimbi doar parola și te oprești, lași sesiunea atacatorului deschisă și regulile lui pe loc. Fă lucrurile în secvența asta, fără să sari pași:

Dacă e contul unui angajat și ai un administrator de Microsoft 365 sau Google Workspace, mulți dintre acești pași se fac mai rapid și mai sigur din consola de administrare, pentru întregul cont, decât din setările individuale. Administratorul poate forța resetarea parolei, închide sesiunile și bloca temporar contul cât timp investighezi.

De ce un mailbox spart înseamnă risc direct de fraudă cu factură și IBAN

Aici e partea pe care firmele o subestimează. Un atacator nu îți sparge emailul ca să citească bârfe. Îl sparge pentru bani, iar drumul cel mai scurt spre banii tăi trece prin facturile pe care le schimbi cu partenerii. Tiparul are chiar un nume în industrie: BEC, „business email compromise", compromiterea emailului de afaceri.

Mecanismul e simplu și de aceea funcționează. Odată intrat, atacatorul stă și citește. Învață cum scrii, cu cine lucrezi, cât facturezi, când plătești. Apoi așteaptă o factură reală, în mijlocul unei conversații reale, și intervine. Trimite, chiar din căsuța ta, un mesaj firesc către client: „am schimbat banca, vă rog achitați în noul cont", cu un IBAN care e al lui. Pentru client totul pare normal, fiindcă mesajul chiar vine de la tine, în firul de discuție pe care îl aveați. Plata pleacă, iar banii sunt foarte greu de recuperat.

Pune asta lângă regulile ascunse din pasul anterior și imaginea se închide. Regula care mută la coș orice conține „factură" nu e întâmplătoare: rolul ei e ca tu să nu vezi corespondența pe care o deturnează el. De aceea o căsuță compromisă nu e o problemă de confidențialitate, ci una financiară directă, atât pentru tine, cât și pentru oricine îți plătește.

E util să faci distincția clară față de un atac de tip spoofing. La spoofing, mesajul fals vine de pe un server străin și o politică DMARC corectă îl poate respinge. Aici mesajul vine din contul tău autentic, cu toate verificările trecute, fiindcă chiar e trimis de la tine. DMARC nu te apără în acest caz, pentru că problema nu e identitatea expeditorului, ci faptul că expeditorul e controlat de altcineva.

Securizare Microsoft 365 sau Google Workspace după incident

După ce ai oprit hemoragia, întărești contul ca să nu se repete și ca să înțelegi exact ce a atins atacatorul. Pașii diferă puțin între cele două platforme, dar logica e aceeași.

Pe Microsoft 365, pornește de la jurnalul de audit unificat, care îți arată conectările, regulile create și fișierele accesate. Verifică în mod special crearea de reguli de inbox și activarea oricărui forwarding în perioada suspectă. Dezactivează redirecționarea automată externă la nivel de organizație dacă firma nu are nevoie de ea, impune autentificarea în doi pași prin politici de acces condiționat și revizuiește aplicațiile cu acces (enterprise applications) ca să retragi consimțămintele suspecte. Cu mesageria, urmărirea livrării (message trace) te ajută să vezi ce a plecat din cont.

Pe Google Workspace, intri în consola de administrare și verifici jurnalele de audit pentru login și pentru email. Uită-te la filtrele și la setările de forwarding ale contului, la delegări și la aplicațiile terțe cu acces, pe care le poți revoca. Centrul de alerte îți semnalează activitatea suspectă, iar pentru firmele cu planurile potrivite, instrumentul de investigare a securității ajută la o căutare mai amănunțită. Ca și la Microsoft, poți restricționa redirecționarea externă din politici, ca măsură permanentă.

Indiferent de platformă, închide bucla căutând ce a putut pleca: documente partajate, contacte exportate, date personale ale clienților sau angajaților din atașamente. Dacă printre acestea sunt date cu caracter personal, ai și o obligație legală, despre care vorbim mai jos.

Ce comunici partenerilor și autorităților

Tentația e să taci, ca să nu pari nesigur. E exact greșeala care îți transformă incidentul în paguba altcuiva. Dacă atacatorul a stat în căsuța ta, e foarte posibil să fi scris deja, în numele tău, clienților și furnizorilor cu care erai în corespondență. Ei trebuie avertizați înainte să plătească într-un cont greșit.

• Anunță-ți partenerii cu care aveai conversații deschise. Spune-le simplu și ferm: dacă au primit recent de la tine un mesaj despre schimbarea contului bancar sau o factură cu IBAN nou, să nu plătească și să confirme telefonic, pe un număr cunoscut, înainte de orice transfer.
• Stabilește o regulă de verificare pe viitor. Orice schimbare de IBAN se confirmă printr-un al doilea canal, un telefon la o persoană cunoscută. Această regulă singură oprește marea majoritate a fraudelor de tip BEC.
• Dacă au fost expuse date personale, ai obligația să notifici ANSPDCP în cel mult 72 de ore de la momentul în care ai luat cunoștință de incident. Notificarea cu întârziere este ea însăși o încălcare, separat de incidentul tehnic.
• Poți raporta incidentul la DNSC, autoritatea națională de securitate cibernetică, sunând la 1911 (apelabil la tarif normal). Sprijinul lor te ajută și la documentarea corectă a cazului.

Documentează tot pe parcurs: ce ai văzut, când, ce reguli ai găsit, ce sesiuni erau active. Dacă incidentul ajunge la o discuție cu banca, cu un partener păgubit sau cu autoritatea, această cronologie cântărește mult.

Cum previi reinfectarea: MFA, monitorizare, politici de acces

Un cont curățat la repezeală se compromite din nou. Diferența o fac câteva măsuri care țin atacatorul afară chiar dacă, cândva, mai prinde o parolă.

• Autentificare în doi pași pe toate conturile, nu doar pe cel afectat. Ideal cu aplicație de autentificare sau cheie fizică. O parolă furată fără al doilea factor devine inutilă.
• Parole unice și un manager de parole. Refolosirea parolelor e exact motorul atacurilor de tip credential stuffing, prin care o scurgere veche de pe alt site deschide contul tău de azi.
• Politici de acces și redirecționare. Limitează sau interzice forwardingul extern automat, restricționează aplicațiile terțe care primesc acces și, unde se poate, conectările din regiuni în care nu operezi.
• Monitorizare și alerte. Conectări neobișnuite, reguli noi de inbox, forwarding nou activat: toate pot declanșa o alertă, ca să prinzi următoarea tentativă în ore, nu în săptămâni.
• Igienă pe restul infrastructurii. Un cont de email spart e adesea doar o parte. Merită să fii atent și la semnele că ți-a fost spart și site-ul, fiindcă atacatorii care intră într-un loc încearcă des și în celelalte.

Partea grea nu e să bifezi lista o dată, ci să o ții vie: să urmărești alertele, să verifici periodic regulile și sesiunile, să închizi accesele vechi. La UpTrust facem exact asta pentru firme care nu au o echipă de securitate internă: întărim Microsoft 365 și Google Workspace, implementăm autentificarea în doi pași pe toată organizația și monitorizăm conturile, ca o căsuță compromisă să fie prinsă devreme, nu după ce a plecat o plată. Dacă bănuiești că ești chiar acum în această situație, scrie-ne și te ajutăm să închizi ușa.