Phishing

Metoda oszustwa, w której przestępca podszywa się pod zaufaną osobę lub instytucję, by wyłudzić dane logowania, numery kart czy inne wrażliwe informacje. Najczęściej realizowany przez fałszywe e-maile lub strony.

Phishing to atak socjotechniczny, w którym napastnik podszywa się pod zaufaną instytucję lub osobę (bank, dostawcę poczty, kuriera, twojego szefa), żeby wyłudzić od ciebie dane: hasła, numery kart, kody 2FA albo żebyś kliknął w link i zainstalował malware. Nazwa to gra słów od fishing — atakujący zarzuca przynętę i czeka, aż ktoś się złapie. Kluczowe jest to, że phishing celuje w człowieka, nie w lukę w kodzie. Możesz mieć najnowsze łatki i firewall, a i tak klikniesz, bo wiadomość wygląda jak prawdziwa.

Jak to działa

Schemat jest zwykle ten sam: dostajesz wiadomość, która wywołuje emocję — strach („twoje konto zostanie zablokowane”), pośpiech („masz 24 godziny”) albo pokusę („dopłać 1,50 zł, by odebrać paczkę”). Link prowadzi do strony łudząco podobnej do oryginału, ale na innej domenie, np. g00gle-login.com zamiast google.com. Wpisujesz tam dane, a one lecą prosto do atakującego.

Warto znać odmiany: spear phishing to atak spersonalizowany pod konkretną osobę, whaling celuje w prezesów i dyrektorów, smishing idzie przez SMS, a vishing przez telefon. Im więcej napastnik wie o tobie (z LinkedIna, wycieków danych), tym wiarygodniejsza przynęta.

Przykład z praktyki

W zespołach security testuje się odporność pracowników narzędziem Gophish (open source). Stawiasz je np. tak:

docker run -d -p 3333:3333 -p 8080:8080 gophish/gophish

Potem definiujesz sending profile (serwer SMTP), szablon maila „Resetuj hasło”, klonujesz prawdziwą stronę logowania jako landing page i odpalasz kampanię na wybraną grupę. Gophish raportuje, kto otworzył maila, kto kliknął link i kto wpisał dane. To legalne, bo robisz to za zgodą organizacji — taki kontrolowany test to phishing simulation, podstawa szkoleń security awareness.

Częste błędy i mity

  • „Kłódka HTTPS znaczy, że strona jest bezpieczna” — nie. Certyfikat TLS dostaje dziś każdy za darmo, w tym oszust. Kłódka mówi tylko, że połączenie jest szyfrowane, nie że domena jest uczciwa.
  • „Po nadawcy poznam fałszywkę” — pole From da się sfałszować (spoofing). Sprawdzaj realny adres i najeżdżaj na link, zanim klikniesz.
  • „Mnie to nie dotyczy, jestem ostrożny” — dobrze zrobiony spear phishing łapie też ekspertów. To gra liczb i psychologii, nie inteligencji.

Najlepsza obrona to nawyki: weryfikuj adres domeny, nie podawaj kodów 2FA na żądanie, włącz klucze sprzętowe (FIDO2/WebAuthn) zamiast samych haseł, a w razie wątpliwości zadzwoń do instytucji oficjalnym numerem — nie tym z wiadomości.

Pojęcia powiązane: social engineering, spoofing, malware, ransomware, 2FA/MFA, DMARC, SPF, security awareness.