Fałszywy mail z cPanel? Jak rozpoznać phishing i co zrobić dalej

Coraz częściej właściciele stron i skrzynek e-mail dostają phishing, czyli wiadomości zatytułowane np.:

Webmail Update Required
Server Upgrade
Mailbox Suspension Notice

Nadawca podszywa się pod panel hostingowy, najczęściej pod cPanel, i informuje o rzekomej konieczności pilnej aktualizacji ustawień.

W rzeczywistości to phishing – próba wyłudzenia loginu i hasła do poczty.

Jak wygląda phishing w cPanel?

Typowe elementy takiej wiadomości:

• informacja o „aktualizacji webmaila”
• presja czasu (np. „24 hours”, „account will be suspended”)
• przycisk „Update Settings” podpowiadający podejrzany adres URL
• ogólnikowa treść bez danych serwera
• podejrzany adres nadawcy (np. losowa firma, inna domena)

Najważniejsze: link prowadzi do fałszywej strony logowania, która tylko udaje panel poczty.

Skąd cyberprzestępcy mają adres e-mail?

To wcale nie musi oznaczać włamania na serwer.

Adresy mogą pochodzić na przykład z:

• publicznie dostępnych stron internetowych,
• wycieków danych z innych serwisów,
• automatycznego generowania adresów przez boty,
• hurtowych baz sprzedawanych w sieci.

Takie kampanie są masowe i wysyłane automatycznie.

Co zrobić w zależności od sytuacji?

1. Jeśli NIE kliknąłeś linku

Możesz spokojnie:

• usunąć wiadomość,
• oznaczyć ją jako spam,
• zablokować adres nadawcy.

Nie ma zagrożenia dla skrzynki.

2. Jeśli kliknąłeś link, ale NIE podałeś hasła

Ryzyko jest umiarkowane.

Dla bezpieczeństwa warto:

• zmienić hasło do skrzynki,
• rozważyć weryfikację dwuetapową (2FA),
• upewnić się, że logowanie odbywa się wyłącznie przez prawidłowy adres (np. TwojaDomena.pl/webmail).

3. Jeśli podałeś hasło

Wtedy trzeba działać natychmiast:

• Zmienić hasło do skrzynki.
• Ustawić weryfikację dwuetapową (2FA).
• Sprawdzić, czy nie ustawiono przekierowania poczty.
• Sprawdzić, czy z konta nie były wysyłane podejrzane wiadomości.
• Jeśli to samo hasło było używane w innych miejscach – zmienić je wszędzie.
• Warto sprawdzić logi logowania na serwerze (IP, kraj).

Im szybsza reakcja, tym mniejsze ryzyko szkód.

Jak zabezpieczyć skrzynkę przed takimi atakami?

1. Silne i unikalne hasła

Nigdy nie używaj tego samego hasła do:

• poczty,
• panelu hostingowego,
• bankowości,
• mediów społecznościowych.

2. Logowanie tylko przez znany adres

Nie klikaj linków w mailach, zwłaszcza wysłanych z nieznanych adresów. Zawsze loguj się przez:

• zapisaną zakładkę,
• wpisany ręcznie adres,
• panel klienta u swojego dostawcy hostingu.

3. Poprawna konfiguracja zabezpieczeń DNS

W domenie powinny być skonfigurowane rekordy:

• SPF – określa, które serwery mogą wysyłać pocztę z domeny,
• DKIM – podpisuje wiadomości cyfrowo,
• DMARC – określa, co zrobić z wiadomością, która nie przejdzie weryfikacji.

Jeśli chcesz zrozumieć, jak działa infrastruktura DNS, zobacz też wpis o TTL i rekordach DNS na blogu.

4. Filtry antyspamowe i blokady

Można także:

• zablokować konkretny adres nadawcy,
• wzmocnić filtr antyspamowy,
• ustawić bardziej restrykcyjną politykę DMARC.

Warto jednak pamiętać, że nadawcy w phishingu często się zmieniają – blokada pojedynczego adresu to rozwiązanie tymczasowe.

Czy taki mail oznacza włamanie?

Nie.

Samo otrzymanie fałszywej wiadomości:

• nie oznacza przejęcia serwera,
• nie oznacza przejęcia domeny,
• nie oznacza wycieku z hostingu.

Zagrożenie pojawia się dopiero wtedy, gdy użytkownik poda swoje dane logowania lub ustawi przewidywalne hasło.

Podsumowanie

Fałszywy mail z cPanel to klasyczny phishing, nie warto więc panikować.

Najważniejsze zasady:

• nie klikaj w linki z podejrzanych wiadomości
• nie podawaj hasła poza oficjalnym panelem
• używaj silnych i unikalnych haseł, np. wygenerowanych automatycznie
• włącz weryfikację dwuetapową, jeśli masz taką możliwość
• dbaj o rekordy SPF, DKIM i DMARC swojej domeny

W razie wątpliwości zawsze warto przesłać taką wiadomość do swojego administratora lub firmy hostingowej przed podjęciem jakiejkolwiek akcji.