Phishing – czym jest, jak się przed nim bronić, co grozi sprawcy?

Spis treści

W 2021 r. CERT Polska czuwający nad bezpieczeństwem polskiego Internetu przyjął 116 071 zgłoszeń od zaniepokojonych użytkowników. Spośród wszystkich wytypowano 65 586, na podstawie których zarejestrowano 29 483 unikatowych naruszeń bezpieczeństwa krajowej cyberprzestrzeni. To o 182 proc. więcej niż rok wcześniej. Najpopularniejszym rodzajem ataku – niezmiennie – jest phishing!

Czym jest phishing?

Phishing  korzysta z narzędzi inżynierii społecznej (socjotechniki), czyli formy manipulacji polegającej na nakłanianiu użytkownika do wykonania określonej czynności. Metoda oszustwa bazuje na podszywaniu się pod wiarygodne źródła informacji – ministerstwa, firmy kurierskie, urzędy, operatorów telekomunikacyjnych itp. – w celu wyłudzenia wrażliwych danych. „Phishing” to anglicyzm nawiązujący do terminu oznaczającego łowienie ryb („fishing”) i poprzez analogię odnoszący się do wędkarza (hakera) zarzucającego przynętę na swą ofiarę (internautę). Phishing jest przestępstwem ściganym z urzędu, chyba że oszustwo popełniono na szkodę osoby najbliższej – wówczas ściganie następuje na wniosek pokrzywdzonego.

Co to jest phishing?

Jak działa phishing?

Atak najczęściej jest realizowany za pośrednictwem SMS-ów bądź e-maili, ale jego nośnikiem mogą być także rozmowy telefoniczne i wiadomości rozsyłane za pośrednictwem komunikatorów typu Messenger. Do potencjalnych ofiar cyberprzestępców trafiają treści łudząco przypominające autentyczne komunikaty. Standardowa wiadomość phishingowa zawiera link zachęcający do kliknięcia. Jeśli użytkownik wykona ten krok, zostanie przekierowany do zainfekowanego załącznika bądź strony rozprzestrzeniającej szkodliwe oprogramowanie. Serwis będzie niemal identyczny jak witryna oficjalnie działającej instytucji, aczkolwiek personalia, które na niej wprowadzimy, zostaną przechwycone przez hakera.

Jakie są rodzaje phishingu?

Phishing to pojemne pojęcie, nieco różnicujące się w zależności od szczegółów ataku. Może przybrać jedną z następujących form:

Spear-phishing

To szczególna odmiana phishingu; skierowana do konkretnej osoby. Atak często jest poprzedzony rozpoznaniem w mediach społecznościowych. Może być prowadzony przez kogoś bądź za pośrednictwem kogoś pozostającego z nami w bliskiej relacji. Haker kieruje spersonalizowane komunikaty, w których podszywa się m.in. pod naszych partnerów biznesowych bądź znajomych.

Whaling

To phishingowy atak spersonalizowany, którego celem jest przechwycenie danych od osób zajmujących kierownicze stanowiska.

Clone phishing

Polega na zduplikowaniu prawdziwej wiadomości i dodaniu bądź podmianie zawartych w niej załączników na te prowadzące do zainfekowania urządzenia.

Spoofing

W ramach spoofingu cyberprzestępca podszywa się pod istniejącą domenę, dzięki czemu wygenerowany przez niego e-mail wygląda jak oryginalna wiadomość od wybranej organizacji.

Brand phishing

W tym przypadku oszuści podszywają się pod przedsiębiorstwo świadczące usługi dla atakowanej firmy.

Smishing

To atak wykorzystujący SMS-y zawierające złośliwy link.

Swego czasu zaobserwowano też metodę ataku typu man-in-the-middle. Atak polega na skierowaniu użytkownika na sfingowaną domenę, często o nazwie mocno zbliżonej do prawdziwej usługi. W odróżnieniu od technik phishingowych obserwowanych wcześniej w tym przypadku fałszywy serwer nie przesyła użytkownikowi podrobionej wersji strony, a tylko pośredniczy w komunikacji z autentyczną usługą.

Phishing - gdzie zgłosić? Radca Prawny Paweł Tołoczko wyjaśnia

Jak rozpoznać wiadomość phishingową?

Wbrew pozorom przed phishingiem dość łatwo jest się uchronić. Kluczowy aspekt to rozsądek w działaniu. Naszą uwagę powinny zwrócić szczególnie:

  • brak interpunkcji i wyjątkowo niepoprawna gramatycznie pisownia (wiele kampanii phishingowych przygotowują zagraniczni przestępcy, którzy nie znają zasad polszczyzny);
  • niezgodność adresu mailowego z podpisem pod treścią wiadomości;
  • skrócone bądź niepoprawne adresy popularnych witryn internetowych. By wyświetlić pełen adres, najedź kursorem na link (ale nie klikaj!);
  • brak spersonalizowanego zaadresowania e-maila (wiadomość skierowana do „cenionego” bądź „najlepszego klienta”, skrzętnie omijająca nasze imię i nazwisko, oznacza, że nadawca nie zna naszej tożsamości);
  • linki przekazywane między znajomymi (przestępcy, którzy uzyskają kontrolę nad naszymi kontami w social mediach, mogą podszywać się pod naszą rodzinę i znajomych);
  • wezwania do natychmiastowego działania (zwroty typu „padłeś ofiarą przestępstwa, kliknij natychmiast” mogą świadczyć o oszustwie);
  • informacje o możliwości szybkiego zarobienia dużych pieniędzy albo rzekomej nagrodzie, np. finansowej, którą otrzymamy niezwłocznie po wypełnieniu stosownego formularza.

Phishing i oszustwa w Internecie - skorzystaj z usług radcy prawnego

Jak sobie radzić z fałszywymi wiadomościami? 

Gdy zauważysz nietypowego e-maila, nie odpisuj i nie klikaj w załączniki. W celu zweryfikowania treści poszukaj w Internecie informacji o podobnych incydentach. Albo – najlepiej – zadzwoń do instytucji, która jest rzekomym nadawcą i wyjaśnij sprawę. Jeżeli firma zaprzeczy, jakoby adresowała do Ciebie taką wiadomość, e-maila oznacz jako element podejrzany, przenieś do spamu albo kosza i usuń. Pamiętaj, że banki, urzędy administracji publicznej i inne tego typu instytucje nie mają prawa prosić Cię za pośrednictwem e-maili lub SMS-ów o dopłaty bądź uregulowanie należności podatkowych.

Porady radcy prawnego z Olsztyna

Do kogo i jak zgłaszać podejrzenie phishingu? 

Próbę wyłudzenia danych powinniśmy zgłosić policji bądź prokuraturze. O incydencie warto powiadomić również polski oddział CERT (CSIRT NASK) czuwający nad bezpieczeństwem przestrzeni internetowej. Obok CSIRT MON i CSIRT GOV wchodzi on w skład Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego. Wystarczy wejść na stronę organizacji: https://incydent.cert.pl/ i wypełnić krótki formularz. Alternatywnie można dostarczyć zgłoszenie pocztą elektroniczną na adres cert@cert.pl bądź wysłać pod numer 799 448 084. Z jednego numeru możesz zgłosić maksymalnie 3 wiadomości w ciągu 4 godzin.

Radca prawny z Olsztyna wyjaśnia - co to jest phishing?

Czy można zabezpieczyć się przed phishigniem?

Zabezpieczenie jest bardzo ważnym elementem prewencji. Wykrywalność phishingu w stosunku do innych przestępstw niestety nadal jest niska. Skuteczna ochrona przed phishingiem obejmuje:

  • budowanie wśród użytkowników Internetu świadomości ryzyka związanego z korzystaniem z sieci oraz edukację w zakresie postępowania w przypadku wystąpienia zagrożenia;
  • zainstalowanie i regularne aktualizowanie oryginalnego oprogramowania antywirusowego;
  • wprowadzenie wielopoziomowego rozwiązania bezpieczeństwa w postaci ochrony  poczty elektronicznej i stron WWW poprzez monitorowanie zachowań użytkowników, w tym kontrolę dostępu;
  • korzystanie z usług z dwustopniową weryfikacją tożsamości (na wzór bankowości elektronicznej), gdzie oprócz wprowadzenia hasła i loginu konieczne jest wpisanie kodu;
  • używanie wyłącznie silnych haseł (trudnych do złamania), będących kombinacją przypadkowych małych i dużych liter, cyfr i znaków specjalnych (emotikonów, symboli).

Kancelaria prawna Olsztyn oferuje obsługę prawna przedsiębiorców

Co grozi za phishing?

Phishing jest przestępstwem wyczerpującym przesłanki z różnych artykułów i paragrafów: art. 190a §2, art. 267 i art. 287 „Kodeksu karnego”. Jako oszustwo komputerowe stanowi odmianę klasycznego oszustwa, opisanego w art. 286 wspomnianego dokumentu. Kara za wyłudzenie danych może wynieść od 3 miesięcy do 5 lat pozbawienia wolności. Dolny próg penalizacyjny dotyczy sytuacji, w których sąd uwzględni okoliczności łagodzące bądź niską szkodliwość społeczną czynu. Wówczas sprawca podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do roku. Na mocy wyroku karnego poszkodowani w ramach drogi cywilnej mogą starać się o zrekompensowanie poniesionych strat.

kONTAKT Z RADCĄ PRAWNYM

Czy bank odpowiada wobec ofiary phishingu?

Bank odpowiada za każdą transakcję nieautoryzowaną, czyli dokonaną przez osobę nieupoważnioną. Odpowiedzialności może uniknąć tylko wtedy, gdy udowodni, że klient dopuścił się tzw. rażącego niedbalstwa. Poszkodowany odpowiada za nieautoryzowane transakcje do wysokości 50 euro. Nawet jeśli odzyskamy utracone pieniądze, kwota zostanie pomniejszona o tę sumę.

Po więcej informacji zapraszamy na stronę kancelarii: https://www.kancelaria-toloczko.pl/

Powiązane wpisy

Pełnomocnictwo

Pełnomocnictwo często spotykana nazwa dokumentu urzędowego, którego udzielenie jest warunkiem koniecznym wykonania pewnych czynności prawnych. Definicja Zgodnie z definicją pełnomocnictwa, która zawarta została przez ustawodawcę…

Dane kontaktowe kancelarii
Lokalizacja
Wyznacz trasę w Google Maps
Śledź nas w mediach społecznościowych
Facebook Google
Umów konsultację
Jeśli mają Państwo pytania lub chcą umówić konsultację, zapraszamy do kontaktu za pomocą formularza.

Adres:
ul. Mazurska 10/4,
10-512 Olsztyn

Numer telefonu: 511 844 511
E-mail: biuro@kancelaria-toloczko.pl

Zakres usług

  • Kredyty frankowe
  • Sankcja kredytu darmowego
  • Sprawy rodzinne
  • Windykacja należności
  • Prawo gospodarcze
  • Spadki i darowizny
  • Odszkodowania
  • Obsługa prawna dla firm
  • Prawo administracyjne
Przewijanie do góry
Kancelaria Paweł Tołoczko
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.