Phishing jako zagrożenie dla bezpieczeństwa bankowości cyfrowej

Patryk Król

doi:10.26354/bb.2.1.94.2024

Data publikacji : 2024-06-14

Tom 94 Nr 1 (2024)

Phishing jako zagrożenie dla bezpieczeństwa bankowości cyfrowej

Patryk Król

https://orcid.org/0000-0003-4079-8849

DOI: https://doi.org/10.26354/bb.2.1.94.2024

Abstrakt

Przedmiot i cel pracy: Celem niniejszego artykułu jest analiza zagrożenia phishingiem jako głównego wyzwania dla bezpieczeństwa bankowości cyfrowej. Praca skupia się na identyfikacji metod ataków phishingowych, ocenie skuteczności działań obronnych podejmowanych przez instytucje finansowe oraz proponuje rozwiązania mające na celu zminimalizowanie ryzyka dla klientów.

Materiały i metody: Analiza oparta jest na badaniach przeprowadzonych przez różne instytucje, w tym CERT Polska, oraz na analizie konkretnych przypadków ataków phishingowych udokumentowanych przez te organizacje. Wykorzystane zostały również dane statystyczne dotyczące świadomości społeczeństwa w zakresie zagrożeń phishingiem. Metody badawcze obejmują również studium przypadków ataków, analizę przykładów fałszywych stron bankowych oraz propozycje działań prewencyjnych.

Wyniki: Analiza wykazała, że phishing nadal stanowi istotne zagrożenie dla sektora bankowego, a ataki tego rodzaju są często skierowane na klientów instytucji finansowych. Badania pokazują, że mimo działań obronnych podejmowanych przez banki, skuteczność ataków phishingowych utrzymuje się, co wskazuje na potrzebę ciągłego doskonalenia strategii bezpieczeństwa.

Wnioski: Praca sugeruje, że banki powinny kontynuować edukację swoich klientów w zakresie rozpoznawania zagrożeń phishingowych. Ponadto, wprowadzenie dodatkowych metod autoryzacji, takich jak klucze U2F, może stanowić skuteczną ochronę przed atakami. Warto również zwrócić uwagę na grupy bardziej narażone na ataki phishingowe, takie jak osoby starsze, i dostosować działania edukacyjne do ich potrzeb. Praca wskazuje na konieczność ciągłego dostosowywania strategii bezpieczeństwa banków do ewoluującego krajobrazu cyberbezpieczeństwa.

Słowa kluczowe:

phishing, spear phishing, whaling, smishing, vishing, calendar phishing, pharming

Kody JEL

L86

Szczegóły

Bibliografia

Statystyki

Autorzy

Pobierz pliki

pdf

Zasady cytowania

Król, P. (2024). Phishing jako zagrożenie dla bezpieczeństwa bankowości cyfrowej. Bezpieczny Bank, 94(1), 25–42. https://doi.org/10.26354/bb.2.1.94.2024

Wskaźniki altmetryczne

Cited by / Share

Licencja

Utwór dostępny jest na licencji Creative Commons Uznanie autorstwa – Użycie niekomercyjne – Na tych samych warunkach 4.0 Międzynarodowe.

Bibliografia

Alghenaim M.F., Bakar N.A.A., Rahim F.A. (2022), Awareness of Phishing Attacks in the Public Sector: Review Types and Technical Approaches, [w:] International Conference on Emerging Technologies and Intelligent Systems (pp. 616–629). Cham: Springer International Publishing.

Alkhalil Z., Hewage C., Nawaf L., & Khan I. (2021), Phishing attacks: A recent comprehensive study and a new anatomy, „Frontiers in Computer Science”, 3, 563060.

Bankmillennium.pl (n.d.), Nowy wymiar uwierzytelnienia, https://www.bankmillennium.pl/ przedsiebiorstwa/bankowosc-elektroniczna/bank-w-internecie/millenet/bezpieczenstwo/ token-sprzetowy-z-czytnikiem (dostęp 15.04.2024).

Bieńkowska D., Falkowski-Gilski P. (2021), Nauka w świecie cyfrowym okiem młodego inżynie- ra-phishing w mediach elektronicznych, Pismo PG.

Blikowska J. (2023), Banki w końcu zaczynają wprowadzać klucze U2F. Hakerom będzie trud- niej – rp.pl. Rzeczpospolita, https://pieniadze.rp.pl/konta-bankowe/art39376181-banki

-polskie-klucze-u2f-hakerom-bedzie-trudniej

CERT Polska (2022), Kampanie phishingowe wykorzystujące wizerunek banków, https://cert. pl/posts/2022/04/banki-phishing/ (dostęp 25.12.2023).

CERT Polska (2023a), Kampanie phishingowe na serwisy pocztowe, https://cert.pl/ posts/2023/04/phishing-webmail/ (dostęp 7.04.2024).

CERT Polska (2023b), Kampania phishingowa wykorzystująca wizerunek Ministerstwa Finan- sów, https://cert.pl/posts/2023/01/phishing-govpl/ (dostęp 7.04.2024).

CERT Polska (2023c), Raport roczny z działalności CERT Polska 2022 – „Krajobraz bezpie- czeństwa polskiego internetu”, https://cert.pl/uploads/docs/Raport_CP_2022.pdf (dostęp 7.04.2024).

Ciulkin-Sarnocińska K. (2015), Phishing-specyficzna forma pozyskiwania danych newralgicz- nych, [w:] Współczesne oblicza bezpieczeństwa, red. nauk. E.M. Guzik-Makaruk, E.W. Pływa- czewski (pp. 113–121). Temida 2, przy współpracy i wsparciu finansowym Wydziału Prawa Uniwersytetu w Białymstoku.

Credit Agricole (2024), Tabela opłat i prowizji kont dla osób fizycznych, https://static.credi- t-agricole.pl/asset/t/o/i/toip-indywidualni-01022024_28576.pdf (15.04.2024).

CSIRT KNF (2023), Cyberzagrożenia w sektorze finansowym, https://cebrf.knf.gov.pl/ima- ges/Cyberzagroenia_w_sektorze_finansowym_2022.pdf (dostęp 7.04.2024).

Digital Fingerprints (2022), OTP, TOTP i HOTP a ochrona haseł. Co oznaczają te skróty i dlaczego warto je znać?, https://fingerprints.digital/otp-totp-i-hotp-a-ochrona-hasel/ (dostęp 8.04.2024).

Górka M. (2018), Kultura bezpieczeństwa w kontekście znaczenia informacji jako elementu społeczno-kulturowego, „Przegląd Politologiczny”, (2).

Gradzi D. (2017), Bezpieczeństwo płatności elektronicznych jako element cyberbezpieczeństwa państwa–przegląd regulacji prawnych, „Przegląd Bezpieczeństwa Wewnętrznego”, 9(16).

Grzywacz J., Jagodzińska-Komar E. (2018), Rola banków i sektora FinTech w świetle implementacji dyrektywy PSD2, „Kwartalnik Kolegium Ekonomiczno-Społecznego Studia i Prace”, (2).

Guga D. (2007), Bezpieczeństwo transakcji elektronicznych wykorzystujących infrastrukturę klucza publicznego, „Acta Universitatis Lodziensis. Folia Oeconomica”, 211.

Hałasik-Kozajda M., Olbryś M. (2021), Skutki implementacji dyrektywy o usługach płatniczych (PSD2), „Bank i Kredyt”, 52(3).

Iwańczuk-Kaliska A., Marszałek P., Schmidt K., Warchlewska A. (2021), Ocena zmian na rynku płatności w Polsce. Raport opracowany na zlecenie Programu Analityczno-Badawczego Fun- dacji Warszawski Instytut Bankowości (Sygn. Wib Pab 10/2021).

Jagodzińska-Komar E. (2016), Zmiany w systemie SEPA i wpływ Dyrektywy PSD2 na rynek usług płatniczych, „Zeszyty Naukowe PWSZ w Płocku. Nauki Ekonomiczne”, 1(23).

Jancelewicz J. (2022), Phishing i pokrewne ataki socjotechniczne jako zagrożenie dla organiza- cji pozarządowych, „Kwartalnik Trzeci Sektor”, (59–60 (3–4)).

Kalaharsha P., Mehtre B.M. (2021), Detecting Phishing Sites--An Overview. arXiv preprint arXiv:2103.12739.

Kim, S., Kang, J.Y. i Kim, Y. (2015), Countermeasures against phishing/pharming via portal site for general users, „The Journal of Korean Institute of Communications and Information Sci- ences”, 40(6).

Klucz do (cyber)bezpieczeństwa – Baza wiedzy – Portal Gov.pl. (2022) Baza Wiedzy, https:// www.gov.pl/web/baza-wiedzy/klucz-do-cyberbezpieczenstwa-

Konieczny P. (2014), Uwaga klienci PKO i Citi banku! Trwa potężna kampania phishingowa, z kont skradziono już kilkanaście tysięcy złotych, Niebezpiecznik.pl, https://niebezpiecznik. pl/post/uwaga-klienci-pko-i-citi-banku-trwa-potezna-kampania-phishingowa-z-kont-skra- dziono-juz-kilkanascie-tysiecy-zlotych/ (dostęp 25.12.2023).

Konieczny P. (2022), Uwaga! Ktoś podszywa się pod BLIK, Niebezpiecznik.pl, https://niebez- piecznik.pl/post/uwaga-ktos-podszywa-sie-pod-blik/ (dostęp 25.12.2023).

Kotliński G. (2022), Dylematy banków spółdzielczych w dobie rewolucji cyfrowej 4.0 ze szcze- gólnym uwzględnieniem wyzwań w sferze marketingu, [w:] G. Kotliński (red.), Bankowość komercyjna i spółdzielcza w Polsce – refleksje po trzech dekadach transformacji. Szkice ku pamięci Doktora Ryszarda Mikołajczaka (s. 215–238). Poznań: Wydawnictwo Uniwersytetu Ekonomicznego w Poznaniu. https://doi.org/10.18559/978-83-8211-152-1/12

KPMG (2024), Barometr cyberbezpieczeństwa. Na fali, czy w labiryncie regulacji?, https:// assets.kpmg.com/content/dam/kpmg/pl/pdf/2024/02/pl-Raport-KPMG-w-Polsce-Baro- metr-cyberbezpiecze%C5%84stwa-2024.pdf (dostęp 6.04.2024).

Krzysztoszek M. (2017), Bankowość elektroniczna w teorii i praktyce, Komisja Nadzoru Fi- nansowego.

Laszczak M. (2019), Zarządzanie bezpieczeństwem w erze cyfrowej, „Bezpieczeństwo. Teoria i Praktyka”, 37(4).

Matacz M., Vodičková W. (2023), Zjawisko phishingu w Polsce. De Securitate et Defensione,

„O Bezpieczeństwie i Obronności”, 9(1).

mbank.pl (2023), Potwierdzaj tożsamość w aplikacji mobilnej, https://www.mbank.pl/indywi- dualny/aplikacja-i-serwis/pierwsze-kroki/potwierdzenie-tozsamosci/ (dostęp 25.12.2023).

Niebezpiecznik.pl (2013), Klienci iPKO – uwaga na phishing!, https://niebezpiecznik.pl/ post/klienci-ipko-uwaga-na-phishing/ (dostęp 25.12.2023).

Niebezpiecznik.pl (2014), Uwaga klienci PKO i Citi banku! Trwa potężna kampania phishingo- wa, z kont skradziono już kilkanaście tysięcy złotych, https://niebezpiecznik.pl/post/uwaga

-klienci-pko-i-citi-banku-trwa-potezna-kampania-phishingowa-z-kont-skradziono-juz-kil- kanascie-tysiecy-zlotych/ (dostęp 6.04.2024).

Niebezpiecznik.pl (2018), Dlaczego (nie) warto używać aplikacji mobilnej do autoryzacji prze- lewów?, https://niebezpiecznik.pl/post/autoryzacja-mobilna-aplikacja-bank-przelewy/ (dostęp 15.04.2024).

Niebezpiecznik.pl (2021), Klucze U2F – pytania i odpowiedzi. Dlaczego hakerzy ich nienawi- dzą i dlaczego warto z nich korzystać?, https://niebezpiecznik.pl/post/klucze-u2f-pytania-i-odpowiedzi/ (dostęp 8.04.2024).

Niebezpiecznik.pl (2022a), Uwaga klienci ING!, https://niebezpiecznik.pl/post/uwaga-klien- ci-ing/ (dostęp 25.12.2023).

Niebezpiecznik.pl (2022b), Uwaga klienci mBanku!, https://niebezpiecznik.pl/post/uwaga

-klienci-mbanku-2/ (dostęp 25.12.2023).

Niebezpiecznik.pl (2023a), Uwaga klienci PKO!, https://niebezpiecznik.pl/post/uwaga

-klienci-pko/ (dostęp 25.12.2023).

Niebezpiecznik.pl (2023b), Uwaga klienci banku PKO!, https://niebezpiecznik.pl/post/uwa- ga-klienci-banku-ipko/ (dostęp 25.12.2023).

Oleksiewicz I. (2019), Bezpieczeństwo informacyjne w cyberprzestrzeni a stany nadzwyczaj- ne Rzeczypospolitej Polskiej, „Zeszyty Naukowe Politechniki Częstochowskiej. Zarządzanie”, (33), 144–153.

Piłat K., Pawłowski M.T., Kozieł G. (2022), Analiza wiedzy o aspektach cyberbezpieczeństwa i logowania dwuetapowego w społeczeństwie, „Journal of Computer Sciences Institute”, 23.

Piotrowski Z., Różanowski K., Gajewski P. (2012), Bezpieczeństwo połączeń w telefonii PSTN,

„Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki”, 6(8).

Pisarewicz P., Podlewski J. (2023), Cyberbezpieczeństwo polskiego sektora ubezpieczeniowego w kontekście krajowych i unijnych regulacji prawnych, „Bank i Kredyt”, 54(5).

Pitera R. (2017), Współczesne problemy i zagrożenia cyberbezpieczeństwa w sektorze usług bankowości elektronicznej, „Przegląd Nauk o Obronności”, 2(4).

pkobp.pl (2022), Weryfikacja pracownika banku w IKO, https://www.pkobp.pl/klient-indy- widualny/aplikacja-iko-ipko/bezpieczenstwo/jak-sprawdzic-czy-dzwoni-pracownik-banku (dostęp 25.12.2023).

Popik A., Gryglicka A. (2022), Ocena poziomu bezpieczeństwa użytkowników rachunków ban- kowych i analiza zachowań banków w sytuacji wystąpienia incydentu zagrożenia bezpieczeń- stwa, „Finanse i Prawo Finansowe”.

Rabka M. (2020), Internet XXI wieku–pułapka zagrożeń dla dzieci, młodzieży i osób starszych w dobie pandemii Covid-19, „Współczesne Problemy Zarządzania”, 8(1(16)).

Rojek, M. (2019), Cyberprzestrzeń jako miejsce międzypokoleniowego uczenia się. Przykład projektu „ICT Guides”, „Problemy Opiekuńczo-Wychowawcze”, 579(4).

Samcik M. (2019), Banki w pośpiechu likwidują karty-zdrapki i… tokeny. Co się stało. że token przestał spełniać wymogi bezpieczeństwa?, https://subiektywnieofinansach.pl/psd2-likwi- dacja-karty-zdrapki-token-sms-autoryzacyjny/ (dostęp 15.04.2024).

Schuetz S., Lowry P.B., Thatcher J. (2016), Defending against spear-phishing: Motivating users through fear appeal manipulations. In 20th Pacific Asia Conference on Information Systems (PACIS 2016), Chiayi, Taiwan, June.

Sharevski F., Devine A., Pieroni E., & Jachim P. (2022), Gone Quishing: A Field Study of Phishing with Malicious QR Codes. arXiv preprint arXiv:2204.04086.

Singh J. (2011), Detection of Phishing e-mail, IJCST, 2(1).

SMSAPI (2024), Bezpieczeństwo cyfrowe Polaków. Oszustwa internetowe i zagrożenia komu- nikacji mobilnej, https://www.smsapi.pl/static/files/Bezpieczenstwo_cyfrowe_Polakow-Ra- port_SMSAPI_2024.pdf (dostęp 6.04.2024).

Srinivas S., Balfanz D., Tiffany E., Czeskis A. (2015), Universal 2nd factor (U2F) overview, „FIDO Alliance Proposed Standard”, 15.

Stefanicki R. (2023), „Mamo, miałam wypadek!”. Uważaj, bo sztuczna inteligencja klonuje głos i wyłudza pieniądze, wyborcza.biz, https://wyborcza.biz/biznes/7,177150,30152534,mamo

-mialam-wypadek-uwazaj-bo-sztuczna-inteligencja-klonuje.html (dostęp 6.04.2024).

Thakur T., Verma R. (2014), Catching classical and hijack-based phishing attacks. In Interna- tional Conference on Information Systems Security (pp. 318–337). Cham: Springer Interna- tional Publishing.

Xopero. (2021), Cyberbezpieczeństwo Trendy 2021.

Xu T., Singh K., Rajivan P. (2023), Personalized persuasion: Quantifying susceptibility to infor- mation exploitation in spear-phishing attacks, „Applied Ergonomics”, 108, 103908.

Yeboah-Boateng E.O., Amanor P.M. (2014), Phishing, SMiShing & Vishing: an assessment of threats against mobile devices, „Journal of Emerging Trends in Computing and Information Sciences”, 5(4).

Zagańczyk M. (2019), Bank Millennium wprowadza token sprzętowy z czytnikiem i technologią Cronto firmy OneSpan, https://www.telepolis.pl/fintech/fintech/bank-millennium-wprowa- dza-token-sprzetowy-z-czytnikiem-i-technologia-cronto-firmy-onespan (dostęp 15.04.2024).

ZBP (2022), Raport: Cyberbezpieczny portfel, https://www.zbp.pl/getmedia/bebff99e

-f5b7-4644-aec3-4ad3ff5c970a/Cyberbezpieczny_portfel_2022a (dostęp 7.04.2024).