Niebezpieczne załączniki w mailach – jak je rozpoznać i nie dać się zainfekować?
Fałszywy e-mail „od kuriera” z informacją o paczce i załącznikiem do otwarcia to jeden z najstarszych, a wciąż najskuteczniejszych sposobów na zainfekowanie komputera. Wystarczy jedno kliknięcie, by uruchomić złośliwe oprogramowanie, które zaszyfruje Twoje pliki i zażąda okupu. Pokazujemy, po czym poznać groźny załącznik, dlaczego nie wolno ufać samemu antywirusowi i co robić, gdy podejrzana wiadomość już trafi na Twoją skrzynkę.
Czym są niebezpieczne załączniki w e-mailu?
Niebezpieczny załącznik to plik dołączony do wiadomości, który po otwarciu instaluje na urządzeniu złośliwe oprogramowanie – najczęściej trojana, ransomware lub program szpiegujący. Cyberprzestępcy podszywają się pod firmy kurierskie, banki, urzędy czy dostawców energii, bo takie wiadomości budzą najmniej podejrzeń. Plik bywa opisany jako „faktura”, „potwierdzenie nadania” albo „komplet dokumentów” – a w rzeczywistości jest pułapką.
Szczególnie groźny jest okres przedświąteczny i wyprzedaży, gdy realnie czekamy na wiele przesyłek. Łatwiej wtedy odruchowo kliknąć w „status paczki”, nie zastanawiając się, czy faktycznie coś zamawialiśmy.
Po czym poznać groźny załącznik? Zwróć uwagę na rozszerzenie
Najważniejsza wskazówka to typ pliku. Złośliwe załączniki często udają dokumenty PDF, Word czy Excel, ale ich prawdziwe rozszerzenie zdradza zagrożenie. Twoją czujność powinny wzbudzić zwłaszcza:
- pliki wykonywalne i skrypty: .exe, .js, .scr, .bat, .cmd;
- obrazy dysków i archiwa, w których łatwo ukryć szkodliwy plik: .iso, .img, .zip, .rar;
- pliki HTML udające stronę logowania: .htm, .html;
- dokumenty Office z makrami (.docm, .xlsm) – jeśli po otwarciu pojawia się prośba o „włączenie makr”, nie zgadzaj się.
Uważaj też na podwójne rozszerzenia, które mają zmylić odbiorcę – np. „faktura.pdf.scr” albo „dokumenty.pdf.exe”. Na pierwszy rzut oka to PDF, w rzeczywistości program. Podejrzane są również nazwy z dziwnymi znakami, np. „faktura$$123.img”.
Przykład z naszej skrzynki: fałszywy mail „PolKurier”
Na naszą firmową skrzynkę trafiła kiedyś wiadomość rzekomo od firmy kurierskiej PolKurier – informacja o planowanej wizycie kuriera z załącznikiem do otwarcia. Co ważne: PolKurier to istniejąca, działająca firma, więc mail nie różnił się niczym od prawdziwych powiadomień. To typowy zabieg – przestępcy podszywają się pod realne marki.
Sprawdziliśmy sam załącznik w serwisie VirusTotal. Wynik? Brak wykrytego zagrożenia. Nie odpuściliśmy jednak i przepuściliśmy plik przez silnik ESET NOD32 – ten rozpoznał złośliwy kod. Wniosek jest prosty i wciąż aktualny: brak wykrycia w jednym narzędziu nie oznacza, że plik jest bezpieczny. Skanery różnią się bazami i heurystyką, a świeże kampanie potrafią przez kilka godzin pozostawać niewykryte.
Co zrobić, gdy dostaniesz podejrzany załącznik?
- Nie otwieraj załącznika od nieznanego nadawcy – to pierwsza i podstawowa zasada.
- Sprawdź dokładny adres e-mail nadawcy, a nie tylko wyświetlaną nazwę. Literówka w domenie albo adres z darmowej skrzynki to sygnał ostrzegawczy.
- Zwróć uwagę na język wiadomości – nienaturalne sformułowania, błędy i styl „z translatora” często zdradzają fałszywkę.
- Masz wątpliwości? Zweryfikuj sprawę u źródła – zadzwoń na oficjalną infolinię firmy, zamiast odpowiadać na maila.
- Zgłoś podejrzaną wiadomość do CERT Polska przez formularz na incydent.cert.pl lub prześlij ją na adres [email protected]. Każde zgłoszenie pomaga chronić innych użytkowników.
Otworzyłeś załącznik – co dalej?
Jeśli plik już został uruchomiony, działaj szybko. Odłącz komputer od internetu (Wi-Fi i kabel), żeby ograniczyć ewentualne szyfrowanie danych i komunikację z serwerem przestępców. Następnie wykonaj pełne skanowanie programem antywirusowym, a jeśli logowałeś się gdziekolwiek po infekcji – zmień hasła z innego, czystego urządzenia. Gdy ucierpiały dane firmowe, zgłoś incydent do działu IT i do CERT Polska. W przypadku ataku ransomware nie płać okupu i nie kasuj plików – skontaktuj się ze specjalistami.
Jak chronić firmę przed złośliwymi załącznikami?
W organizacji pojedyncza czujność pracownika to za mało – potrzebne są warstwy zabezpieczeń. Podstawą jest ochrona poczty e-mail, która filtruje wiadomości i załączniki, zanim trafią do skrzynki, oraz ochrona stacji końcowych klasy EDR, wykrywająca podejrzane zachowanie pliku już po jego uruchomieniu. Równie ważny jest najsłabszy element łańcucha, czyli człowiek – regularne szkolenia z rozpoznawania phishingu realnie obniżają ryzyko. Jak skonfigurować taką ochronę poczty, pokazujemy w bezpłatnym nagraniu z Akademii: Jak zabezpieczyć pocztę M365 przed phishingiem i złośliwymi załącznikami z ESET.
FAQ – niebezpieczne załączniki w mailach
Czy samo otwarcie maila może zainfekować komputer?
W większości przypadków zagrożenie aktywuje się dopiero po otwarciu załącznika lub kliknięciu w link. Zdarzają się jednak ataki wykorzystujące luki w programie pocztowym, dlatego warto aktualizować oprogramowanie i nie wyświetlać treści z nieznanych źródeł.
Antywirus nie wykrył zagrożenia – czy plik jest bezpieczny?
Niekoniecznie. Jak pokazał nasz test z mailem „PolKurier”, jeden skaner może nie rozpoznać świeżej kampanii, którą wykryje inny. Brak alarmu to nie to samo co gwarancja bezpieczeństwa.
Jakie rozszerzenia plików są najbardziej niebezpieczne?
Przede wszystkim .exe, .js, .scr, .bat, .iso, .img oraz archiwa .zip i .rar. Ostrożność zachowaj też wobec dokumentów Office proszących o włączenie makr i plików z podwójnym rozszerzeniem.
Gdzie zgłosić fałszywy mail z załącznikiem?
Do CERT Polska – przez formularz na incydent.cert.pl lub mailem na [email protected]. Podejrzane SMS-y przekażesz dalej na numer 8080.