Poland IT Hub

Phishing to dziś jeden z najpowszechniejszych i najgroźniejszych rodzajów cyberataków – uderza zarówno w użytkowników indywidualnych, jak i w duże organizacje. W Polsce liczba zgłoszeń dynamicznie rośnie: od niespełna 2 tys. w 2016 r. do prawie 10 tys. w 2024 r. Raport CERT Polska 2024 odnotował ponad 600 000 zgłoszeń cyberzagrożeń, z czego phishing stanowił około 40 000 przypadków.

Spis treści

Skalę zjawiska napędza prostota i niski koszt przygotowania kampanii oraz masowy charakter ataków. Nawet niewielki odsetek „skutecznych” kliknięć przekłada się na realne zyski przestępców.

Dlaczego phishing jest tak „opłacalny” dla przestępców:

  • niski koszt przygotowania kampanii i łatwość powielania,
  • możliwość automatyzacji i masowego wysyłania wiadomości,
  • wykorzystanie socjotechniki zamiast technicznych luk,
  • trudność weryfikacji źródła przez użytkowników pod presją czasu,
  • wysoka stopa zwrotu nawet przy promilu skuteczności.

Definicja i etymologia phishingu

Phishing to metoda oszustwa, w której przestępca podszywa się pod zaufaną osobę lub instytucję, by wyłudzić poufne dane (loginy, hasła, numery kart, dane osobowe) lub skłonić do działania (np. instalacji złośliwego oprogramowania, wykonania przelewu).

Termin ukształtował się w latach 90., gdy oszuści wyłudzali dane do kont w AOL, podszywając się pod wsparcie techniczne. Jego brzmienie nawiązuje do „fishing” – „zarzucania przynęty” w postaci fałszywych wiadomości, które mają „złowić” ofiarę.

Siła phishingu polega na atakowaniu najsłabszego ogniwa – człowieka – poprzez manipulację psychologiczną, a nie na eksploatacji luk w oprogramowaniu.

Mechanika i przebieg ataków phishingowych

Rdzeniem phishingu jest podszywanie się pod zaufane źródło i wywołanie natychmiastowej reakcji. Ofiara otrzymuje pilną prośbę o „weryfikację”, „aktualizację danych” lub „potwierdzenie płatności”, po czym trafia na fałszywą stronę do wprowadzenia danych lub pobiera zainfekowany plik.

Najczęściej wykorzystywane kanały ataku obejmują:

  • e-mail (klasyczne kampanie masowe i wiadomości spersonalizowane),
  • sms (smishing) oraz połączenia telefoniczne (vishing),
  • media społecznościowe i komunikatory,
  • reklamy internetowe i fałszywe strony (typosquatting),
  • zainfekowane załączniki i dokumenty makr.

Fałszywe strony i wiadomości łudząco przypominają oryginały, a poczucie pilności skutecznie obniża czujność ofiar.

Typy ataków phishingowych

E-mail phishing – klasyczne ataki masowe

To najstarsza i najpowszechniejsza forma phishingu. Wiadomości wysyłane są do dużych baz adresów i często podszywają się pod banki, serwisy aukcyjne czy instytucje publiczne. Zawierają linki do fałszywych stron lub zainfekowane załączniki. W 2024 r. szczególnie często podszywano się pod OLX, Allegro czy Facebook, by wyłudzać loginy i dane do płatności.

Spear phishing – ataki ukierunkowane

Bardziej wyrafinowana odmiana, w której napastnik personalizuje wiadomość na podstawie danych o ofierze (stanowisko, relacje zawodowe, zainteresowania). Często prowadzi do ujawnienia haseł lub dokonania przelewu w imieniu firmy.

Whaling – ataki na kierownictwo

Skrajna forma spear phishingu, wymierzona w kadrę zarządzającą. Oszust zna kontekst biznesowy i używa branżowego słownictwa, by pilnie wymusić przelew lub przekazanie wrażliwych informacji.

Clone phishing

Przestępcy klonują legalną wiadomość (z linkiem lub załącznikiem), a następnie podmieniają elementy na złośliwe. Ofiary ufają, bo kojarzą oryginalną korespondencję.

Smishing i vishing – ataki przez SMS i telefon

Smishing bazuje na krótkich, pilnych komunikatach z linkiem do fałszywej strony (np. „paczka do odbioru”, „blokada konta”). Vishing wykorzystuje połączenia głosowe i spoofing numeru infolinii, co potęguje wiarygodność oszusta.

Psychologia i techniki manipulacji w phishingu

Skuteczność phishingu opiera się na socjotechnice – wykorzystaniu emocji i skrótów poznawczych, aby pominąć racjonalną ocenę sytuacji.

Najczęściej wykorzystywane dźwignie wpływu to:

  • presja czasu – tykający „zegar” ma skłonić do natychmiastowego działania kosztem weryfikacji;
  • strach – groźba utraty dostępu, konsekwencji prawnych, rzekomego wirusa lub nieudanego logowania;
  • zaufanie i autorytet – podszywanie się pod bank, dział IT, kuriera, członka rodziny;
  • chciwość i obietnica zysku – nagrody, rabaty „tylko teraz”, rzekome spadki i szybkie inwestycje;
  • ciekawość – „szokujące” materiały i niespodziewane załączniki budzące impuls kliknięcia.

Typowe komunikaty stosowane przez oszustów brzmią następująco:

„Twoje konto zostanie zamknięte w ciągu 24 godzin!”

„Zapłać teraz, aby zachować swoje konto biznesowe”

„Zarejestrowano próbę uzyskania dostępu do Twojego konta. Jeśli to nie Ty, natychmiast kliknij ten link…”

Nawet osoby technicznie zaawansowane ulegają presji i narracjom przygotowanym pod ich profil – to nie brak wiedzy, lecz emocje decydują o błędnych decyzjach.

Rozpoznawanie phishingu – wskaźniki ostrzegawcze i czerwone flagi

Wskaźniki w wiadomościach e-mail

Na poziomie treści i metadanych zwracaj uwagę na następujące sygnały ostrzegawcze:

  • nieznany lub „dziwny” nadawca oraz niezgodność adresu e-mail z deklarowaną instytucją,
  • ogólne powitanie („Szanowny Kliencie”), błędy językowe i brak polskich znaków,
  • pilne wezwania do działania, prośby o dane lub płatność,
  • linki z literówkami, skrócone adresy, rozbieżność adresu po najechaniu kursorem,
  • nieoczekiwane załączniki (np. .docm, .xlsm, .zip) oraz nietypowe prośby o logowanie.

Wskaźniki w SMS-ach

W krótkich wiadomościach zwracaj uwagę na:

  • presję czasu i imperatyw „kliknij teraz”,
  • linki do nieznanych domen, literówki w adresach oraz skracacze URL,
  • prośby o dane osobowe, kody lub dopłaty „za paczkę”.

Wskaźniki na stronach internetowych

Przed logowaniem zweryfikuj stronę według poniższych zasad:

  • dokładnie sprawdź domenę (literówki, dodatkowe znaki, nieznane końcówki),
  • upewnij się, że jest https i poprawny certyfikat – kliknij kłódkę i sprawdź podmiot,
  • zwróć uwagę na błędy językowe, słabe grafiki i nielogiczne prośby o dane.

Obecne trendy i statystyki phishingu

Phishing stale ewoluuje, a skala problemu w Polsce rośnie. W 2024 r. liczba zgłoszeń do CERT Polska przekroczyła 600 tys. (+62% r/r), a zarejestrowane incydenty wzrosły o 29% r/r.

Poniżej kluczowe liczby z 2024 roku:

Metryka Wartość
Zgłoszenia ogółem ponad 600 000
Średnio na miesiąc ok. 50 000
Zgłoszenia podejrzanych SMS 355 000 (+60% r/r)
Oszustwa komputerowe 94,7% wszystkich incydentów
Phishing (incydenty) 40 120

Nowe schematy oszustw koncentrują się na komunikatorach (np. WhatsApp „na dziecko”) i podszywaniu się pod Policję lub infolinie banków.

Strategie ochrony przed phishingiem

Edukacja i świadomość użytkowników

Regularne szkolenia, symulacje phishingowe i krótkie formy nauki (nano-learning) znacząco podnoszą odporność na manipulacje. Najskuteczniejszym „antywirusem” pozostaje uważność i weryfikacja źródła.

Silne hasła i uwierzytelnianie dwuskładnikowe

Zasady tworzenia i zarządzania hasłami rekomendowane przez CERT Polska:

  • używaj haseł o długości co najmniej 12 znaków,
  • stawiaj na hasła wyrażeniowe (passphrases),
  • nie powielaj tego samego hasła w wielu serwisach,
  • korzystaj z menedżera haseł do generowania i przechowywania unikalnych haseł,
  • regularnie zmieniaj hasła po incydentach lub wyciekach danych.

Uwierzytelnianie dwuskładnikowe (2FA/MFA) radykalnie obniża ryzyko przejęcia konta – zgodnie z danymi Microsoft, ponad 99,99% kont z włączonym MFA pozostaje bezpiecznych, a ryzyko przejęcia spada o ok. 99,22% nawet przy wycieku hasła.

Bezpieczniejsze metody 2FA/MFA i sprzętowe klucze bezpieczeństwa:

  • aplikacje jednorazowych kodów (np. Google Authenticator, Microsoft Authenticator, Authy),
  • klucze sprzętowe U2F/FIDO2/WebAuthn (np. YubiKey, Google Titan Key),
  • dane biometryczne i tokeny zgodne ze standardami FIDO2.

Klucze FIDO2/WebAuthn są odporne na phishing – przeglądarka wiąże uwierzytelnienie z konkretną domeną, uniemożliwiając użycie klucza na fałszywej stronie.

Filtrowanie antyspamowe i narzędzia techniczne

Dobrze skonfigurowana poczta i przeglądarka znacząco zmniejszą ekspozycję na phishing. Warto wdrożyć:

  • filtry antyspamowe oparte na reputacji i ML (np. SpamAssassin, Barracuda),
  • standardy uwierzytelniania domen e-mail: SPF, DKIM, DMARC,
  • mechanizmy reputacyjne przeglądarek (Google Safe Browsing, Microsoft SmartScreen),
  • oprogramowanie antywirusowe i zapory sieciowe z modułami antyphishingowymi.

Aktualizacje oprogramowania i wdrażanie zabezpieczeń

Aktualizuj systemy, przeglądarki i aplikacje na bieżąco – przestarzałe wersje mają znane luki. Zapewnij ochronę antywirusową także na telefonie i tablecie. Twórz regularne kopie zapasowe (offline lub w chmurze) i włącz powiadomienia o transakcjach w bankowości elektronicznej.

Bezpieczeństwo w sieciach publicznych

W publicznym Wi‑Fi stosuj proste zasady minimalizujące ryzyko:

  • unikaj logowania do banku i systemów firmowych bez VPN,
  • korzystaj tylko z HTTPS i zaufanych sieci z szyfrowaniem WPA2/WPA3,
  • preferuj udostępnianie internetu z telefonu zamiast otwartych, niezabezpieczonych hotspotów.

Działania po podejrzeniu lub potwierdzeniu ataku

Natychmiastowe kroki

Postępuj według poniższej sekwencji działań:

  1. Przerwij interakcję: nie klikaj linków, nie pobieraj załączników, zamknij podejrzaną stronę.
  2. Jeśli podałeś dane logowania – natychmiast zmień hasło (unikalne, min. 12 znaków) oraz wszędzie tam, gdzie było używane ponownie.
  3. Jeśli ujawniłeś dane karty – zablokuj kartę (hotlista) przez infolinię banku i zamów nową.
  4. Włącz (lub zaktualizuj) 2FA/MFA na wszystkich kluczowych kontach.
  5. Przeskanuj urządzenie oprogramowaniem antywirusowym.
  6. Zachowaj dowody: zrzuty ekranu, nagłówki e-mail, numery nadawcy.

Następnie sprawdź ustawienia bezpieczeństwa konta pod kątem przejęcia:

  • logowania i sesje – wyloguj nieznane urządzenia i lokalizacje,
  • adresy e-mail i numery telefonów – usuń obce wpisy,
  • przekierowania i filtry poczty – skasuj reguły tworzone bez Twojej wiedzy.

Zgłoszenie incydentu

Poinformuj właściwe instytucje zgodnie z charakterem zdarzenia:

  • Dział IT/bezpieczeństwa – natychmiastowe zgłoszenie w organizacji uruchamia analizę i działania naprawcze;
  • Inspektor Ochrony Danych (IOD) – ocena obowiązku zgłoszenia do UODO i ryzyk dla danych;
  • CERT Polska (CSIRT NASK) – SMS przekaż na 8080, e‑maile/strony zgłoś na [email protected] lub przez incydent.cert.pl;
  • Bank – zgłoś podejrzenie nieuprawnionych transakcji, zastrzeż instrumenty płatnicze;
  • Policja – w razie strat finansowych złóż zawiadomienie (opisz datę, kanał, sposób wyłudzenia).

Monitoring i weryfikacja

Po incydencie zwiększ nadzór nad swoimi danymi i finansami:

  • monitoruj historię transakcji i włącz powiadomienia o operacjach,
  • sprawdzaj logi i aktywność kont w narażonych serwisach,
  • kontroluj raporty w BIK pod kątem prób zaciągnięcia zobowiązań na Twoje dane.

Szybka reakcja, świadome nawyki i warstwowe zabezpieczenia znacząco ograniczają skutki ataków phishingowych i ryzyko ich ponowienia.