Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA EKA8 - TEST WIEDZY NR 3



PYTANIE NR 35.
Dostajesz e-maila z linkiem do strony, na której masz zaktualizować swoje dane logowania do systemu pocztowego. Adres URL wygląda tak: 
https://update-logins.postal-service.com
Co powinieneś zrobić?
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
Taki e-mail z prośbą o "aktualizację danych logowania" przez link jest typowym wzorcem phishingu. Najbezpieczniej nie klikać ani nie wklejać adresu do przeglądarki, tylko zgłosić wiadomość zgodnie z procedurą (np. do IT/bezpieczeństwa), aby zweryfikować jej autentyczność i ochronić konto.

Pełne wyjaśnienie:

Wiadomości e-mail zachęcające do natychmiastowej zmiany lub "aktualizacji" danych logowania poprzez link są bardzo częstą formą phishingu (ataków socjotechnicznych). Celem atakującego jest nakłonienie pracownika do wejścia na podstawioną stronę, która wygląda jak panel logowania, a następnie przejęcie hasła (czasem także kodów jednorazowych) i dostępu do konta służbowego.

Dlaczego poprawne jest "Przekaż e-mail do działu IT."?
Przekazanie/zgłoszenie podejrzanej wiadomości do IT lub zespołu bezpieczeństwa umożliwia: ocenę, czy to atak, blokadę domeny/nadawcy, ostrzeżenie innych pracowników oraz ewentualne działania ochronne (np. reset hasła, sprawdzenie logowań). To reakcja, która zmniejsza ryzyko dla całej organizacji, a nie tylko dla jednej osoby.

Dlaczego pozostałe zachowania są niewłaściwe?

  • "Kliknij w link i zaktualizuj swoje dane logowania." — to dokładnie działanie, do którego dąży atakujący. Nawet jeśli strona wygląda wiarygodnie, może być fałszywa, a wprowadzone dane zostaną przechwycone.
  • "Skopiuj link i wklej go do przeglądarki, aby zaktualizować swoje dane." — wklejenie linku nie eliminuje ryzyka. Jeśli adres prowadzi do fałszywej strony, efekt będzie taki sam jak po kliknięciu.
  • "Zignoruj e-mail." — ignorowanie zmniejsza szansę, że Ty klikniesz, ale nie pomaga organizacji. Inni pracownicy mogą otrzymać tę samą wiadomość i paść ofiarą. W praktyce lepsze jest zgłoszenie, aby możliwa była blokada i ostrzeżenie.

Wskazówka egzaminacyjna: jeśli e-mail dotyczy haseł, logowania, "weryfikacji konta" lub presji czasu, a jednocześnie zawiera link — standardową bezpieczną odpowiedzią jest zgłoszenie do właściwej komórki (IT/bezpieczeństwo) i wykonanie działań dopiero po weryfikacji, najlepiej przez oficjalny kanał (np. ręczne wejście na znany portal lub kontakt z helpdeskiem).

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co to jest phishing w e-mailu służbowym?
Phishing to próba wyłudzenia danych (np. loginu i hasła) przez podszywanie się pod zaufaną instytucję. Wiadomość zwykle zawiera link do fałszywej strony logowania lub prośbę o "pilną aktualizację" konta. Celem jest przejęcie dostępu do systemów firmowych.
Dlaczego nie wolno klikać w link do zmiany hasła z e-maila?
Bo link może prowadzić do podstawionej strony, która tylko udaje panel logowania. Wpisane dane trafią do atakującego. Bezpieczniej jest wejść do systemu oficjalnym kanałem (np. z zakładki) albo zgłosić wiadomość do IT i działać dopiero po weryfikacji.
Jak rozpoznać podejrzany adres URL w wiadomości?
Uważaj na domeny podobne do prawdziwych, dodatkowe myślniki, dziwne subdomeny, literówki i nietypowe końcówki. Sama obecność "https" nie gwarantuje bezpieczeństwa. Jeśli mail dotyczy haseł lub danych, traktuj go jako podejrzany i zgłoś do IT.
Co zrobić, gdy e-mail prosi o aktualizację danych logowania do poczty?
Nie klikaj ani nie wklejaj linku do przeglądarki. Zgłoś wiadomość zgodnie z procedurą (np. do działu IT/bezpieczeństwa lub przez funkcję "Zgłoś phishing"). Dopiero po potwierdzeniu autentyczności wykonuj działania, najlepiej z oficjalnego portalu.
Czy zignorowanie podejrzanego e-maila to dobra praktyka?
To lepsze niż kliknięcie, ale zwykle niewystarczające. Ignorując, nie pomagasz zablokować ataku w organizacji. Zgłoszenie do IT/bezpieczeństwa pozwala ostrzec innych, dodać nadawcę do blokady i sprawdzić, czy podobne wiadomości nie krążą w firmie.
Jakie dane najczęściej wyłudzają cyberprzestępcy w takich mailach?
Najczęściej login i hasło do poczty lub systemów firmowych, a także kody jednorazowe, dane do resetu hasła i informacje osobowe. Poczta służbowa bywa "kluczem" do kolejnych ataków (np. przejęcia innych kont), dlatego ochrona danych logowania jest krytyczna.
Kiedy trzeba przekazać e-mail do działu IT zamiast działać samemu?
Zawsze gdy wiadomość dotyczy haseł, logowania, weryfikacji konta, płatności lub ma nietypową prośbę i presję czasu. Jeśli link lub nadawca budzi wątpliwości, zgłoszenie jest właściwą drogą. IT oceni ryzyko i poda bezpieczne instrukcje.
Jakie są typowe sygnały socjotechniki w wiadomościach o logowaniu?
Typowe sygnały to: "pilne", "ostatnie ostrzeżenie", groźba blokady konta, prośba o natychmiastowe działanie oraz link do rzekomej aktualizacji. Często pojawiają się też ogólniki zamiast danych odbiorcy. Taka kombinacja powinna uruchomić ostrożność i zgłoszenie.
Jak bezpiecznie zmienić hasło do systemu pocztowego w pracy?
Najbezpieczniej zrobić to przez znany, oficjalny kanał: wejść na stronę/intranet wpisując adres ręcznie lub używając firmowej zakładki, ewentualnie skorzystać z aplikacji/portalu do zarządzania hasłami. Nie używaj linków z e-maili. W razie wątpliwości skontaktuj się z helpdeskiem.
Jakie błędy najczęściej popełniają zdający w pytaniach o phishing?
Częsty błąd to wiara, że "https" oznacza bezpieczeństwo, albo że wklejenie linku do przeglądarki jest bezpieczniejsze niż kliknięcie. Inny błąd to wybór "zignoruj" zamiast zgłosić incydent. Na egzaminie szukaj odpowiedzi, która minimalizuje ryzyko i uruchamia procedurę zgłoszeniową.
info

Statystycznie 62% uczniów zna prawidłową odpowiedź. średnie

Specjaliści zwracają uwagę: "Taki e-mail z prośbą o "aktualizację danych logowania" przez link jest typowym wzorcem phishingu."

Źródła:

  • CERT Polska (NASK) – materiały edukacyjne o phishingu i zgłaszaniu incydentów: https://cert.pl/ (sekcja Ostrzeżenia/Edukacja) - dostęp 2026-03-01
  • NASK – poradniki/edukacja z zakresu cyberbezpieczeństwa (bezpieczna poczta, phishing): https://www.nask.pl/ (sekcje edukacyjne) - dostęp 2026-03-01
  • Microsoft Support – rozpoznawanie i unikanie phishingu: https://support.microsoft.com/ (wyszukiwanie: phishing, scam emails) - dostęp 2026-03-01

Materiały:

  • Materiały edukacyjne CERT Polska o phishingu i zgłaszaniu incydentów
  • Poradniki NASK/bezpieczeństwo cyfrowe dla pracowników
  • Wewnętrzna polityka bezpieczeństwa informacji i instrukcja zgłaszania incydentów w organizacji
Zobacz też:

Aktualizacja pytania: 31.03.2026



Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego