Adwokat Paweł Tołoczko

Phishing – czym jest, jak się przed nim bronić, co grozi sprawcy?

Strona główna » Publikacje » Phishing – czym jest, jak się przed nim bronić, co grozi sprawcy?

W 2021 r. CERT Polska czuwający nad bezpieczeństwem polskiego Internetu przyjął 116 071 zgłoszeń od zaniepokojonych użytkowników. Spośród wszystkich wytypowano 65 586, na podstawie których zarejestrowano 29 483 unikatowych naruszeń bezpieczeństwa krajowej cyberprzestrzeni. To o 182 proc. więcej niż rok wcześniej. Najpopularniejszym rodzajem ataku – niezmiennie – jest phishing!

Czym jest phishing?

Phishing  korzysta z narzędzi inżynierii społecznej (socjotechniki), czyli formy manipulacji polegającej na nakłanianiu użytkownika do wykonania określonej czynności. Metoda oszustwa bazuje na podszywaniu się pod wiarygodne źródła informacji – ministerstwa, firmy kurierskie, urzędy, operatorów telekomunikacyjnych itp. – w celu wyłudzenia wrażliwych danych. „Phishing” to anglicyzm nawiązujący do terminu oznaczającego łowienie ryb („fishing”) i poprzez analogię odnoszący się do wędkarza (hakera) zarzucającego przynętę na swą ofiarę (internautę). Phishing jest przestępstwem ściganym z urzędu, chyba że oszustwo popełniono na szkodę osoby najbliższej – wówczas ściganie następuje na wniosek pokrzywdzonego.

Co to jest phishing?

Jak działa phishing?

Atak najczęściej jest realizowany za pośrednictwem SMS-ów bądź e-maili, ale jego nośnikiem mogą być także rozmowy telefoniczne i wiadomości rozsyłane za pośrednictwem komunikatorów typu Messenger. Do potencjalnych ofiar cyberprzestępców trafiają treści łudząco przypominające autentyczne komunikaty. Standardowa wiadomość phishingowa zawiera link zachęcający do kliknięcia. Jeśli użytkownik wykona ten krok, zostanie przekierowany do zainfekowanego załącznika bądź strony rozprzestrzeniającej szkodliwe oprogramowanie. Serwis będzie niemal identyczny jak witryna oficjalnie działającej instytucji, aczkolwiek personalia, które na niej wprowadzimy, zostaną przechwycone przez hakera.

Jakie są rodzaje phishingu?

Phishing to pojemne pojęcie, nieco różnicujące się w zależności od szczegółów ataku. Może przybrać jedną z następujących form:

Spear-phishing

To szczególna odmiana phishingu; skierowana do konkretnej osoby. Atak często jest poprzedzony rozpoznaniem w mediach społecznościowych. Może być prowadzony przez kogoś bądź za pośrednictwem kogoś pozostającego z nami w bliskiej relacji. Haker kieruje spersonalizowane komunikaty, w których podszywa się m.in. pod naszych partnerów biznesowych bądź znajomych.

Whaling

To phishingowy atak spersonalizowany, którego celem jest przechwycenie danych od osób zajmujących kierownicze stanowiska.

Clone phishing

Polega na zduplikowaniu prawdziwej wiadomości i dodaniu bądź podmianie zawartych w niej załączników na te prowadzące do zainfekowania urządzenia.

Spoofing

W ramach spoofingu cyberprzestępca podszywa się pod istniejącą domenę, dzięki czemu wygenerowany przez niego e-mail wygląda jak oryginalna wiadomość od wybranej organizacji.

Brand phishing

W tym przypadku oszuści podszywają się pod przedsiębiorstwo świadczące usługi dla atakowanej firmy.

Smishing

To atak wykorzystujący SMS-y zawierające złośliwy link.

Swego czasu zaobserwowano też metodę ataku typu man-in-the-middle. Atak polega na skierowaniu użytkownika na sfingowaną domenę, często o nazwie mocno zbliżonej do prawdziwej usługi. W odróżnieniu od technik phishingowych obserwowanych wcześniej w tym przypadku fałszywy serwer nie przesyła użytkownikowi podrobionej wersji strony, a tylko pośredniczy w komunikacji z autentyczną usługą.

Phishing - gdzie zgłosić? Radca Prawny Paweł Tołoczko wyjaśnia

Jak rozpoznać wiadomość phishingową?

Wbrew pozorom przed phishingiem dość łatwo jest się uchronić. Kluczowy aspekt to rozsądek w działaniu. Naszą uwagę powinny zwrócić szczególnie:

Phishing i oszustwa w Internecie - skorzystaj z usług radcy prawnego

Jak sobie radzić z fałszywymi wiadomościami? 

Gdy zauważysz nietypowego e-maila, nie odpisuj i nie klikaj w załączniki. W celu zweryfikowania treści poszukaj w Internecie informacji o podobnych incydentach. Albo – najlepiej – zadzwoń do instytucji, która jest rzekomym nadawcą i wyjaśnij sprawę. Jeżeli firma zaprzeczy, jakoby adresowała do Ciebie taką wiadomość, e-maila oznacz jako element podejrzany, przenieś do spamu albo kosza i usuń. Pamiętaj, że banki, urzędy administracji publicznej i inne tego typu instytucje nie mają prawa prosić Cię za pośrednictwem e-maili lub SMS-ów o dopłaty bądź uregulowanie należności podatkowych.

Porady radcy prawnego z Olsztyna

Do kogo i jak zgłaszać podejrzenie phishingu? 

Próbę wyłudzenia danych powinniśmy zgłosić policji bądź prokuraturze. O incydencie warto powiadomić również polski oddział CERT (CSIRT NASK) czuwający nad bezpieczeństwem przestrzeni internetowej. Obok CSIRT MON i CSIRT GOV wchodzi on w skład Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego. Wystarczy wejść na stronę organizacji: https://incydent.cert.pl/ i wypełnić krótki formularz. Alternatywnie można dostarczyć zgłoszenie pocztą elektroniczną na adres cert@cert.pl bądź wysłać pod numer 799 448 084. Z jednego numeru możesz zgłosić maksymalnie 3 wiadomości w ciągu 4 godzin.

Radca prawny z Olsztyna wyjaśnia - co to jest phishing?

Czy można zabezpieczyć się przed phishigniem?

Zabezpieczenie jest bardzo ważnym elementem prewencji. Wykrywalność phishingu w stosunku do innych przestępstw niestety nadal jest niska. Skuteczna ochrona przed phishingiem obejmuje:

Kancelaria prawna Olsztyn oferuje obsługę prawna przedsiębiorców

Co grozi za phishing?

Phishing jest przestępstwem wyczerpującym przesłanki z różnych artykułów i paragrafów: art. 190a §2, art. 267 i art. 287 „Kodeksu karnego”. Jako oszustwo komputerowe stanowi odmianę klasycznego oszustwa, opisanego w art. 286 wspomnianego dokumentu. Kara za wyłudzenie danych może wynieść od 3 miesięcy do 5 lat pozbawienia wolności. Dolny próg penalizacyjny dotyczy sytuacji, w których sąd uwzględni okoliczności łagodzące bądź niską szkodliwość społeczną czynu. Wówczas sprawca podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do roku. Na mocy wyroku karnego poszkodowani w ramach drogi cywilnej mogą starać się o zrekompensowanie poniesionych strat.

kONTAKT Z RADCĄ PRAWNYM

Czy bank odpowiada wobec ofiary phishingu?

Bank odpowiada za każdą transakcję nieautoryzowaną, czyli dokonaną przez osobę nieupoważnioną. Odpowiedzialności może uniknąć tylko wtedy, gdy udowodni, że klient dopuścił się tzw. rażącego niedbalstwa. Poszkodowany odpowiada za nieautoryzowane transakcje do wysokości 50 euro. Nawet jeśli odzyskamy utracone pieniądze, kwota zostanie pomniejszona o tę sumę.

Po więcej informacji zapraszamy na stronę kancelarii: https://www.kancelaria-toloczko.pl/

Zobacz również
Inne wątki z tej kategorii

Potrzebujesz profesjonalnej porady prawnej

Bez wychodzenia z domu. Porady on-line

Wychodząc naprzeciw oczekiwaniom naszych Klientów, Kancelaria oferuje udzielanie porad prawnych on-line. W celu otrzymania porady prawnej drogą elektroniczną, należy wypełnić krótki formularz, opisać Państwa problem lub nurtujące pytanie, wskazać swoje imię, nazwisko, adres e-mail oraz numer telefonu do kontaktu.

Dowiedz się więcej

Kancelaria Radcy Prawnego

Paweł Tołoczko

ul. Mazurska 12/3
10-512 Olsztyn
Tel: 511 844 511
E-mail: biuro@kancelaria-toloczko.pl

Wyjście
Przewiń na górę