Jak rozpoznać phishingowy e-mail: analiza prawdziwego przykładu i ochrona kont
Krótki opis: Analizujemy prawdziwy phishingowy e-mail z podejrzaną domeną onmicrosoft.com, błędem SPF fail i załącznikiem PDF. Pokażemy, jak szybko wykryć zagrożenie i zabezpieczyć swoje konta.
Nowoczesne wiadomości phishingowe wyglądają coraz bardziej realistycznie. Wielu użytkowników widzi „oficjalny” e-mail, otwiera PDF lub klika link — i po kilku minutach traci dostęp do poczty, bankowości lub kont firmowych.
W tym przykładzie oszuści wysłali wiadomość z adresu replyorderpay28372284@oleksii392.onmicrosoft.com. E-mail zawierał załącznik PDF oraz błędy SPF. Właśnie takie szczegóły najczęściej zdradzają phishing.
Kiedy warto to sprawdzić
- Na skrzynkę trafił dziwny e-mail z załącznikiem
- Nadawca używa podejrzanej domeny
- Wiadomość wymaga pilnego otwarcia pliku lub kliknięcia linku
- Podejrzewasz próbę kradzieży hasła
- Chcesz sprawdzić, czy wiadomość jest prawdziwa
Najszybszy sposób (1 minuta)
- Sprawdź pełny adres nadawcy, a nie tylko nazwę
- Najedź kursorem na link bez otwierania go
- Nie otwieraj załączników PDF i ZIP od nieznanych nadawców
- Sprawdź SPF/DKIM/DMARC, jeśli potrafisz analizować nagłówki wiadomości
- Jeśli widzisz SPF fail lub dziwną domenę — usuń wiadomość
Co zdradziło phishingowy e-mail
W analizowanym przykładzie użyto adresu:
replyorderpay28372284@oleksii392.onmicrosoft.com
Już sam adres wygląda podejrzanie:
- losowy ciąg cyfr;
- nieznana nazwa domeny;
- użycie onmicrosoft.com;
- brak powiązania z prawdziwą firmą.
Dodatkowo w nagłówkach wiadomości pojawił się błąd:
Received-SPF: fail
Oznacza to, że serwer nadawcy nie przeszedł poprawnie weryfikacji SPF. Bardzo często SPF fail wskazuje na podszywanie się pod nadawcę lub podejrzaną wysyłkę wiadomości. :contentReference[oaicite:0]{index=0}
Dlaczego załączniki PDF są niebezpieczne
W wiadomości znajdował się plik:
Disney-MLY7KJ922HS.pdf :contentReference[oaicite:1]{index=1}
Obecnie cyberprzestępcy często wykorzystują PDF-y do:
- fałszywych faktur;
- podrobionych powiadomień kurierskich;
- imitacji dokumentów Microsoft lub Google;
- ukrywania złośliwych linków;
- przekierowań na strony phishingowe.
Wielu użytkowników uważa PDF za bezpieczny format, ale dokument może zawierać:
- przyciski prowadzące do złośliwych stron;
- skrypty JavaScript;
- fałszywe formularze logowania;
- linki do pobrania wirusów.
Najważniejsze oznaki phishingu
Większość phishingowych wiadomości posiada bardzo podobne cechy.
Sposób 1 — sprawdzenie adresu nadawcy
- Otwórz pełne informacje o wiadomości
- Sprawdź domenę po znaku @
- Upewnij się, że domena należy do prawdziwej firmy
- Zwróć uwagę na przypadkowe cyfry i dziwne nazwy
- Jeśli domena wygląda podejrzanie — nie otwieraj wiadomości
Przykłady:
- support-google-security.com — fałszywa domena
- paypal-confirm2026.net — phishing
- oleksii392.onmicrosoft.com — podejrzana domena techniczna
Sposób 2 — analiza SPF, DKIM i DMARC
- Otwórz nagłówki wiadomości
- Znajdź wpisy SPF, DKIM oraz DMARC
- Sprawdź, czy pojawia się fail, none lub neutral
- Jeśli SPF pokazuje fail — traktuj wiadomość jako niebezpieczną
W analizowanym e-mailu występował wpis:
Received-SPF: fail :contentReference[oaicite:2]{index=2}
Pojawiła się także nietypowa domena DKIM:
oleksii392-onmicrosoft-com.20251104.gappssmtp.com :contentReference[oaicite:3]{index=3}
Dla zwykłego użytkownika może to wyglądać normalnie, ale administrator systemów od razu zauważy problem.
Sposób 3 — bezpieczne sprawdzanie załączników
- Nie otwieraj PDF bezpośrednio
- Najpierw prześlij plik do VirusTotal
- Sprawdź podpis cyfrowy dokumentu
- Otwieraj pliki tylko w izolowanym środowisku
- Nigdy nie wpisuj hasła po otwarciu załącznika
Mało znany trik: jeśli wiadomość wygląda jak e-mail od banku, Microsoftu lub firmy kurierskiej — nie otwieraj załącznika. Lepiej samodzielnie wejść na oficjalną stronę usługi.
Co warto zablokować
Jeśli wiadomość trafiła do kilku użytkowników lub do sieci firmowej, zaleca się:
- zablokowanie domeny onmicrosoft.com nadawcy;
- zablokowanie konkretnego adresu e-mail;
- dodanie adresu IP do filtra antyspamowego;
- blokowanie podejrzanych PDF;
- sprawdzenie, kto jeszcze otrzymał wiadomość.
W tym przypadku podejrzane są:
- replyorderpay28372284@oleksii392.onmicrosoft.com
- oleksii392.onmicrosoft.com
Przydatne wskazówki
- Włącz uwierzytelnianie dwuskładnikowe
- Używaj różnych haseł dla różnych usług
- Nie otwieraj załączników od nieznanych nadawców
- Skonfiguruj SPF, DKIM i DMARC dla własnej domeny
- Korzystaj z nowoczesnych filtrów antyspamowych
Najczęstsze błędy
Największym błędem jest ufanie wyglądowi wiadomości. Nawet jeśli e-mail wygląda jak wiadomość od Google, Microsoft lub banku — nie oznacza to, że jest prawdziwy.
Użytkownicy często:
- sprawdzają tylko nazwę nadawcy;
- ignorują prawdziwy adres e-mail;
- otwierają PDF bez analizy;
- ignorują SPF fail;
- wpisują hasła po kliknięciu linku.
Najczęściej zadawane pytania
Czy można zarazić komputer samym otwarciem wiadomości?
Zazwyczaj nie. Jednak otwarcie załącznika lub kliknięcie linku może być już niebezpieczne.
Dlaczego oszuści używają onmicrosoft.com?
Ponieważ Microsoft 365 umożliwia szybkie tworzenie technicznych domen, które wyglądają bardziej wiarygodnie.
Czy PDF może być niebezpieczny?
Tak. Dokument PDF może zawierać złośliwe linki, skrypty oraz elementy phishingowe.
Co zrobić, jeśli podałem hasło?
Natychmiast zmień hasło, zakończ wszystkie aktywne sesje i włącz uwierzytelnianie dwuskładnikowe.
Wnioski
Najlepszą ochroną przed phishingiem jest sprawdzanie adresu nadawcy, SPF/DKIM oraz ostrożność wobec załączników. W tym przypadku wiadomość zdradziły podejrzana domena, SPF fail i nietypowy załącznik PDF. Dzięki ostrożności większość takich ataków można zatrzymać w kilka sekund.
Czytaj także
Zakładki
Jeśli ten artykuł był pomocny, dodaj nasz blog
o bezpieczeństwie internetowym i ochronie Windows
do zakładek.
