k0nsult.cloud / ai-truth / ipIII / playbook-phishing
Playbook A — Phishing i socjotechnika
Reagowanie na phishing, smishing (SMS), vishing (głos) oraz oszustwa z podszyciem pod bank, urząd, kuriera, BLIK czy e-Doręczenia. Poziom 1 (cyber klasyczny). Priorytet typowy P1, podbijany do P0 przy potwierdzonej kompromitacji konta lub wycieku danych.
Phishing to najczęstszy punkt wejścia — usuń wektor, nie tylko pojedynczą wiadomość.
Wg raportów CERT Polska oszustwa komputerowe (w tym phishing) od lat dominują w statystyce zgłaszanych incydentów w PL PUBLIC CLAIM. W kontekście bankowym to najczęstszy prekursor przejęcia konta, nieautoryzowanej transakcji i wycieku danych klienta.
Problem — dlaczego to priorytet
Phishing jest tani, skalowalny i skuteczny, bo atakuje najsłabsze ogniwo — człowieka — omijając kontrole techniczne. W sektorze bankowym pojedyncze skuteczne wyłudzenie poświadczeń lub kodu autoryzacyjnego może prowadzić do:
- przejęcia konta klienta i nieautoryzowanego przelewu (P0 gdy potwierdzone),
- kompromitacji konta pracownika → dostęp do systemów wewnętrznych → eskalacja do ransomware / wycieku,
- wyłudzenia danych osobowych → wyzwolenie obowiązków RODO (art. 33/34),
- utraty reputacji i zaufania — podszycie pod markę banku uderza w klientów niebędących ofiarą technicznego włamania.
Wektory ataku
Email (phishing)
Fałszywe wezwania do „weryfikacji konta", faktury, powiadomienia o blokadzie. Link do strony logowania-klona lub załącznik z makrem.
SMS (smishing)
„Dopłata do paczki", „zawieszona przesyłka", „zaległość podatkowa". Link do bramki płatności-klona. Podszycie pod kuriera / urząd / bank.
Głos (vishing)
Telefon od „konsultanta banku / działu bezpieczeństwa" nakłaniający do podania kodu, instalacji aplikacji zdalnej lub przelewu na „konto techniczne".
Komunikatory
WhatsApp / Messenger / Telegram — „inwestycje", „BLIK od znajomego", podszycie pod bliską osobę z prośbą o kod BLIK.
Fałszywe logowanie
Domena łudząco podobna (typosquatting, IDN homoglify), pełny klon strony banku, przechwytywanie loginu, hasła i tokenu 2FA w czasie rzeczywistym (AiTM).
Deepfake / AI
Syntetyczny głos „prezesa" (CEO fraud) lub klienta, wideo-podszycie w weryfikacji zdalnej. Wektor rosnący — patrz Playbook J.
Podszycie instytucji
Bank, urząd skarbowy, ZUS, e-Doręczenia, BLIK, operator energii. Wysoka wiarygodność przez oficjalny wygląd i pilny ton.
QR / quishing
Kod QR w mailu, na plakacie lub „mandacie" prowadzący do strony-klona. Omija filtry treści bo URL jest w obrazie.
Rozwiązania warstwowe
Warstwa 1 — domena i poczta
| Kontrola | Cel | Docelowa konfiguracja |
SPF | Autoryzacja serwerów nadawczych | rekord z -all (hard fail), bez nadmiarowych include |
DKIM | Podpis kryptograficzny wiadomości | klucz ≥2048 bit, rotacja, podpis wszystkich domen wysyłkowych |
DMARC | Polityka wobec niezgodnych | ścieżka p=none → quarantine → reject + raporty RUA/RUF |
BIMI | Logo marki w skrzynce (po DMARC reject) | zweryfikowany certyfikat VMC — utrudnia podszycie wizualne |
| Monitoring domen | Wykrycie podobnych domen | alerty na typosquatting / homoglify / świeżo zarejestrowane domeny marki |
| Filtr bramki | Sandbox załączników i linków | detonacja URL/plików, przepisywanie linków, blokada makr z internetu |
Warstwa 2 — użytkownik i tożsamość
- FIDO2 / passkeys — klucze sprzętowe odporne na phishing (weryfikacja origin uniemożliwia AiTM). Priorytet dla kont uprzywilejowanych i dostępu do systemów krytycznych.
- Impossible travel / analiza sesji — detekcja logowania z niemożliwej geolokalizacji, nowego urządzenia, anomalii behawioralnej.
- AI literacy / świadomość — cykliczne szkolenia + kontrolowane symulacje phishingu, ze szczególnym naciskiem na vishing i deepfake głosowy.
- Zasada „bank nie prosi o kod" — utrwalona procedura: żaden kod autoryzacyjny / hasło nie jest podawany przez telefon ani wpisywany po kliknięciu w link.
Warstwa 3 — system zgłoszeń
- Przycisk „Zgłoś phishing" w kliencie poczty jednym kliknięciem przekazuje wiadomość do SOC z pełnymi nagłówkami.
- Parser — automatyczna ekstrakcja nadawcy, ścieżki (Received), URL-i, hashy załączników; korelacja z innymi zgłoszeniami tej samej kampanii.
- Ekstrakcja URL + screenshot — bezpieczne zrzucenie strony-klona (w izolacji) jako materiał dowodowy i podstawa do zgłoszenia domeny.
- Zasilanie mapy — potwierdzone kampanie trafiają na Threat Map i do Evidence Board.
Playbook — 9 kroków reakcji
ZGŁOSZENIE→TRIAGE→DOWÓD→ZASIĘG→BLOKADA→RESET→TAKEDOWN→KOMUNIKAT→WALIDACJA
Krok 1 — Przyjęcie i triage. Zgłoszenie z przycisku „Zgłoś phishing" lub od klienta. Analyst potwierdza, czy to phishing i czy dotyczy marki. Wstępny priorytet P1 (podnieś do P0 przy oznakach kliknięcia / podania danych).
Krok 2 — Zabezpieczenie dowodu. Zachowaj oryginał z pełnymi nagłówkami, wyekstrahuj URL i hashe załączników, wykonaj screenshot strony-klona w izolacji. Hash + znacznik czasu →
Evidence Layer.
Krok 3 — Ocena zasięgu. Ilu odbiorców dostało tę kampanię? Ilu kliknęło / podało dane? Zapytania do logów bramki i proxy. Ustal listę potencjalnie skompromitowanych kont.
Krok 4 — Blokada wektora. Reguła na bramce poczty (nadawca, temat, URL, hash), blokada domeny-klona na proxy/DNS, dodanie IoC do EDR. Zatrzymaj rozprzestrzenianie kampanii.
Krok 5 — Kwarantanna wiadomości. Wycofanie/przeniesienie do kwarantanny egzemplarzy kampanii z pozostałych skrzynek (claw-back), zanim kolejni użytkownicy klikną.
Krok 6 — Reset poświadczeń. Dla kont, które podały dane: wymuszony reset hasła, unieważnienie sesji i tokenów, rewizja MFA, sprawdzenie reguł przekierowania poczty i dodanych urządzeń. Przy koncie uprzywilejowanym → eskalacja.
Krok 7 — Takedown i zgłoszenie zewnętrzne. Zgłoszenie domeny-klona do rejestratora/hostingu i do CERT Polska (incydent.cert.pl). Przy podszyciu pod markę banku — zgłoszenie do zespołu abuse i, gdy zasadne, organów ścigania (flaga LAW_ENFORCEMENT).
Krok 8 — Komunikacja. Ostrzeżenie wewnętrzne (SOC/pracownicy) o aktywnej kampanii. Jeśli podszycie uderza w klientów — komunikat ostrzegawczy zatwierdzony przez zespół komunikacji i Legal/DPO. Ton: fakty, bez paniki.
Krok 9 — Walidacja i zamknięcie. Potwierdź: brak nowych trafień kampanii, zresetowane konta czyste, domena zdjęta lub zablokowana, ślad dowodowy kompletny. Uzupełnij regułę detekcji i przekaż do lessons learned → odporność +1.
Flagi prawne i eskalacja
| Warunek | Flaga | Obowiązek |
| Wyłudzono dane osobowe klientów | GDPR_PERSONAL_DATA | Ocena naruszenia — patrz niżej |
| Potwierdzony wyciek / przejęcie konta z danymi | GDPR_BREACH | RODO art. 33 — zgłoszenie do PUODO w 72h; art. 34 — zawiadomienie osób przy wysokim ryzyku |
| Podmiot to usługa kluczowa/ważna | NIS2_RELEVANT | Wczesne ostrzeżenie do CSIRT w 24h, zgłoszenie 72h, raport końcowy |
| Podszycie / oszustwo, straty finansowe | LAW_ENFORCEMENT | Zawiadomienie CERT PL i, gdy zasadne, organów ścigania |
| Deepfake głosowy/wideo w ataku | AI_ACT_RELEVANT | Powiązanie z Playbook J; ocena art. 50 (oznaczanie treści syntetycznych) |
Powiązanie z RODO: gdy phishing prowadzi do ujawnienia danych osobowych, incydent A automatycznie sprzęga się z
Playbookiem E (wyciek danych). Zegar 72h RODO startuje od momentu
stwierdzenia naruszenia, nie od jego wystąpienia — dlatego krok 3 (ocena zasięgu) jest krytyczny czasowo.
Metryki skuteczności SYMULACJA
Dane demonstracyjne (demo). Poniższe wartości ilustrują format panelu, nie są rzeczywistymi pomiarami środowiska odbiorcy.
14 min
Mediana czasu do blokady wektora SYMULACJA
cel < 30 min
96%
Kampanii wycofanych claw-backiem SYMULACJA
przed drugim kliknięciem
100%
Kont uprzywilejowanych na FIDO2 SYMULACJA
cel obrony
3.1%
Klikalność w symulacji szkoleniowej SYMULACJA
trend malejący
Powiązane strony
Wyciek danych
Sprzężenie gdy phishing → dane osobowe. → Playbook E
Uwaga metodyczna: odwołania do CERT Polska / ENISA to publicznie znane sygnały o krajobrazie zagrożeń (PUBLIC CLAIM), nie potwierdzone incydenty w środowisku odbiorcy. Ramki RODO / NIS2 opierają się na treści regulacji (norma). Metryki oznaczone SYMULACJA są przykładowe.