Co to jest phishing — definicja, rodzaje ataków i jak się skutecznie chronić
Phishing to cyberatak polegający na podszywaniu się pod zaufaną osobę lub instytucję w celu wyłudzenia danych logowania, danych karty płatniczej lub zainstalowania złośliwego oprogramowania na urządzeniu ofiary. Nazwa pochodzi od angielskiego słowa fishing (wędkowanie) — atakujący zarzuca przynętę i czeka, aż ofiara „połknie haczyk".
W skrócie
- Phishing to oszustwo internetowe polegające na podszywaniu się pod zaufane instytucje (banki, urzędy, firmy kurierskie)
- Najczęstszy kanał ataku to fałszywy e-mail z linkiem do spreparowanej strony logowania
- Celem jest wyłudzenie haseł, danych karty lub nakłonienie do uruchomienia złośliwego pliku
- Rozpoznać go można po: pilnym tonie wiadomości, błędach językowych, podejrzanym adresie nadawcy i fałszywym adresie URL
- Antywirus częściowo chroni przed phishingiem, ale nie zastępuje czujności użytkownika
- Najskuteczniejsza ochrona to weryfikacja nadawcy, uwierzytelnianie dwuskładnikowe i aktualne oprogramowanie systemowe
- W Polsce phishing jest przestępstwem ściganym z art. 287 Kodeksu karnego (oszustwo komputerowe)
Pełna definicja phishingu
Phishing należy do kategorii ataków socjotechnicznych — nie wykorzystuje bezpośrednio luk w oprogramowaniu, lecz ludzką psychologię. Przestępca konstruuje przekaz, który wzbudza zaufanie (autorytet instytucji), pilność (groźba zablokowania konta) lub ciekawość (nieodebrana przesyłka), skłaniając ofiarę do działania bez zastanowienia.
Techniczny mechanizm ataku jest zwykle prosty:
- Ofiara otrzymuje wiadomość e-mail, SMS lub komunikat w mediach społecznościowych z linkiem lub załącznikiem.
- Link prowadzi do fałszywej strony, która wygląda identycznie jak oryginał — np. panel logowania banku lub serwisu Microsoft 365.
- Wpisane przez ofiarę dane trafiają bezpośrednio do atakującego.
- Przestępca używa wyłudzonych danych do przejęcia konta, kradzieży środków lub dalszych ataków.
Phishing jest dziś najczęstszą formą cyberprzestępczości na świecie. Według raportu CERT Polska za rok 2023, stanowił on ponad 64% wszystkich zgłoszonych incydentów bezpieczeństwa w Polsce.
Historia phishingu — od lat 90. do dziś
| Okres | Wydarzenie |
|---|---|
| ~1994 | Pierwsze ataki phishingowe wymierzone w użytkowników AOL — przestępcy podszywali się pod pracowników serwisu, by wyłudzić hasła |
| 1996 | Termin „phishing" po raz pierwszy pojawia się w grupach dyskusyjnych Usenet |
| 2003–2005 | Masowe kampanie e-mailowe wymierzone w klientów banków (Bank of America, PayPal, eBay) |
| 2011 | Atak spear-phishingowy na RSA Security — skradziono dane uwierzytelniające do tokenów SecurID używanych przez rządy i korporacje |
| 2016 | Phishing e-mailowy doprowadził do wycieku korespondencji sztabu wyborczego Hillary Clinton (kampania prezydencka USA) |
| 2020–2023 | Dynamiczny wzrost phishingu covidowego (fałszywe strony szczepień, dofinansowania rządowe) oraz ataków na użytkowników Microsoft 365 i Google Workspace |
| 2024–2025 | Phishing generowany przez sztuczną inteligencję — spersonalizowane wiadomości bez błędów językowych, deepfake głosowy jako nowy wektor ataku |
Rodzaje phishingu
E-mail phishing
Najpowszechniejszy typ. Przestępca wysyła masowe wiadomości e-mail podszywając się pod bank, operatora telekomunikacyjnego, firmę kurierską (InPost, DHL) lub serwis streamingowy. Wiadomość zawiera link do fałszywej strony logowania lub zainfekowany załącznik (najczęściej plik .docx, .pdf lub .zip z makrem).
Spear phishing
Ukierunkowana wersja ataku — przestępca wcześniej zbiera informacje o konkretnej osobie (z LinkedIn, firmowej strony www, mediów społecznościowych) i konstruuje spersonalizowaną wiadomość. Trudniejszy do wykrycia; stosowany głównie wobec pracowników działów finansowych i IT.
Smishing
Phishing realizowany przez SMS. Typowy przykład w Polsce: fałszywa wiadomość od InPost z informacją o niedopłacie za przesyłkę. Link prowadzi do fałszywej bramki płatności.
Vishing
Atak głosowy — przestępca dzwoni podszywając się pod pracownika banku lub policji i nakłania ofiarę do podania kodu BLIK lub zainstalowania aplikacji zdalnego dostępu (TeamViewer, AnyDesk).
Pharming
Technicznie zaawansowany wariant: atakujący manipuluje ustawieniami serwera DNS lub plikiem hosts na komputerze ofiary, przekierowując ruch z prawdziwej strony banku na fałszywą — bez wysyłania jakiejkolwiek wiadomości.
Clone phishing
Przestępca kopiuje legalną wiadomość e-mail (np. fakturę od dostawcy), podmienia w niej link lub załącznik na złośliwy i wysyła jako „ponowione" lub „zaktualizowane" potwierdzenie.
Phishing a inne cyberataki — tabela porównawcza
| Cecha | Phishing | Malware (złośliwe oprogramowanie) | Ransomware | Atak brute-force |
|---|---|---|---|---|
| Główny wektor | Psychologiczny (socjotechnika) | Techniczny (luka w oprogramowaniu) | Techniczny + socjotechniczny | Techniczny (siłowe łamanie haseł) |
| Cel atakującego | Dane logowania, dane karty | Kontrola systemu, kradzież danych | Okup za odszyfrowanie plików | Dostęp do konta |
| Wymaga działania ofiary | Tak (kliknięcie, wpisanie danych) | Często tak (uruchomienie pliku) | Często tak | Nie |
| Skuteczna ochrona | Czujność + 2FA + filtr antyspamowy | Aktualne oprogramowanie + antywirus | Kopie zapasowe + aktualizacje | Silne hasła + 2FA |
| Wykrywalność przez antywirus | Częściowa | Wysoka | Wysoka | Niska |
Jak rozpoznać phishing — sygnały ostrzegawcze
Ataki phishingowe mają charakterystyczne cechy, które — jeśli wiesz, czego szukać — pozwalają je rozpoznać zanim wyrządzą szkodę.
Adres nadawcy i URL: Fałszywy e-mail może pochodzić z domeny podobnej do oryginału, np. @pkobp-logowanie.com zamiast @pkobp.pl. Zawsze sprawdzaj pełny adres e-mail, nie tylko wyświetlaną nazwę. Przed kliknięciem najedź kursorem na link — dolny pasek przeglądarki pokaże prawdziwy adres docelowy.
Ton i treść wiadomości: Phishing niemal zawsze stosuje presję czasową: „Twoje konto zostanie zablokowane w ciągu 24 godzin", „Natychmiast potwierdź tożsamość". Prawdziwe banki i instytucje nie komunikują się w ten sposób.
Prośba o dane wrażliwe: Żaden bank, urząd skarbowy ani firma technologiczna nie prosi o podanie pełnego numeru karty, PIN-u ani hasła przez e-mail lub SMS.
Błędy językowe i wizualne: Masowy phishing często zawiera literówki, nienaturalne sformułowania lub nieaktualne logo. Spear phishing bywa jednak bezbłędny — tu sama poprawność językowa nie jest dowodem autentyczności.
Jak się chronić przed phishingiem
Uwierzytelnianie dwuskładnikowe (2FA) to najskuteczniejszy pojedynczy środek ochrony. Nawet jeśli przestępca przechwyci hasło, bez drugiego składnika (kodu SMS, aplikacji uwierzytelniającej, klucza sprzętowego) nie zaloguje się na konto.
Aktualne oprogramowanie systemowe eliminuje luki, przez które złośliwe załączniki mogłyby uruchomić się automatycznie. Regularne aktualizacje systemu Windows oraz pakietu Microsoft 365 zamykają znane podatności.
Filtr antyspamowy i ochrona poczty — nowoczesne rozwiązania klasy Microsoft Defender for Office 365 analizują treść wiadomości, reputację domeny nadawcy i zawarte linki, blokując większość kampanii phishingowych zanim dotrą do skrzynki odbiorczej.
Weryfikacja przed działaniem: Jeśli otrzymasz podejrzaną wiadomość rzekomo od banku — nie klikaj w link, lecz wejdź na stronę banku samodzielnie, wpisując adres w przeglądarce. Zadzwoń na oficjalną infolinię i zapytaj, czy wiadomość jest prawdziwa.
Szkolenia pracowników są obowiązkowym elementem ochrony w każdej organizacji. Większość skutecznych ataków na firmy zaczyna się od jednego pracownika, który kliknął w link.
Więcej o zabezpieczaniu środowiska firmowego przeczytasz w artykule Jak skonfigurować Microsoft Defender dla małej firmy oraz w poradniku Uwierzytelnianie dwuskładnikowe w Microsoft 365.
Phishing a RODO — odpowiedzialność prawna
Jeśli phishing doprowadzi do wycieku danych osobowych w organizacji, administrator danych jest zobowiązany do zgłoszenia incydentu Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) w ciągu 72 godzin od jego wykrycia — na mocy art. 33 RODO. Brak zgłoszenia grozi karą finansową. Obowiązek ten spoczywa na organizacji niezależnie od tego, czy była ofiarą przestępstwa.
Organizacje przetwarzające dane osobowe powinny wdrożyć techniczne środki ochrony (2FA, szyfrowanie, zarządzanie dostępem) oraz udokumentować te działania jako element rejestru czynności przetwarzania. Szczegółowe wymagania omówiamy w artykule RODO w małej firmie — obowiązki administratora danych.
Częste pytania
Na czym polega phishing?
Phishing polega na podszywaniu się pod zaufaną instytucję lub osobę w celu skłonienia ofiary do ujawnienia poufnych danych (hasła, dane karty płatniczej, dane logowania) lub uruchomienia złośliwego oprogramowania. Atakujący konstruuje fałszywą stronę lub wiadomość, która wygląda jak komunikacja od banku, urzędu lub popularnej usługi, a następnie wykorzystuje zdobyte dane do kradzieży pieniędzy lub dostępu do kont.
Jakie są objawy phishingu?
Charakterystyczne sygnały to: wiadomość z pilnym wezwaniem do działania (groźba zablokowania konta, niedopłata za przesyłkę), adres nadawcy nieznacznie różniący się od oryginalnego (np. support@paypal-secure.com zamiast @paypal.com), link prowadzący na adres URL niepasujący do oficjalnej domeny instytucji, prośba o wpisanie hasła lub danych karty na stronie osiągalnej przez ten link. W przypadku vishingu — nieznany dzwoniący podający się za pracownika banku, który prosi o kod BLIK lub zainstalowanie aplikacji.
Jakie są przykłady phishingu?
Typowe przykłady w Polsce: SMS od „InPost" z informacją o niedopłacie 0,89 zł za przesyłkę i linkiem do fałszywej bramki płatności; e-mail od „PKO BP" z informacją o podejrzanym logowaniu i prośbą o potwierdzenie tożsamości przez link; wiadomość od „Urzędu Skarbowego" z informacją o zwrocie podatku wymagającym weryfikacji danych karty; fałszywy e-mail od „Microsoft" z ostrzeżeniem o wygaśnięciu licencji Microsoft 365 i linkiem do odnowienia.
Czy antywirus wykryje phishing?
Antywirus wykrywa phishing częściowo. Większość nowoczesnych pakietów ochronnych (w tym Microsoft Defender) zawiera moduł ochrony przeglądarki, który blokuje dostęp do znanych złośliwych domen i ostrzega przed podejrzanymi stronami. Jednak nowe domeny phishingowe (tzw. zero-day phishing) pojawiają się setki razy dziennie i przez kilka godzin mogą nie być jeszcze w bazach danych. Antywirus nie zastąpi zatem czujności użytkownika — jest elementem ochrony, nie jej całością.
Co zrobić, jeśli padłem ofiarą phishingu?
Działaj natychmiast: zmień hasło do konta, którego dane mogły zostać przechwycone, włącz uwierzytelnianie dwuskładnikowe, skontaktuj się z bankiem jeśli podałeś dane karty płatniczej (poproś o zablokowanie karty i transakcji), zgłoś incydent do CERT Polska (cert.pl) lub na policję. Jeśli incydent dotyczy firmowych danych osobowych — zgłoś go do PUODO w ciągu 72 godzin.
Czym różni się phishing od spear phishingu?
Phishing to masowa kampania wysyłana do tysięcy odbiorców jednocześnie — przestępca liczy na to, że choćby niewielki procent kliknie. Spear phishing to atak ukierunkowany na konkretną osobę lub organizację: atakujący wcześniej zbiera informacje o ofierze (stanowisko, współpracownicy, używane narzędzia) i tworzy spersonalizowaną wiadomość, która wygląda wiarygodnie. Spear phishing jest znacznie trudniejszy do wykrycia.
Czy phishing jest przestępstwem w Polsce?
Tak. Phishing jest kwalifikowany jako oszustwo komputerowe (art. 287 Kodeksu karnego) oraz — w zależności od okoliczności — jako nieuprawniony dostęp do systemu informatycznego (art. 267 k.k.) lub kradzież tożsamości. Kara za oszustwo komputerowe wynosi od 3 miesięcy do 5 lat pozbawienia wolności. Incydenty należy zgłaszać na policję lub do CERT Polska.
Powiązane artykuły
- Czym jest ransomware i jak chronić firmę przed atakiem
- Microsoft Defender — wbudowana ochrona Windows 11
- Jak bezpiecznie zarządzać hasłami w firmie
- RODO w małej firmie — obowiązki administratora danych
Chroń swoje urządzenia legalnym oprogramowaniem
Podstawą skutecznej ochrony przed phishingiem i złośliwym oprogramowaniem jest aktualne, oryginalne oprogramowanie systemowe. Przestarzałe lub nielicencjonowane kopie Windows nie otrzymują aktualizacji zabezpieczeń — a to właśnie nieaktualne systemy są najczęstszym celem ataków.
W KluczeSoft.pl znajdziesz oryginalne klucze licencyjne Windows 10, Windows 11 oraz Microsoft 365 w cenach znacznie niższych niż w sklepach stacjonarnych — legalnie, bezpiecznie i z gwarancją aktywacji.