info@fastwhitecat.com

Blog Fast White Cat

Czym jest phishing i jak się przed nim uchronić?

Karolina Obszyńska lip 14. 2023


Phishing to popularna forma cyberataków, które mają na celu wyłudzenie poufnych informacji - haseł, numerów kart kredytowych oraz szeregu innych danych osobowych za pomocą podszywania się pod firmy oraz instytucje. Atakujący niejednokrotnie wysyłają fałszywe wiadomości e-mail, SMS-y bądź nawet prowadzą fałszywe strony internetowe, by oszukać użytkowników i namówić ich do podania konkretnych danych. W poniższym artykule dokładnie wyjaśniamy, czym jest phishing i jak można się przed nim uchronić.






Definicja phishingu


Co to jest phishing? Pojęcie to oznacza oszustwo wykorzystywane przez cyberprzestępców, które ma na celu wyłudzenie poufnych danych użytkowników. Chodzi tutaj o informacje takie jak:

  • loginy i hasła do poszczególnych serwisów,

  • numery kart debetowych,

  • numer PESEL,

  • data urodzenia,

  • imię i nazwisko,

  • adres zamieszkania,

  • hasła do kont firmowych,

  • poufne dane dotyczące prowadzonej działalności gospodarczej,

  • dane uwierzytelniające do wewnętrznych systemów firmy - cyberprzestępcy atakujący firmy mogą usiłować wyłudzić informacje uwierzytelniające do wewnętrznych systemów, np. paneli administracyjnych, systemów zarządzania zamówieniami, magazynem itd., aby przechwycić wrażliwe dane.


Nazwa "phishing" kojarzy się z "fishingiem", co oznacza łowienie ryb. Warto wiedzieć, że cyberprzestępcy wykorzystujący omawianą metodę, tak samo jak wędkarze, stosują specjalne "przynęty" - najczęściej są to fałszywe e-maile, SMS-y lub całe strony internetowe podszywające się pod renomowane marki i instytucje, np. banki czy firmy telekomunikacyjne.

Spreparowane wiadomości mają na celu zachęcić potencjalną ofiarę, aby kliknęła w link znajdujący się w wiadomości. Najczęściej przenosi on na stronę internetową należącą do oszustów. Na pierwszy rzut oka zazwyczaj wygląda ona prawie tak samo jak prawdziwa strona danej firmy lub instytucji, a w rzeczywistości jest to pułapka. Jeśli użytkownik odwiedzający taką "stronę-pułapkę" poda swoje wrażliwe dane, np. dotyczące prowadzonej firmy, może to nieść za sobą szereg poważnych konsekwencji.

Rodzaje phishingu


Liczba form ataków phishingowych jest ogromna. Do najczęściej stosowanych sposobów ataków przez cyberprzestępców zalicza się:

  • Phishing e-mailowy. Jest to najpopularniejsza forma ataku. Polega ona na tym, że cyberprzestępca wysyła fałszywą wiadomość e-mail, w której podszywa się pod renomowane firmy lub instytucje. Wiadomość zawiera prośbę o podanie poufnych informacji, np. danych do logowania w systemie firmowym, numerów kart płatniczych itd.

  • Spear phishing. Jest to bardziej zaawansowana forma ataku, która poprzedzona jest dogłębną analizą informacji na temat potencjalnej ofiary. Cyberprzestępca na podstawie zebranych danych przygotowuje spersonalizowaną wiadomość do danej ofiary, co sprawia, że próba wyłudzenia danych jest bardziej prawdopodobna.

  • Whaling. Jest to typ phishingu ukierunkowane na wysoko postawione osoby w danej organizacji, np. kierownictwo, dyrektorów lub szefów poszczególnych działów. Atak polega na podszywaniu się np. pod partnerów biznesowych. Nieświadoma ofiara może np. pobrać złośliwe oprogramowanie, które zhakuje należący do niej telefon.

  • Pharming. Technika polegająca na tym, że atakujący zmienia prawidłowe adresy URL stron internetowych na fałszywe. Polega to na tym, że użytkownik jest przekierowywany na fałszywe strony internetowe wyglądające jak te oryginalne.

  • Smishing. Rodzaj phishingu wykorzystujący wiadomości SMS. Zachęcają one odbiorców do kliknięcia w złośliwe linki.

  • Vishing. Forma phishingu realizowana za pomocą połączeń telefonicznych. W tym przypadku atakujący podszywają się pod pracowników firm, instytucji finansowych lub organizacji w celu wyłudzenia rozmaitych danych od ofiar.


Jak uchronić firmę przed atakami phishingowymi?


Inwestycje w cyberbezpieczeństwo powinny stanowić absolutny priorytet dla każdej średniej i dużej firmy, która działa w branży e-commerce. W tym celu należy przede wszystkim przeprowadzać cykliczne szkolenia dla wszystkich pracowników, by wiedzieli, jak postępować, by ryzyko powodzenia ataku phishingowego było ograniczone do zera.

Do najważniejszych sposobów na zwiększenie cyberbezpieczeństwa firmy i uchronienie jej przed atakami phishingowymi zaliczamy:

  • właściwe zabezpieczenie firmowej sieci,

  • nieklikanie w podejrzane linki,

  • dbałość o bezpieczeństwo baz danych,

  • stworzenie systemu kopii zapasowych,

  • bezpieczne połączenie zdalne z serwerem firmy,

  • stały monitoring sieci,

  • wdrażanie silnych haseł,

  • wprowadzenie logowania dwuetapowego,

  • filtrowanie i wnikliwe weryfikowanie wiadomości e-mail,

  • cykliczna aktualizacja oprogramowania,

  • weryfikowanie źródeł wiadomości,

  • szybkie reagowanie.


Jaka kara grozi za phishing - co mówi polskie prawo?


Jaka kara może grozić wirtualnym przestępcom za stosowanie phishingu? Jakie są normy prawne i kary? Okazuje się, że w Kodeksie karnym nie jest sprecyzowane osobne przestępstwo nazwane jako phishing.

W tym momencie wszystkie osoby, które dopuszczają się takiego czynu, są ścigane na podstawie zapisów artykułu 287 Kodeksu karnego, który mówi o "oszustwie komputerowym". Wskazuje on, że "kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5". Jednocześnie przy przestępstwach o mniejszej wadze sąd może zasądzić karę grzywny bądź ograniczenie wolności do roku.


    Sprawdź, jak możemy usprawnić Twój biznes