Phishing

Inżynieria społeczna przez fałszywe wiadomości

Także zwany: phishing e-mailowy, wyłudzanie danych

Phishing to atak inżynierii społecznej, w którym napastnik podszywa się pod zaufany podmiot (bank, NFZ, KSeF, klient) aby wyłudzić login, hasło lub instalację malware. 41% ataków na MŚP zaczyna się od phishingu (Verizon DBIR 2024). Pierwsza obrona: SPF + DKIM + DMARC, MFA, szkolenia, symulacje.

Phishing wykorzystuje pośpiech, autorytet i strach, by skłonić ofiarę do działania przed zastanowieniem. Najczęstsze warianty: e-mail (klasyczny phishing), SMS (smishing), telefon (vishing), spear phishing (ukierunkowany na konkretną osobę).

Czerwone flagi

Presja czasu (“konto zostanie zablokowane w 24h”), podejrzany adres nadawcy, literówki w URL, generyczne powitanie, prośba o dane wrażliwe, podejrzany załącznik. W 2026 r. AI generuje znacznie lepszą polszczyznę - tradycyjne wskazówki “źle przetłumaczone” nie wystarczają.

Obrona

Stos uwierzytelniania poczty (SPF + DKIM + DMARC) blokuje podszywanie pod waszą domenę. MFA odporne na phishing (FIDO2) blokuje większość kradzieży loginów. Regularne szkolenia + symulacje phishingu utrzymują klikalność <5%.