Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA EKA8 - TEST WIEDZY NR 5



PYTANIE NR 38.
Załóżmy, że otrzymujesz e-mail od swojego przełożonego z prośbą o przesłanie szczegółów dotyczących pewnej przesyłki pocztowej. Adres e-mail wygląda na prawidłowy, ale zauważasz drobne różnice w pisowni. Co powinieneś zrobić?
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
Najbezpieczniej nie przekazywać danych w odpowiedzi na wiadomość z podejrzanymi różnicami w adresie. Weryfikacja polecenia innym kanałem (telefon, komunikator firmowy, rozmowa) pozwala potwierdzić tożsamość nadawcy i ogranicza ryzyko wyłudzenia informacji o przesyłce.

Pełne wyjaśnienie:

W sytuacji, gdy e-mail wygląda "prawie" poprawnie, ale pojawiają się drobne różnice w pisowni adresu lub domeny, należy założyć możliwość podszywania się (np. phishingu ukierunkowanego). Prośba o "szczegóły przesyłki" może oznaczać próbę pozyskania danych operacyjnych lub danych klienta, które powinny być ujawniane wyłącznie osobom uprawnionym.

Odpowiedź "Skontaktuj się z przełożonym za pomocą innego kanału komunikacji, aby potwierdzić, czy wysłał e-mail." jest właściwa, bo stosuje zasadę niezależnej weryfikacji. Kontakt telefoniczny, komunikator firmowy albo osobista rozmowa pozwalają potwierdzić, czy przełożony rzeczywiście zlecił przekazanie informacji, czy ktoś jedynie imituje jego adres.

Dlaczego pozostałe odpowiedzi są gorsze?

  • "Zignoruj e-mail." – samo zignorowanie nie rozwiązuje problemu i nie uruchamia reakcji organizacji; w praktyce podejrzane wiadomości zwykle trzeba co najmniej zgłosić zgodnie z procedurą.
  • "Odpowiedz na e-mail z żądanymi informacjami." – to najczęstszy mechanizm powodujący incydenty: dane trafiają do atakującego, a później mogą zostać użyte do oszustwa lub dalszych ataków.
  • "Przekaż e-mail do działu IT." – zgłoszenie do IT bywa właściwym krokiem, ale nie zawsze zastępuje szybkie potwierdzenie zlecenia z przełożonym; w zadaniu kluczowe jest natychmiastowe ograniczenie ryzyka ujawnienia informacji poprzez weryfikację innym kanałem.

Wskazówka egzaminacyjna: jeśli w pytaniu pojawia się sygnał typu "adres wygląda prawidłowo, ale są drobne różnice", szukaj odpowiedzi, która najpierw wstrzymuje ujawnianie danych i wprowadza potwierdzenie tożsamości nadawcy.

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co to jest phishing w e-mailach służbowych?
Phishing to próba wyłudzenia informacji poprzez wiadomość udającą zaufanego nadawcę. W pracy najczęściej dotyczy haseł, danych klientów albo informacji operacyjnych (np. o przesyłkach). Charakterystyczne są: pośpiech, prośba o dane oraz drobne różnice w adresie nadawcy.
Jak rozpoznać podszywanie się po drobnych różnicach w adresie e-mail?
Sprawdź dokładnie domenę i zapis nazwy (literówki, dodatkowe znaki, inne końcówki). Zwróć uwagę na nietypowy styl pisania, presję czasu i prośby o "szczegóły". Jeśli cokolwiek się nie zgadza, nie odpowiadaj danymi – przejdź do weryfikacji innym kanałem.
Dlaczego trzeba potwierdzić prośbę innym kanałem komunikacji?
Bo sam e-mail może być sfałszowany. Niezależny kanał (telefon, komunikator firmowy, rozmowa) zmniejsza ryzyko, że odpowiesz oszustowi. To prosta praktyka bezpieczeństwa: zanim ujawnisz informacje o przesyłce, potwierdzasz tożsamość i uprawnienia osoby proszącej.
Co zrobić, gdy e-mail "od przełożonego" prosi o dane przesyłki?
Wstrzymaj przekazywanie danych i skontaktuj się z przełożonym poza e-mailem, aby potwierdzić zlecenie. Dopiero po potwierdzeniu przekaż informacje zgodnie z procedurą i zakresem uprawnień. Jeśli potwierdzenie nie jest możliwe, potraktuj to jako podejrzenie incydentu.
Czy przekazanie podejrzanego e-maila do IT zawsze wystarczy?
Nie zawsze. Zgłoszenie do IT jest ważne, ale Twoim pierwszym celem jest niedopuszczenie do ujawnienia informacji. Dlatego zwykle najpierw weryfikujesz zlecenie innym kanałem. Równolegle możesz zgłosić wiadomość zgodnie z procedurą (IT/bezpieczeństwo/infolinia wewnętrzna).
Jakie dane o przesyłce są szczególnie wrażliwe w pracy?
Wrażliwe mogą być m.in. dane nadawcy i adresata, numery przesyłek, informacje o wartości, harmonogram doręczeń oraz dane z systemów śledzenia. Ujawnienie takich informacji może umożliwić oszustwo, podszycie się pod klienta albo przejęcie przesyłki, dlatego wymagają kontroli dostępu.
Dlaczego nie należy odpowiadać na e-mail z żądanymi informacjami?
Bo wtedy przekazujesz dane bez pewności, kto je otrzyma. Atakujący liczy na automatyczną reakcję i presję czasu. Zasada jest prosta: jeśli identyfikator nadawcy budzi wątpliwości, najpierw potwierdź tożsamość, a dopiero potem udostępniaj informacje zgodnie z procedurami.
Jakie są typowe sygnały ostrzegawcze w fałszywych e-mailach?
Najczęstsze sygnały to: literówki w domenie, nietypowe prośby (np. "wyślij szczegóły natychmiast"), zmieniony ton wypowiedzi, brak standardowych elementów korespondencji firmowej oraz załączniki/linki, których nie oczekujesz. Pojawienie się kilku naraz powinno uruchomić weryfikację.
Jak postępować z podejrzanymi linkami lub załącznikami w e-mailu?
Nie klikaj i nie otwieraj załączników, jeśli masz wątpliwości co do nadawcy. Zrób zrzut informacji, zachowaj wiadomość do analizy i zgłoś ją zgodnie z procedurą. Jeśli musisz zweryfikować sprawę, użyj niezależnego kanału kontaktu z osobą, rzekomo wysyłającą e-mail.
Jak przygotować się do pytań o bezpieczeństwo informacji na egzaminie zawodowym?
Ucz się schematu reakcji: zauważ sygnałwstrzymaj przekazanie danychzweryfikuj innym kanałemzgłoś incydent. Przećwicz też rozpoznawanie podszywania w adresach i zasady minimalizacji danych w obsłudze przesyłek i usług finansowych.
info

Około 61% zdających odpowiada poprawnie na to pytanie. średnie

W praktyce zawodowej kluczowe jest to, że najbezpieczniej nie przekazywać danych w odpowiedzi na wiadomość z podejrzanymi różnicami w adresie.

Źródła:

  • NIST Special Publication 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations (controls related to verifying communications and incident handling), https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final - accessed 2026-03-04
  • ENISA: Phishing (topic and guidance hub), https://www.enisa.europa.eu/topics/phishing - accessed 2026-03-04
  • CERT Polska: materiały ostrzegawcze i poradniki dot. phishingu (strona tematyczna), https://cert.pl/ - accessed 2026-03-04

Materiały:

  • Materiały szkoleniowe organizacji dot. phishingu i bezpiecznej komunikacji e-mail
  • Checklisty rozpoznawania podejrzanych wiadomości (nadawca, domena, styl, prośba o dane)
  • Poradniki CERT dot. reagowania na incydenty i zgłaszania podejrzanych e-maili
Zobacz też:

Aktualizacja pytania: 31.03.2026



Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego