Przechwycone konto e mail: jak znaleźć reguły przekierowań, odzyskać skrzynkę i zabezpieczyć ją na przyszłość

Po co w ogóle grzebać w przechwyconym koncie e‑mail

Przechwycone konto e mail to nie tylko irytacja i poczucie naruszenia prywatności. To realne ryzyko utraty pieniędzy, dostępu do innych usług i wycieku danych firmowych. Ten, kto kontroluje Twoją skrzynkę, ma w ręku klucze do dziesiątek innych miejsc: resetów haseł, potwierdzeń przelewów, logowań do mediów społecznościowych czy paneli administracyjnych.

Atakujący bardzo często nie robią głośnego „rabunku”. Zakładają reguły przekierowań poczty, podmieniają filtry i przez tygodnie spokojnie podglądają lub modyfikują korespondencję. Dlatego kluczowe jest nie tylko odzyskanie konta, ale też zlokalizowanie i usunięcie wszystkich złośliwych automatyzacji poczty oraz ustawienie zabezpieczeń tak, aby ten numer nie przeszedł drugi raz.

Kto przejdzie cały proces – od diagnozy, przez czyszczenie reguł, do wzmocnienia zabezpieczeń – naprawdę podnosi poziom bezpieczeństwa cyfrowego na lata. To trochę jak generalny remont: raz boli, ale potem jest spokój.

Frazy powiązane: przechwycone konto e mail, reguły przekierowań poczty, filtrowanie i przekierowanie wiadomości, odzyskanie konta e mail, zabezpieczenie skrzynki pocztowej, logi logowania e mail, dwuskładnikowe uwierzytelnianie poczty, phishing na przejęte konto, ustawienia bezpieczeństwa w Gmail i Outlook, kontrola dostępu do skrzynki, odzyskiwanie konta firmowego, analiza naruszenia bezpieczeństwa e mail

Sygnały, że konto e‑mail zostało przejęte

Najbardziej oczywiste symptomy włamania do skrzynki

Nie każde dziwne zachowanie skrzynki oznacza od razu przechwycone konto e mail. Są jednak sygnały, które powinny zapalić grubą, czerwoną lampkę ostrzegawczą. Im szybciej je wyłapiesz, tym mniejsze szkody poniesiesz.

Do najczęstszych, bardzo wyraźnych symptomów należą:

• Powiadomienia o logowaniu z nowych urządzeń lub lokalizacji – e‑mail typu „Wykryto nowe logowanie z…”, którego nie potrafisz powiązać z własnym działaniem.
• Alerty o zmianie hasła lub metod odzyskiwania – informacja, że zmieniono hasło, numer telefonu, adres odzyskiwania, a Ty nic nie robiłeś.
• Brak dostępu do konta – hasło „nagle” przestaje działać, a próba resetu hasła jest blokowana lub kierowana na obcy numer/e‑mail odzyskiwania.
• Logowania z egzotycznych krajów – w logach bezpieczeństwa widnieje dostęp z lokalizacji, w których nigdy nie byłeś.
• Masowa wysyłka spamu z Twojego adresu – znajomi zgłaszają, że dostają od Ciebie linki do dziwnych stron, załączniki .zip lub „inwestycje życia”.

Jeśli widzisz takie objawy, trzeba reagować jak na realne naruszenie bezpieczeństwa, a nie drobną usterkę techniczną. Tu nie ma miejsca na odkładanie „na jutro”.

Subtelne oznaki: kiedy coś „nie gra”, ale trudno wskazać co

Dużo bardziej zdradliwe są sytuacje, w których haker nie zmienia hasła, tylko po cichu obserwuje Twoją korespondencję i podkrada informacje. Tego typu atak ma często charakter szpiegowski lub finansowy, szczególnie w kontekście firm. Wtedy przechwycone konto e mail może wyglądać na pozornie normalne.

Na co zwracać uwagę:

• Brak części korespondencji – wiesz, że ktoś powinien przysłać ofertę, fakturę, potwierdzenie, a maila nie ma, choć u nadawcy jest w „wysłanych”.
• Odpowiedzi, których nie pisałeś – znajomy pyta, czemu odpowiedziałeś mu tak dziwnie albo z prośbą o przelew na inny rachunek.
• Brak nowych maili przez dłuższy czas – skrzynka jak zaklęta milczy, mimo że normalnie codziennie coś wpada.
• Przesunięte lub nowe foldery – pojawiają się foldery „Oferty”, „Archiwum2”, „Ważne2”, „System”, do których niby nic nie przenosiłeś.
• Ustawienia języka lub strefy czasowej – zmienione bez Twojej ingerencji.

Atakujący często tworzą reguły przekierowań poczty lub filtry, które:

• przenoszą ważne maile do mało używanych folderów,
• oznaczają je jako przeczytane,
• przekazują kopię na zewnętrzny adres, a w Twojej skrzynce zostawiają bałagan, żebyś niczego nie podejrzewał.

Takie sytuacje są trudniejsze do wychwycenia, ale jeśli skrzynka „zachowuje się inaczej niż zwykle”, lepiej poświęcić godzinę i porządnie ją prześwietlić.

Jak odróżnić włamanie od zwykłych błędów i filtrów

Nie każdy znikający mail to od razu haker. Zanim odpalisz pełen alarm, sprawdź kilka prostych rzeczy, które często odpowiadają za „zaginione” wiadomości:

• Folder spam/junk – automatyczne filtry antyspamowe potrafią wyrzucać wartościowe wiadomości.
• Filtry ustawione przez Ciebie dawniej – stary filtr typu „wszystko od newsletter@… do folderu Oferty” może przypadkiem łapać coś nowego.
• Widok sortowania – włączone sortowanie według „nieprzeczytane najpierw” lub tylko „oznaczone gwiazdką” potrafi ukryć część korespondencji.
• Dostęp przez kilka klientów poczty – np. Outlook na komputerze + aplikacja w telefonie + IMAP na innym urządzeniu; jeden z nich może przenosić wiadomości.

Różnica polega na tym, że przy własnych filtrach rozpoznasz ich logikę, a przy przechwyconym koncie e mail natkniesz się na reguły, adresy i foldery, których kompletnie nie kojarzysz. Jeśli pojawiają się nietypowe przekierowania, filtry z obcymi adresami albo ustawienia, których nie umiesz wytłumaczyć – trzeba to traktować jak potencjalne włamanie.

Przykład z praktyki: faktury „wyparowały” przez ciche przekierowania

Mała firma usługowa: właściciel przekonany, że klienci przestali płacić. Kolejne faktury „nie dochodzą”, klienci twierdzą, że nie dostają przypomnień. Po kilku tygodniach okazuje się, że przechwycone konto e mail księgowości miało ustawioną regułę: wszystkie wiadomości z domen klientów były przekazywane na zewnętrzny adres, a w oryginalnej skrzynce przenoszone do folderu „Oferty”.

Klient nie zaglądał tam nigdy, więc niczego nie zauważył. Atakujący miał natomiast pełną historię faktur i mógł spokojnie próbować podszywać się pod firmę w kontaktach z kontrahentami. Dopiero analiza reguł przekierowań i logów logowania e mail ujawniła, że ktoś wszedł raz, skonfigurował filtry i zniknął.

Tego typu scenariusz jest niestety częsty. Dlatego każda podejrzana luka w korespondencji powinna być sygnałem do przeglądu reguł.

Kiedy traktować sytuację jak poważny kryzys

Są momenty, kiedy nie ma sensu bawić się w półśrodki ani spokojne dochodzenie. Jeśli:

• nie możesz zalogować się na konto,
• metody odzyskiwania zostały zmienione,
• pojawiły się przelewy, których nie zlecałeś,
• konto firmowe jest powiązane z krytycznymi systemami (CRM, ERP, panele administracyjne, serwery),

trzeba działać jak w sytuacji awaryjnej: kontakt z supportem dostawcy poczty, zablokowanie dostępu, powiadomienie przełożonych/IT, szybkie sprawdzenie innych kont i usług. Diagnoza jest ważna, ale priorytetem jest zatrzymanie trwającego ataku i ograniczenie strat.

Im wcześniej uznasz, że sprawa jest poważna, tym więcej rzeczy zdołasz uratować – dlatego nie bagatelizuj nawet pozornie drobnych oznak przejęcia.

Co zrobić w pierwszych minutach po wykryciu przejęcia

Najpierw odciąć atakującego, dopiero potem panika

Kluczowy błąd wielu osób: kilka godzin analizują, co się stało, zamiast najpierw naprawić sytuację. Pierwsze minuty po zauważeniu, że przechwycone konto e mail faktycznie jest naruszone, trzeba potraktować jak krótką akcję ratunkową.

Podstawowa sekwencja wygląda tak:

• Wejdź na konto (o ile wciąż możesz) i natychmiast zmień hasło na silne, unikalne.
• Wyloguj wszystkie aktywne sesje – większość dostawców poczty ma opcję „Wyloguj z innych urządzeń” lub „Zamknij wszystkie sesje”.
• Sprawdź dane odzyskiwania – numer telefonu, dodatkowy e‑mail, pytania bezpieczeństwa.
• Włącz lub wzmocnij dwuskładnikowe uwierzytelnianie (2FA), jeśli tylko to możliwe.

Te kroki nie naprawią jeszcze szkód, ale wstrzymają bieżący atak. Od tego momentu haker będzie miał znacznie trudniej ponownie wejść na skrzynkę.

Zabezpieczenie numeru telefonu i kont odzyskiwania

Nawet najlepsza zmiana hasła niewiele da, jeśli atakujący przejął Twój numer telefonu lub dodatkowe konto e‑mail, na które idą kody odzyskiwania. Zanim pójdziesz dalej, upewnij się, że:

• masz kontrolę nad numerem telefonu powiązanym z kontem – karta SIM jest przy Tobie, nie była niedawno wymieniana bez Twojej wiedzy, operator nie zgłasza dziwnych procedur,
• dodatni adres e‑mail używany do odzyskiwania też jest zabezpieczony (zmienione hasło, 2FA, sprawdzone logowania),
• nie ma tam podejrzanych powiadomień o próbach resetu haseł.

Jeśli cokolwiek budzi niepokój, skontaktuj się z operatorem GSM i poproś o zablokowanie zdalnych wymian karty SIM oraz potwierdź, czy w ostatnim czasie nie było podejrzanych zgłoszeń dotyczących Twojego numeru. To ważne szczególnie w przypadku kont bankowych i poczty powiązanej z firmą.

Sprawdzenie, gdzie konto e‑mail służy jako klucz logowania

Przechwycone konto e mail to często tylko pierwszy klocek domina. Z tej skrzynki atakujący może:

• resetować hasła do Facebooka, Instagrama, LinkedIna,
• przejmować konta w sklepach internetowych,
• dostawać się do banków i fintechów wykorzystujących e‑mail do potwierdzania operacji,
• wejść do paneli administracyjnych stron i serwerów (gdy loginem jest adres e‑mail).

W praktyce warto zrobić krótką listę usług, do których logujesz się przez to konto e‑mail, i po kolei:

• zmienić tam hasła na unikalne,
• włączyć 2FA, jeśli tego jeszcze nie zrobiłeś,
• sprawdzić logi logowania (jeśli dana usługa je udostępnia),
• przejrzeć zakładki typu „aktywne sesje”, „połączone aplikacje”.

To żmudne, ale ogranicza efekt łańcuchowy. Lepiej poświęcić jeden wieczór i uporządkować wszystkie powiązane konta, niż przez kolejne miesiące gasić pożary w przypadkowych miejscach.

Dowody włamania: kiedy i jak robić zrzuty ekranu

W sytuacjach domowych najczęściej liczy się szybkość zabezpieczenia konta. Jednak nawet tu warto zachować minimum dowodów: zrobić zrzuty ekranu z podejrzanymi logowaniami, regułami przekierowań, komunikatami o zmianie hasła. Pomogą Ci zrozumieć, co się stało, i ewentualnie złożyć zawiadomienie na policję.

W przypadku kont firmowych strategia jest inna. Zanim zaczniesz masowo kasować wszystko, co podejrzane, dobrze jest:

• wspólnie z działem IT lub administratorem zarchiwizować logi i ustawienia,
• zrobić zrzuty ekranu kluczowych ustawień (reguły, przekierowania, powiązane aplikacje),
• odnotować daty i godziny podejrzanych logowań.

W firmie przyda się to nie tylko jako dowód na ewentualne działania prawne, ale też do wewnętrznej analizy: skąd wziął się wyciek (phishing, słabe hasło, brak 2FA, dziurawy system).

Krótka checklista pierwszej godziny po wykryciu przejęcia

Dla przejrzystości – skondensowana lista działań do „odhaczenia” w pierwszej godzinie:

• Zmiana hasła do przechwyconego konta e mail na silne, unikalne.
• Wylogowanie wszystkich sesji i urządzeń.
• Weryfikacja numeru telefonu i e‑maila odzyskiwania.
• Włączenie lub wzmocnienie 2FA.
• Szybkie sprawdzenie logów logowania i zapisanie podejrzanych wpisów.
• Zrobienie zrzutów ekranu podejrzanych reguł, przekierowań, komunikatów.

Uspokojenie sytuacji: poinformuj otoczenie o możliwym incydencie

Kiedy podstawowe działania ratunkowe są zrobione, przychodzi moment na ogarnięcie skutków w relacjach z ludźmi. Przechwycone konto e‑mail mogło wysyłać spam, phishing albo dziwne prośby o pieniądze. Im szybciej ostrzeżesz otoczenie, tym mniejsza szansa, że ktoś padnie ofiarą „na Twój rachunek”.

Przy prywatnym koncie wystarczy często krótka, rzeczowa informacja do najbliższych kontaktów:

• że konto było naruszone,
• że jakieś wiadomości mogły być wysłane bez Twojej wiedzy,
• że nie wysyłasz próśb o kody SMS, przelewy, dane kart i każdy taki mail można spokojnie ignorować.

Przy skrzynce firmowej skala jest większa. Przydaje się wtedy prosty schemat:

• informacja do przełożonego / działu IT,
• krótkie ogłoszenie wewnętrzne (np. na intranecie): którego konta dotyczy problem i w jakim okresie,
• jeśli z konta mogły iść fałszywe faktury lub oferty – jasny komunikat do kluczowych klientów z adresu alternatywnego lub oficjalnego.

Wiele osób boi się „przyznać” do incydentu. Tymczasem otwarta komunikacja zwykle poprawia zaufanie – pokazuje, że reagujesz odpowiedzialnie. Kilka odważnych maili teraz to często kilkadziesiąt unikniętych reklamacji za pół roku.

Jak działają reguły przekierowań i dlaczego hakerzy je kochają

Niewidzialne sznurki za kulisami Twojej skrzynki

Każda nowoczesna skrzynka pocztowa ma mechanizm automatyzacji: reguły, filtry, przekierowania. To one sortują newslettery do folderu „Oferty”, wieszają gwiazdkę przy mailach od szefa albo dodają etykietę „Faktura”. Technicznie to po prostu zestaw warunków „jeśli/jeżeli” i działań „zrób coś z tą wiadomością”.

Przykładowo: „Jeśli nadawcą jest faktury@firma.pl i temat zawiera słowo ‘faktura’, przenieś do folderu Finanse i oznacz jako ważne”. Dzięki temu nie toniesz w chaosie. Dokładnie ten sam mechanizm cyberprzestępcy wykorzystują, żeby przejąć kontrolę nad przepływem Twojej poczty – i robią to często tak subtelnie, że tygodniami niczego nie widzisz.

Typowe sztuczki z regułami, które stosują atakujący

Gdy tylko haker dostanie się do skrzynki, w pierwszej kolejności interesuje go nie tylko sama treść wiadomości, ale właśnie ustawienia. Kilka kliknięć i ma „podsłuch” na Twojej poczcie nawet wtedy, gdy zmienisz hasło. Najczęściej spotykane scenariusze:

• Ciche przekierowanie całej poczty – każda przychodząca wiadomość jest automatycznie wysyłana na zewnętrzny adres (np. na darmową skrzynkę gdzieś w egzotycznej domenie), a w Twojej skrzynce może pozostać kopia lub nie.
• Podsłuch tylko wybranych rozmów – filtr działa tylko dla określonych domen (np. bank, klienci, biuro rachunkowe) albo tematów (np. zawierających słowo „faktura”, „przelew”, „zamówienie”). Reszta korespondencji wygląda normalnie.
• Ukrywanie śladów ataku – reguła przenosząca do kosza lub nieistniejącego folderu wszystkie maile od konkretnego serwisu (np. „powiadomienia o logowaniu”, „podejrzane logowanie wykryte”). Ty nie widzisz alarmów, a haker działa w spokoju.
• Podszycie się pod Ciebie – zamiast typowego przekierowania, ustawione jest „Forward as attachment” lub kopiowanie wybranej korespondencji do innej skrzynki w firmie, a potem atak przez wewnętrzny łańcuch zaufania.

W praktyce daje to atakującemu dwa kluczowe atuty: pełen podgląd Twojej komunikacji oraz możliwość manipulowania tym, co widzisz Ty i co widzą inni.

Dlaczego reguły bywają groźniejsze niż samo hasło

Hasło da się zmienić w kilka sekund. Sesje można wylogować. Natomiast źle ustawione (albo złośliwie skonfigurowane) reguły działają do skutku, często latami. W dodatku:

• zwykle nie ma o nich powiadomień – w przeciwieństwie do logowań z nowych urządzeń,
• łatwo je przeoczyć, bo są ukryte głęboko w ustawieniach,
• niektóre systemy pocztowe nie logują każdego użycia reguły, więc po fakcie trudno odtworzyć pełen obraz.

Dlatego samo zmienienie hasła bez przejrzenia filtrów i przekierowań to jak zamknięcie drzwi wejściowych przy otwartym oknie w piwnicy. Porządek w regułach to jeden z kluczowych elementów odzyskiwania kontroli nad skrzynką.

Jak rozpoznać podejrzaną regułę

Nie każda reguła jest złowroga – wiele z nich ustawiałeś sam lub ustawiła je za Ciebie narzędzia (np. integracja z CRM-em). Są jednak pewne czerwone flagi, na które trzeba być wyczulonym:

• Adresy, których nie kojarzysz – szczególnie z dziwnych domen, typu losowe litery, egzotyczne końcówki (.top, .xyz, itp.).
• Reguły, które przekazują całą pocztę dalej (forward, przekierowanie, kopia do) bez sensownego powodu.
• Filtry z bardzo szerokimi warunkami – np. „jeśli nadawca zawiera @, przekaż na…”, czyli w praktyce wszystko.
• Reguły przenoszące coś do kosza lub nieistniejącego folderu – folder o nazwie typu „.system”, „archiwum_1”, „stare”, którego nie zakładałeś.
• Reguły z datą utworzenia w podejrzanym okresie – np. dokładnie wtedy, gdy na Twojej skrzynce pojawiły się nietypowe logowania.

Jeżeli podczas przeglądania ustawień widzisz coś, czego nie umiesz od razu wyjaśnić – lepiej uznać to za potencjalne zagrożenie i dokładnie sprawdzić, niż założyć „pewnie samo się zrobiło”. Odrobina czujności tutaj ma ogromny zwrot z inwestycji.

Gdzie szukać reguł przekierowań w popularnych skrzynkach

Gmail (konto prywatne i Google Workspace)

W Gmailu większość ważnych dla nas ustawień siedzi w dwóch miejscach: filtrach i przekazywaniu. Dobrze zajrzeć w oba, krok po kroku.

Filtry i zablokowane adresy

Aby sprawdzić filtry w Gmailu:

1. Kliknij ikonę koła zębatego w prawym górnym rogu.
2. Wybierz „Zobacz wszystkie ustawienia”.
3. Przejdź do zakładki „Filtry i zablokowane adresy”.

W tej sekcji zobaczysz listę wszystkich filtrów. Szczególnie przyjrzyj się tym, które:

• przekazują maile na inny adres („Przekaż do” / „Forward to”),
• przenoszą pocztę do określonych etykiet bez oznaczenia „Oznacz jako przeczytane” – mogą służyć do cichego chowania ważnych wiadomości,
• automatycznie usuwają wiadomości (działanie „Usuń” / „Delete it”).

Przekazywanie i POP/IMAP

Drugie newralgiczne miejsce:

1. W tych samych ustawieniach przejdź do zakładki „Przekazywanie i POP/IMAP”.
2. Sprawdź sekcję „Przekazywanie”.

Jeśli widzisz tam wpis typu: „Przekazuj kopię przychodzącej poczty e‑mail do: innyadres@…”, a nie ustawiałeś tego – to sygnał alarmowy. Przyjrzyj się też adresom w sekcji „Dodaj adres do przekazywania” – jeżeli są tu jakieś obce, usuń je.

Dodatkowo, w sekcji POP/IMAP warto zwrócić uwagę, czy nie ma opcji typu „Usuń kopię Gmaila” albo „Oznacz jako przeczytane” po pobraniu. Haker mógł ustawić klienta POP na swoim serwerze i „wysysać” z Ciebie pocztę bez zostawiania śladów w skrzynce.

Outlook.com (Hotmail, Live, MSN)

W webowej wersji Outlook.com miejsce z regułami i przekazywaniem jest trochę ukryte, ale da się tam dojść paroma kliknięciami.

Reguły skrzynki odbiorczej

1. Kliknij ikonę koła zębatego w prawym górnym rogu.
2. Na dole panelu bocznego wybierz „Wyświetl wszystkie ustawienia programu Outlook”.
3. Przejdź do sekcji „Poczta” → „Reguły” (czasem „Reguły skrzynki odbiorczej”).

Tutaj zobaczysz wszystkie reguły. Poluj na:

• akcje „Przekaż”, „Przekaż do”, „Prześlij dalej jako załącznik”,
• reguły z bardzo ogólnymi warunkami (np. „gdzie pole Do zawiera @”),
• reguły przenoszące wiadomości prosto do „Usunięte” lub „Elementy-archiwalne”, których nie tworzyłeś.

Automatyczne przekazywanie

1. W tych samych ustawieniach wejdź w „Poczta” → „Przekazywanie”.
2. Zobacz, czy włączono opcję „Włącz przekazywanie” i jaki adres tam widnieje.

Jeśli widzisz włączone przekazywanie na obcy adres, natychmiast je wyłącz. W razie wątpliwości usuń wszystkie nieznane adresy i zapisz zmiany. Przy okazji zerknij do sekcji „Bezpieczeństwo konta Microsoft” (poza samym Outlookiem) i przejrzyj listę ostatnich logowań.

Outlook w firmie (Microsoft 365 / Exchange)

W środowisku firmowym reguły można ustawiać zarówno po stronie klienta (Outlook na komputerze), jak i po stronie serwera (w panelu przeglądarkowym). Dla bezpieczeństwa trzeba przeszukać oba poziomy.

Reguły w aplikacji Outlook (Windows/Mac)

1. Otwórz Outlooka na komputerze.
2. Na wstążce wybierz zakładkę „Plik”, a potem „Zarządzaj regułami i alertami” (lub „Reguły i alerty”).
3. Przejrzyj listę reguł – szczególnie te, które działają „dla wszystkich przychodzących wiadomości”.

Jeśli nie jesteś pewien, czy reguła jest potrzebna, możesz ją na chwilę wyłączyć (odznaczyć), zamiast od razu usuwać. To bezpieczniejsze w środowisku, gdzie część reguł mogła ustawić księgowość, dział sprzedaży czy zewnętrzny integrator.

Reguły po stronie serwera (Outlook Web / OWA)

1. Wejdź w Outlook Web przez przeglądarkę.
2. Kliknij zębatkę → „Wyświetl wszystkie ustawienia programu Outlook”.
3. Przejdź do „Poczta” → „Reguły” lub „Reguły skrzynki odbiorczej i oczyszczania”.

W firmach często właśnie tutaj znajdują się reguły ustawiane przez atakujących, bo działają niezależnie od tego, z jakiego urządzenia korzystasz. Jeżeli widzisz nieznane adresy, dziwne nazwy reguł („rule1”, „system”, ciąg przypadkowych znaków) – wymaga to reakcji.

Proton Mail, Yahoo i inni dostawcy

Każdy dostawca ma własne nazewnictwo, ale schemat jest podobny: szukamy sekcji z filtrami oraz przekierowaniem.

• Proton Mail – wchodzisz w Settings → Filters / „Filtry” oraz w sekcję Address / Organization, gdzie mogą pojawić się ustawienia przekazywania. Proton ma też osobne reguły po stronie organizacji (dla kont firmowych) – tu przydaje się pomoc administratora.
• Yahoo Mail – wchodzisz w Settings → More Settings → Filters oraz Mailboxes, gdzie bywa opcja automatycznego przekazywania. Zwróć uwagę na wszystkie „Forwarding addresses”.
• Domeny firmowe na własnym serwerze – przy skrzynkach typu imię@twojadomena.pl filtrowanie często siedzi w panelu hostingowym (np. cPanel, Plesk) albo w panelu dostawcy poczty. Trzeba zalogować się tam i przejrzeć:
  • „Forwarders” / „Przekierowania”,
  • „Email Filters” / „Filtry poczty”,
  • „Autorespondery” – czasem też bywają nadużywane.

Jak krok po kroku usunąć złośliwe reguły i przywrócić normalny odbiór poczty

1. Zanim cokolwiek usuniesz – zrób zrzuty ekranu

Kusi, żeby od razu „wyczyścić” skrzynkę, ale te kilka minut na dokumentację może później uratować skórę – przy rozmowie z działem IT, policją czy kancelarią prawną.

• Zrób zrzuty ekranu wszystkich podejrzanych reguł, razem z widocznymi adresami e‑mail, folderami i datami utworzenia.
• Jeśli to możliwe, nagranie krótkiego filmu z ekranu (np. telefonem) pokaże pełną ścieżkę: gdzie są ustawienia, jakie akcje wykonuje reguła.
• Zapisz pełne brzmienie warunków (np. „jeśli pole Do zawiera @” albo „jeśli nadawca spoza organizacji”).

Ten materiał to Twój dziennik zdarzeń – dzięki niemu da się później odtworzyć, co dokładnie robił atakujący. Zrób to raz, porządnie i odłóż kopię w bezpieczne miejsce (np. zaszyfrowany dysk czy folder współdzielony z działem IT).

2. Wyłącz, a dopiero potem usuwaj reguły

Bezpieczniejsza taktyka niż natychmiastowe kasowanie to tymczasowe wyłączenie reguł. Daje to margines na pomyłkę i łatwy powrót, gdy coś przestanie działać.

• Jeśli system na to pozwala, przy każdej podejrzanej regule usuń zaznaczenie „aktywna” / „włączona”.
• Zostaw je w takim stanie na chwilę – obserwuj, czy poczta zaczyna spływać normalnie.
• Jeżeli reguła jest oczywiście złośliwa (np. przekazuje całą pocztę na obcy adres), po zrobieniu zrzutów możesz ją od razu usunąć.

Ten krok pozwala w kilka minut zatrzymać wyciek, a jednocześnie nie wywrócić do góry nogami biznesowych automatyzacji, które ktoś mógł uczciwie skonfigurować miesiące wcześniej.

3. Usuń przekazywanie globalne i „forwardery”

Następny ruch to odcięcie najgrubszych rur, którymi uciekają wiadomości. Chodzi o wszystkie miejsca, gdzie ustawiono przekazywanie całej poczty.

• W Gmailu – zakładka „Przekazywanie i POP/IMAP”: wyłącz przekazywanie, usuń obce adresy z listy „Dodaj adres do przekazywania”.
• W Outlook.com i Microsoft 365 – sekcja „Przekazywanie”: wyłącz opcję przekazywania, usuń podejrzane adresy.
• W panelu hostingowym (cPanel, Plesk, itp.) – sekcja „Forwarders” / „Przekierowania”: skasuj wpisy typu
  • „przekieruj wszystkie maile z imie@domena.pl na x@obcadomena.com”,
  • „przekieruj całą domenę na inny serwer”.

Jeżeli korzystasz z admina IT – uprzedź go o tym ruchu. Czasem przekierowanie jest świadomie ustawione (np. alias działu sprzedaży) i zamiast usuwać, lepiej je zmodyfikować lub odtworzyć później, już w bezpiecznej formie.

4. Oczyść filtry chowające pocztę w folderach

Gdy główne przekierowania są już odcięte, pora na „drobnicę” – filtry przenoszące maile do mało widocznych folderów. To one sprawiają, że nie widzisz faktur, resetów haseł albo wiadomości od banku.

Przejdź przez listę filtrów w skrzynce i przy każdej podejrzanej pozycji zadaj sobie trzy pytania:

1. Po co to jest? – jeśli nie potrafisz odpowiedzieć w dwóch zdaniach, reguła jest kandydatem do usunięcia.
2. Od kiedy działa? – nowe reguły, z datą bliską incydentowi, są szczególnie podejrzane.
3. Dokąd trafiają wiadomości? – kosz, archiwum, dziwne foldery to typowa kryjówka.

Bez wahania usuń lub wyłącz reguły, które:

• przenoszą maile do folderów typu „.system”, „archiwum_1”, „spam2”, których nie kojarzysz,
• oznaczają wszystkie wiadomości jako przeczytane bez sensownego warunku,
• usuwają pocztę od zewnętrznych nadawców lub z konkretnych domen finansowych (banki, operatorzy płatności).

Po takim „sprzątaniu” poproś 1–2 zaufane osoby, aby wysłały do Ciebie testowe wiadomości (z różnych domen). Jeśli wszystko trafia do skrzynki odbiorczej – kanał główny znów działa.

5. Przeszukaj kosz, spam i dziwne foldery

Samo usunięcie reguł nie przywróci wiadomości, które zdążyły już zostać przeniesione gdzie indziej. Trzeba je wyłowić.

• Zajrzyj do kosza, spamu i wszystkich nieznanych folderów – także tych na dole listy, do których rzadko zaglądasz.
• Wykorzystaj wyszukiwarkę w poczcie: szukaj po słowach kluczowych typu „faktura”, „płatność”, „reset hasła”, nazwach banków, serwisów typu Allegro, PayPal, Facebook, itp.
• Przenieś podejrzanie ważne wiadomości z powrotem do skrzynki odbiorczej lub odpowiednich folderów, żeby nic Ci nie umknęło.

Jeżeli haker działał dłużej, to w tych „ciemnych zakamarkach” często znajduje się kilka tygodni istotnej korespondencji. Odzyskanie jej to szansa, by zorientować się, jak duża była skala szkód.

6. Sprawdź reguły po stronie klientów poczty (telefon, desktop)

Haker nie musi ograniczać się do ustawień webmaila. Czasem dodaje reguły w samym kliencie pocztowym, który łączy się z Twoim kontem.

Przejrzyj urządzenia, z których regularnie korzystasz:

• Outlook na komputerze – menu „Reguły i alerty”; zwróć uwagę na reguły „tylko na tym komputerze” oraz te dla wszystkich przychodzących.
• Apple Mail na macOS – Preferencje → Reguły; zobacz, czy nie ma tam nowych, dziwnie nazwanych filtrów.
• Klient poczty w telefonie – w Androidzie i iOS rzadko tworzy się rozbudowane reguły, ale jeśli korzystasz z zaawansowanej aplikacji (np. Spark, BlueMail), przejrzyj jej ustawienia filtrów.

Jeżeli nie jesteś pewien, czy dana reguła jest lokalna, czy serwerowa – zapisz jej treść, wyłącz, a potem porównaj listę w webmailu. Docelowo i tak wszelkie wątpliwe automatyzacje muszą zniknąć.

7. Zmiana hasła i włączenie dwuskładnikowego uwierzytelniania (MFA)

Reguły wyczyszczone? Czas wzmocnić zamek w drzwiach. Bez tego atakujący może wrócić i wszystko ustawić od nowa.

Zacznij od hasła:

• Ustaw zupełnie nowe hasło, niepodobne do poprzedniego i nieużywane w innych serwisach.
• Skorzystaj z menedżera haseł – pozwoli generować długie, losowe kombinacje i wygodnie je przechowywać.
• Nie używaj wzorców typu „Haslo2023!”, „Haslo2024!” z drobną zmianą cyfry – to pierwsze, co testują atakujący.

Następnie włącz uwierzytelnianie dwuskładnikowe:

• W Gmailu / Google Workspace – wejdź w „Zabezpieczenia” konta Google i włącz „Weryfikację dwuetapową”. Najlepsza opcja to aplikacja typu Google Authenticator lub klucz sprzętowy, SMS zostaw na sytuacje awaryjne.
• W Microsoft / Outlook – w profilu konta Microsoft przejdź do sekcji bezpieczeństwa i włącz „Weryfikację dwuetapową”; dodaj aplikację Microsoft Authenticator lub inny TOTP.
• W innych serwisach – szukaj w ustawieniach konta zakładek „Security”, „2FA”, „MFA”, „Two‑Step Verification”.

Jeśli korzystasz z e‑maila w pracy, skoordynuj zmianę hasła z administratorem – dzięki temu unikniesz blokad na firmowych systemach i podpisach cyfrowych.

8. Wyloguj obce sesje i aplikacje mające dostęp do skrzynki

Samo hasło i 2FA to nie wszystko. Atakujący mógł dodać swoje urządzenie lub aplikację, która wciąż ma otwartą sesję.

Przejdź do sekcji bezpieczeństwa konta i:

• Wyloguj wszystkie inne sesje – większość dostawców ma przycisk typu „Wyloguj z innych urządzeń”.
• Przeglądnij listę podłączonych aplikacji i usług (np. integracje z CRM, programy pocztowe, aplikacje mobilne):
  • usuń wszystkie, których nie kojarzysz,
  • przemyśl też te, które nie są Ci już potrzebne – im mniej punktów dostępu, tym lepiej.

W Gmailu szukaj zakładek „Aplikacje z dostępem do konta”, w Microsoft 365 – „Aplikacje i usługi” lub portalu myapps.microsoft.com. Każdy usunięty, zbędny dostęp to mniej drzwi, przez które można Cię zaatakować.

9. Zresetuj hasła w innych serwisach podpiętych do tego e‑maila

Jeśli ktoś miał pełen dostęp do poczty, mógł resetować hasła w innych miejscach – sklepach internetowych, banku, mediach społecznościowych. To moment, żeby zamknąć i te furtki.

Na początek priorytety:

• Bankowość internetowa i karty płatnicze – zmień hasło, sprawdź historię logowań/operacji, ustaw powiadomienia o każdej transakcji.
• Serwisy płatnicze (PayPal, Revolut, Przelewy24, itp.) – podobny zestaw: nowe hasło, 2FA, przegląd historii.
• Kluczowe narzędzia zawodowe – systemy CRM, księgowość, narzędzia projektowe, chmury z dokumentami.
• Media społecznościowe – Facebook, Instagram, LinkedIn, X/Twitter; włamanie do e‑maila często poprzedza przejęcie kont społecznościowych.

Jeśli gdzieś używałeś tego samego hasła co do skrzynki e‑mail, uznaj te konta za potencjalnie skompromitowane. Zmień tam hasła i włącz 2FA – inaczej ryzyko „efektu domina” będzie się ciągnąć tygodniami.

10. Skonfiguruj alerty bezpieczeństwa i monitorowanie logowań

Po pożarze warto założyć czujniki dymu. Większość dużych dostawców poczty daje proste mechanizmy do monitorowania podejrzanych działań.

• Włącz powiadomienia o:
  • logowaniu z nowego urządzenia lub lokalizacji,
  • dodaniu nowej metody logowania (np. telefonu, klucza bezpieczeństwa),
  • zmianie hasła oraz wyłączeniu 2FA.
• Regularnie zaglądaj do historii aktywności konta – lista logowań, adresów IP, używanych urządzeń.
• Jeśli korzystasz z konta firmowego, poproś administratora o:
  • włączenie alertów o tworzeniu reguł przekierowania,
  • raporty o nietypowym ruchu (masowe logowania spoza kraju, podejrzane adresy IP).

To wszystko po to, aby kolejny atak zobaczyć na bardzo wczesnym etapie, zanim reguły znów zaczną wykradać Twoją pocztę po cichu.

11. Ustal i wprowadź nowe zasady bezpieczeństwa na przyszłość

Przejęte konto to bolesna lekcja, ale można przekuć ją w zestaw konkretnych nawyków i procedur. Dzięki temu każdy kolejny dzień jest coraz bezpieczniejszy, zamiast być loterią.

Dobrze spisują się proste, jasne zasady:

• Reguły przekierowań tylko w uzasadnionych przypadkach – najlepiej z opisem „po co” w nazwie reguły (np. „Forward_do_księgowości_faktury”).
• Okresowy przegląd filtrów – raz na 1–3 miesiące krótki audyt: lista reguł, przekierowań, podłączonych urządzeń i aplikacji.
• Standard haseł – długość, złożoność, menedżer haseł jako narzędzie obowiązkowe, a nie „opcjonalny gadżet”.
• Świadome klikanie – większość przejęć kont zaczyna się od jednego kliknięcia w fałszywy link do logowania.

Jeśli prowadzisz firmę, ubierz to w krótką procedurę dla zespołu: co robić przy podejrzeniu przejęcia skrzynki, do kogo zgłaszać, jakie dane zbierać. Jeden prosty dokument potrafi skrócić kryzys z tygodni do kilku godzin.

Źródła

• NIST Special Publication 800-45 Version 2: Guidelines on Electronic Mail Security. National Institute of Standards and Technology (2007) – Zalecenia dot. zabezpieczania poczty e‑mail, konfiguracji i reagowania na incydenty
• NIST Special Publication 800-61 Revision 2: Computer Security Incident Handling Guide. National Institute of Standards and Technology (2012) – Procedury reagowania na incydenty, w tym naruszenia kont i poczty
• Mitigating Email Compromise Attacks. Cybersecurity and Infrastructure Security Agency (2023) – Wytyczne dot. Business Email Compromise, reguł przekierowań i detekcji