Phishing

Technika cyberataku polegająca na podszywaniu się pod zaufane źródła w celu wyłudzenia danych.

Data publikacji: 18-05-2025
Inne nazwy:
Wyłudzanie informacji

Definicja Phishingu

Phishing to forma ataku socjotechnicznego, w której napastnik podszywa się pod zaufane instytucje lub osoby w celu wyłudzenia poufnych informacji, takich jak dane logowania, numery kart płatniczych czy hasła. Najczęściej odbywa się za pośrednictwem fałszywych e-maili, wiadomości SMS (smishing), komunikatorów lub spreparowanych stron internetowych (spoofing domen).

Mechanizm działania

  1. Fałszywa komunikacja – wiadomość wyglądająca jak od znanego nadawcy (np. banku, dostawcy usług).
  2. Nacisk psychologiczny – wzbudzenie pilności („Twoje konto zostało zablokowane!”).
  3. Link do strony phishingowej – identycznie wyglądająca witryna, zbierająca dane użytkownika.
  4. Przejęcie danych – po ich wpisaniu ofiara nieświadomie przekazuje dane atakującemu.

Typowe formy phishingu

Typ ataku Opis
Spear phishing Ukierunkowany atak na konkretną osobę lub dział (np. księgowość).
Whaling Phishing na osoby na stanowiskach kierowniczych (CEO, CFO).
Clone phishing Podmiana oryginalnej wiadomości na fałszywą z linkiem do malware.
Vishing Wyłudzanie danych przez telefon (np. podszywanie się pod call center).
Smishing Phishing za pomocą SMS-ów zawierających złośliwe linki.

Skutki biznesowe i bezpieczeństwa

  • Kradzież tożsamości i dostępu do systemów.
  • Straty finansowe poprzez wyłudzenia przelewów.
  • Utrata reputacji i zaufania klientów.
  • Zakażenie malware (np. ransomware, trojany bankowe).
  • Naruszenie GPDR i obowiązek zgłoszenia incydentu.

Ochrona przed phishingiem

  • Filtry antyphishingowe w systemach pocztowych i przeglądarkach.
  • Szkolenia i testy socjotechniczne dla pracowników.
  • Dwuskładnikowe uwierzytelnianie (MFA) na kontach użytkowników.
  • Monitorowanie i blokada złośliwych domen przez SOC i Threat Intelligence (CTI).
  • Zgłaszanie podejrzanych wiadomości do zespołów CSIRT.

Regulacje i standardy

Standard / regulacja Znaczenie w kontekście phishingu
ISO 27001 Wymaga wdrożenia polityk ochrony przed socjotechniką.
NIS2 Nakazuje szkolenia i zgłaszanie incydentów phishingowych.
GPDR/RODO Phishing może prowadzić do naruszenia danych osobowych.

Trendy i nowe techniki phishingowe

  • Deepfake phishing – podszywanie się głosem lub wideo.
  • Phishing w komunikatorach – WhatsApp, Teams, Slack.
  • QRishing – ataki wykorzystujące kody QR przekierowujące na złośliwe strony.
  • AI phishing kits – automatyzacja treści i personalizacji kampanii.

Katalog Polskich Firm z Sektora Cyberbezpieczeństwa

Cyber Katalog to niezależna platforma gromadząca zweryfikowane polskie firmy specjalizujące się w cyberbezpieczeństwie. Naszą misją jest wspieranie decydentów w wyborze rzetelnych partnerów do ochrony zasobów cyfrowych.

Copyright © 2025 Cyber Katalog. Wszelkie prawa zastrzeżone.

Projekt i wykonanie: Silesian Solutions

Zespół Cyber Katalog nie świadczy usług doradczych przy wyborze dostawców. Naszą misją jest rozwój polskiej branży cybersecurity. Tworzymy niezależną przestrzeń, w której decydenci mogą łatwo nawiązywać kontakt ze sprawdzonymi firmami. To specjaliści oferujący zaawansowane usługi z zakresu ochrony cyfrowej i bezpieczeństwa IT.

Zwiększ widoczność w branży cyberbezpieczeństwa

Dodaj swoją firmę