1 ZASADY OGÓLNE

1. Poniższe zasady ogólne stosuje się w przypadku otrzymania wiadomości email, bądź otrzymania zgłoszenia dotyczącego podejrzanej wiadomości email.
2. Celem zaproponowanych kroków jest ochrona przed szkodliwymi wiadomościami email.

1.1 Otrzymanie zgłoszenia dotyczącego podejrzanej wiadomości email

1. W przypadku otrzymania zgłoszenia dotyczącego podejrzanej wiadomości email upewnij się, że zgłoszenie zawiera:
   • Treść podejrzanej wiadomości email
   • Załączniki podejrzanej wiadomości email (jeżeli znajdowały się w wiadomości oryginalnej)
   • Nagłówki podejrzanej wiadomości email
2. W przypadku, gdy zgłoszenie nie zawiera co najmniej jednego z elementów, o których mowa powyżej w pkt 1, należy:
   • Dostarczyć brakujące elementy.
   • Przesłać, w formie załącznika całą wiadomość email. 
3. Przeprowadź podstawową analizę wiadomości email.
4. W przypadku braku jednoznacznego wyniku analizy podstawowej – przekaż wiadomość email do analizy rozszerzonej.
5. Przekaż zwrotnie osobie zgłaszającej wyniki przeprowadzonej analizy wiadomości email.

1.2 Podstawowa analiza wiadomości email

W ramach podstawowej analizy wiadomości email sprawdź:

1. Czy wiadomość: 
   • jest oczekiwaną przez Ciebie odpowiedzią na wysłany przez Ciebie email/prośbę
   • pochodzi od nadawcy, który jest Ci znany
   • nie zawiera nieoczekiwanych załączników (np. plik *.exe, lub *.msi – gdy załączników nie oczekujesz, bądź oczekujesz pliku tekstowego). 
2. Jeżeli wynik weryfikacji wszystkich elementów z pkt 1 powyżej jest pozytywny – przyjmij, że weryfikowana wiadomość jest zaufana i bezpieczna i zakończ analizę wiadomości.
3. Jeżeli wiadomość jest oczekiwana i pochodzi od znanego Ci nadawcy, ale zawiera nieoczekiwany załącznik – skontaktuj się z nadawcą i upewnij się, że wysłał wiadomość z prawidłowym załącznikiem.
   • Jeżeli nadawca potwierdzi oryginalność wiadomości i prawidłowość załącznika – przyjmij,że weryfikowana wiadomość jest zaufana i bezpieczna i zakończ analizę wiadomości.
   • Jeżeli nadawca nie potwierdzi oryginalności wiadomości i stwierdzi, że jej nie wysłał, zakończ analizę wiadomości i usuń ją bez dalszego otwierania.
4. Jeżeli nadawca, załącznik, bądź treść wiadomości wydają Ci się podejrzane i nie masz możliwości potwierdzić jej oryginalności u nadawcy, przeprowadź analizę samodzielnie, zgodnie z zapisami pkt 1.3 – Rozszerzona analiza podejrzanej wiadomości email.

1.3 Rozszerzona analiza podejrzanej wiadomości email

Rozszerzona analiza podejrzanej wiadomości email obejmuje analizę:

1. Treści wiadomości.
2. Informacji dotyczącej nadawcy wiadomości.
3. Załącznika.
4. Linków zawartych w wiadomości.

1.3.1    Analiza treści 

1. Otwierając wiadomość obserwuj, czy system prosi Cię o zgodę na uruchomienie makra, oprogramowania, pobrania dodatkowych treści, zmiany uprawnień itd. Nie wyrażaj zgody na tego rodzaju prośby do czasu, gdy nie uznasz wiadomości za zaufanej i nie będziesz mieć pewności, jakie skutki niesie za sobą wyrażona zgoda.
2. Zapoznaj się z treścią podejrzanej wiadomości email. Zweryfikuj:
   • Czy wiadomość brzmi sensownie i jej obsługa leży w gestii adresata?
   • Czy nadawca wiadomości poprawnie, imiennie zwraca się do odbiorcy?
   • Czy treść emaila nie namawia odbiorcy do wykonania potencjalnie ryzykownych czynności? Przyjmij, że ryzykowną czynnością może być otwarcie załącznika, kliknięcie w link zawarty wewnątrz emaila, wykonanie operacji finansowej, zmiana istotnych ustawień (hasła, numeru konta, adresu email itp.), przekazanie zwrotne danych osobowych, haseł, czy innych informacji chronionych.
   • Jeżeli wiadomość napisana jest w języku polskim, to, czy:
     • Jest napisana poprawną polszczyzną?
     • Zawiera poprawne polskie znaki diakrytyczne (ąęćźżółńś)?
3. Jeżeli treść wiadomości namawia do podania/wprowadzenia hasła do logowania, bądź zmiany istotnych ustawień – najprawdopodobniej masz do czynienia z wiadomością wyłudzającą informacje – tzw. phishing. Korzystając z informacji dostępnych Ci w innych systemach, na innych stronach (poza treścią wiadomości podejrzanej) skontaktuj się z nadawcą wiadomości i potwierdź jej oryginalność.
4. Jeżeli nadawca wiadomości jest nieznany, bądź nie potwierdzi oryginalności wiadomości – masz do czynienia z próbą wyłudzenia. Jeżeli wiadomość nosi cechy, że wysłana była z Netii – zgłoś incydent bezpieczeństwa na adres: incydent@netia.pl i zakończ analizę wiadomości.
5. Jeżeli jedna z odpowiedzi na powyższe pytania jest negatywna – zachowaj ostrożność i przejdź do analizy kolejnych elementów.
6. Jeżeli wszystkie odpowiedzi są pozytywne, przyjmij, że na tym etapie analizy nic nie wskazuje na email szkodliwy. Zachowaj ostrożność i przejdź do analizy kolejnych elementów.

1.3.2 Analiza informacji dotyczących nadawcy

1. Mając otwartą wiadomość kliknij w przycisk „Odpowiedz”. Zweryfikuj, czy adres odpowiedzi zwrotnej jest identyczny z adresem nadawcy. Jeżeli oba adresy są różne, najpewniej masz do czynienia z próbą wyłudzenia. Jeżeli wiadomość nosi cechy, że wysłana była z Netii – zgłoś incydent bezpieczeństwa na adres: incydent@netia.pl i zakończ analizę wiadomości.
2. Otwórz nagłówki wiadomości. W przypadku korzystania z klienta MS Outlook możesz to zrobić zgodnie z pkt 2.2. - Dotarcie do nagłówków wiadomości email w kliencie MS Outlook.
3. Zweryfikuj, czy domena nadawcy wiadomości (np. netia.pl) znajduje się w sekcji „Received” nagłówka wiadomości. Możesz to zrobić zgodnie z instrukcją 3.3 Weryfikacja zawartości sekcji „Received” nagłówka wiadomości.

1.3.3 Analiza załącznika

1. Jeżeli załącznik jest zaszyfrowany, a hasło do jego otwarcia jest podane w treści wiadomości – przyjmij, że celem szyfrowania było ominięcie programów bezpieczeństwa, a wiadomość najpewniej zawiera treści szkodliwe. W takim wypadku, jeżeli wiadomość nosi cechy, że wysłana była z Netii – zgłoś incydent bezpieczeństwa na adres: incydent@netia.pl.
2. Jeżeli załącznik jest plikiem wykonywalnym (i ma rozszerzenie „exe”, „msi”, „js”, „com”) i nie został wysłany na Twoją prośbę, przyjmij, że z dużą dozą prawdopodobieństwa jest to załącznik szkodliwy. Możesz zweryfikować jego szkodliwość poddając go podstawowej analizie z wykorzystaniem serwisu internetowego virustotal. Zapoznaj się dokładnie z wynikami tej analizy.

1.3.4 Analiza linków i adresów www

1. Każdy link weryfikowanej wiadomości poddaj podstawowej analizie z wykorzystaniem serwisu internetowego virustotal. Zapoznaj się dokładnie z wynikami tej analizy.

2 Instrukcje

2.1 Przesłanie (w formie załącznika) kompletnej wiadomości email

Aby przesłać w formie załącznika całą oryginalną wiadomość email, wykonaj następujące kroki:

1. Zapisz oryginalną wiadomość email na dysku (np. przeciągnij ją na pulpit).
2. Stwórz nową wiadomość email.
3. Dołącz oryginalną wiadomość email do nowo stworzonej wiadomości email (np. przeciągnij oryginalną wiadomość z pulpitu na okno nowej wiadomości email).
4. Wypełnij w nowej wiadomości email sekcje: DO, Temat, Treść wiadomości.
5. Wyślij nową wiadomość email.
6. Usuń zapisaną wcześniej oryginalną wiadomość email (np. przeciągnij oryginalną wiadomość z pulpitu do kosza).

2.2 Dotarcie do nagłówków wiadomości email w kliencie MS Outlook

1. Otwórz analizowaną wiadomość email.
2. Kliknij w menu Plik.

3. Kliknij w przycisk Właściwości.

4. Kliknij w sekcję Nagłówki internetowe.

5. Zaznacz całość wiadomości (Ctrl+A) oraz skopiuj wiadomość do pamięci (Ctrl+C).
6. Otwórz dowolny edytor tekstów (np. aplikację Notepad, MS Word, Write itp.).
7. Wklej skopiowaną wiadomość z pamięci (Ctrl+V).

2.3 Weryfikacja zawartości sekcji „Received” nagłówka wiadomości

1. Sprawdź zawartość sekcji Received nagłówka wiadomości: