PL
 |
EN

PL EN

Preferencje help
Polish version English version Język
Widoczny [Schowaj] Abstrakt
Liczba wyników
Czasopismo

Bezpieczny Bank

2024 | nr 1 (94) | 25--42
Tytuł artykułu

Phishing jako zagrożenie dla bezpieczeństwa bankowości cyfrowej

Autorzy
Patryk Król
Warianty tytułu
Phishing as the Main Threat to Digital Banking Security
Języki publikacji
PL
Abstrakty
Przedmiot i cel pracy: Celem niniejszego artykułu jest analiza zagrożenia phishingiem jako głównego wyzwania dla bezpieczeństwa bankowości cyfrowej. Praca skupia się na identyfikacji metod ataków phishingowych, ocenie skuteczności działań obronnych podejmowanych przez instytucje finansowe oraz proponuje rozwiązania mające na celu zminimalizowanie ryzyka dla klientów. Materiały i metody: Analiza oparta jest na badaniach przeprowadzonych przez różne instytucje, w tym CERT Polska, oraz na analizie konkretnych przypadków ataków phishingowych udokumentowanych przez te organizacje. Wykorzystane zostały również dane statystyczne dotyczące świadomości społeczeństwa w zakresie zagrożeń phishingiem. Metody badawcze obejmują również studium przypadków ataków, analizę przykładów fałszywych stron bankowych oraz propozycje działań prewencyjnych. Wyniki: Analiza wykazała, że phishing nadal stanowi istotne zagrożenie dla sektora bankowego, a ataki tego rodzaju są często skierowane na klientów instytucji finansowych. Badania pokazują, że mimo działań obronnych podejmowanych przez banki, skuteczność ataków phishingowych utrzymuje się, co wskazuje na potrzebę ciągłego doskonalenia strategii bezpieczeństwa. Wnioski: Praca sugeruje, że banki powinny kontynuować edukację swoich klientów w zakresie rozpoznawania zagrożeń phishingowych. Ponadto, wprowadzenie dodatkowych metod autoryzacji, takich jak klucze U2F, może stanowić skuteczną ochronę przed atakami. Warto również zwrócić uwagę na grupy bardziej narażone na ataki phishingowe, takie jak osoby starsze, i dostosować działania edukacyjne do ich potrzeb. Praca wskazuje na konieczność ciągłego dostosowywania strategii bezpieczeństwa banków do ewoluującego krajobrazu. (abstrakt oryginalny)
EN
Subject and purpose of the work: The aim of this article is to analyze the threat of phishing as the main challenge to the security of digital banking. The work focuses on identifying methods of phishing attacks, assessing the effectiveness of defensive actions taken by financial institutions, and proposes solutions to minimize the risk for customers. Materials and methods: The analysis is based on research conducted by various institutions, including CERT Polska, and on the analysis of specific cases of phishing attacks documented by these organizations. Statistical data on public awareness of phishing threats was also used. Research methods also include case studies of attacks, analysis of examples of fake banking websites and proposals for preventive actions. Results: The analysis showed that phishing still poses a significant threat to the banking sector, and attacks of this type are often directed at customers of financial institutions. Research shows that despite defensive actions taken by banks, the effectiveness of phishing attacks remains, which indicates the need to constantly improve security strategies. Conclusions: The work suggests that banks should continue to educate their customers in recognizing phishing threats. Moreover, introducing additional authorization methods, such as U2F keys, can provide effective protection against attacks. It is also worth paying attention to groups that are more vulnerable to phishing attacks, such as the elderly, and adapting educational activities to their needs. The work indicates the need to constantly adapt banks' security strategies to the evolving cybersecurity landscape. (original abstract)
Słowa kluczowe
PL
EN
Czasopismo
Bezpieczny Bank
Rocznik
2024
Numer
nr 1 (94)
Strony
25--42
Opis fizyczny
Twórcy
autor
Patryk Król
  • Uniwersytet Ekonomiczny w Poznaniu
Bibliografia
  • Alghenaim M.F., Bakar N.A.A., Rahim F.A. (2022), Awareness of Phishing Attacks in the Public Sector: Review Types and Technical Approaches, [w:] International Conference on Emerging Technologies and Intelligent Systems (pp. 616-629). Cham: Springer International Publishing.
  • Alkhalil Z., Hewage C., Nawaf L., & Khan I. (2021), Phishing attacks: A recent comprehensive study and a new anatomy, "Frontiers in Computer Science", 3, 563060.
  • Bankmillennium.pl (n.d.), Nowy wymiar uwierzytelnienia, https://www.bankmillennium.pl/ przedsiebiorstwa/bankowosc-elektroniczna/bank-w-internecie/millenet/bezpieczenstwo/ token-sprzetowy-z-czytnikiem (dostęp 15.04.2024).
  • Bieńkowska D., Falkowski-Gilski P. (2021), Nauka w świecie cyfrowym okiem młodego inżynie- ra-phishing w mediach elektronicznych, Pismo PG.
  • Blikowska J. (2023), Banki w końcu zaczynają wprowadzać klucze U2F. Hakerom będzie trud- niej - rp.pl. Rzeczpospolita, https://pieniadze.rp.pl/konta-bankowe/art39376181-banki-polskie-klucze-u2f-hakerom-bedzie-trudniej
  • CERT Polska (2022), Kampanie phishingowe wykorzystujące wizerunek banków, https://cert. pl/posts/2022/04/banki-phishing/ (dostęp 25.12.2023).
  • CERT Polska (2023a), Kampanie phishingowe na serwisy pocztowe, https://cert.pl/ posts/2023/04/phishing-webmail/ (dostęp 7.04.2024).
  • CERT Polska (2023b), Kampania phishingowa wykorzystująca wizerunek Ministerstwa Finan- sów, https://cert.pl/posts/2023/01/phishing-govpl/ (dostęp 7.04.2024).
  • CERT Polska (2023c), Raport roczny z działalności CERT Polska 2022 - "Krajobraz bezpie- czeństwa polskiego internetu", https://cert.pl/uploads/docs/Raport_CP_2022.pdf (dostęp 7.04.2024).
  • Ciulkin-Sarnocińska K. (2015), Phishing-specyficzna forma pozyskiwania danych newralgicz- nych, [w:] Współczesne oblicza bezpieczeństwa, red. nauk. E.M. Guzik-Makaruk, E.W. Pływa- czewski (pp. 113-121). Temida 2, przy współpracy i wsparciu finansowym Wydziału Prawa Uniwersytetu w Białymstoku.
  • Credit Agricole (2024), Tabela opłat i prowizji kont dla osób fizycznych, https://static.credi- t-agricole.pl/asset/t/o/i/toip-indywidualni-01022024_28576.pdf (15.04.2024).
  • CSIRT KNF (2023), Cyberzagrożenia w sektorze finansowym, https://cebrf.knf.gov.pl/ima- ges/Cyberzagroenia_w_sektorze_finansowym_2022.pdf (dostęp 7.04.2024).
  • Digital Fingerprints (2022), OTP, TOTP i HOTP a ochrona haseł. Co oznaczają te skróty i dlaczego warto je znać?, https://fingerprints.digital/otp-totp-i-hotp-a-ochrona-hasel/ (dostęp 8.04.2024).
  • Górka M. (2018), Kultura bezpieczeństwa w kontekście znaczenia informacji jako elementu społeczno-kulturowego, "Przegląd Politologiczny", (2).
  • Gradzi D. (2017), Bezpieczeństwo płatności elektronicznych jako element cyberbezpieczeństwa państwa-przegląd regulacji prawnych, "Przegląd Bezpieczeństwa Wewnętrznego", 9(16).
  • Grzywacz J., Jagodzińska-Komar E. (2018), Rola banków i sektora FinTech w świetle implementacji dyrektywy PSD2, "Kwartalnik Kolegium Ekonomiczno-Społecznego Studia i Prace", (2).
  • Guga D. (2007), Bezpieczeństwo transakcji elektronicznych wykorzystujących infrastrukturę klucza publicznego, "Acta Universitatis Lodziensis. Folia Oeconomica", 211.
  • Hałasik-Kozajda M., Olbryś M. (2021), Skutki implementacji dyrektywy o usługach płatniczych (PSD2), "Bank i Kredyt", 52(3).
  • Iwańczuk-Kaliska A., Marszałek P., Schmidt K., Warchlewska A. (2021), Ocena zmian na rynku płatności w Polsce. Raport opracowany na zlecenie Programu Analityczno-Badawczego Fun- dacji Warszawski Instytut Bankowości (Sygn. Wib Pab 10/2021).
  • Jagodzińska-Komar E. (2016), Zmiany w systemie SEPA i wpływ Dyrektywy PSD2 na rynek usług płatniczych, "Zeszyty Naukowe PWSZ w Płocku. Nauki Ekonomiczne", 1(23).
  • Jancelewicz J. (2022), Phishing i pokrewne ataki socjotechniczne jako zagrożenie dla organiza- cji pozarządowych, "Kwartalnik Trzeci Sektor", (59-60 (3-4)).
  • Kalaharsha P., Mehtre B.M. (2021), Detecting Phishing Sites--An Overview. arXiv preprint arXiv:2103.12739.
  • Kim, S., Kang, J.Y. i Kim, Y. (2015), Countermeasures against phishing/pharming via portal site for general users, "The Journal of Korean Institute of Communications and Information Sci- ences", 40(6).
  • Klucz do (cyber)bezpieczeństwa - Baza wiedzy - Portal Gov.pl. (2022) Baza Wiedzy, https:// www.gov.pl/web/baza-wiedzy/klucz-do-cyberbezpieczenstwa-
  • Konieczny P. (2014), Uwaga klienci PKO i Citi banku! Trwa potężna kampania phishingowa, z kont skradziono już kilkanaście tysięcy złotych, Niebezpiecznik.pl, https://niebezpiecznik. pl/post/uwaga-klienci-pko-i-citi-banku-trwa-potezna-kampania-phishingowa-z-kont-skra- dziono-juz-kilkanascie-tysiecy-zlotych/ (dostęp 25.12.2023).
  • Konieczny P. (2022), Uwaga! Ktoś podszywa się pod BLIK, Niebezpiecznik.pl, https://niebez- piecznik.pl/post/uwaga-ktos-podszywa-sie-pod-blik/ (dostęp 25.12.2023).
  • Kotliński G. (2022), Dylematy banków spółdzielczych w dobie rewolucji cyfrowej 4.0 ze szcze- gólnym uwzględnieniem wyzwań w sferze marketingu, [w:] G. Kotliński (red.), Bankowość komercyjna i spółdzielcza w Polsce - refleksje po trzech dekadach transformacji. Szkice ku pamięci Doktora Ryszarda Mikołajczaka (s. 215-238). Poznań: Wydawnictwo Uniwersytetu Ekonomicznego w Poznaniu. https://doi.org/10.18559/978-83-8211-152-1/12
  • KPMG (2024), Barometr cyberbezpieczeństwa. Na fali, czy w labiryncie regulacji?, https:// assets.kpmg.com/content/dam/kpmg/pl/pdf/2024/02/pl-Raport-KPMG-w-Polsce-Baro- metr-cyberbezpiecze%C5%84stwa-2024.pdf (dostęp 6.04.2024).
  • Krzysztoszek M. (2017), Bankowość elektroniczna w teorii i praktyce, Komisja Nadzoru Fi- nansowego.
  • Laszczak M. (2019), Zarządzanie bezpieczeństwem w erze cyfrowej, "Bezpieczeństwo. Teoria i Praktyka", 37(4).
  • Matacz M., Vodičková W. (2023), Zjawisko phishingu w Polsce. De Securitate et Defensione,"O Bezpieczeństwie i Obronności", 9(1).
  • mbank.pl (2023), Potwierdzaj tożsamość w aplikacji mobilnej, https://www.mbank.pl/indywi- dualny/aplikacja-i-serwis/pierwsze-kroki/potwierdzenie-tozsamosci/ (dostęp 25.12.2023).
  • Niebezpiecznik.pl (2013), Klienci iPKO - uwaga na phishing!, https://niebezpiecznik.pl/ post/klienci-ipko-uwaga-na-phishing/ (dostęp 25.12.2023).
  • Niebezpiecznik.pl (2014), Uwaga klienci PKO i Citi banku! Trwa potężna kampania phishingo- wa, z kont skradziono już kilkanaście tysięcy złotych, https://niebezpiecznik.pl/post/uwaga-klienci-pko-i-citi-banku-trwa-potezna-kampania-phishingowa-z-kont-skradziono-juz-kil- kanascie-tysiecy-zlotych/ (dostęp 6.04.2024).
  • Niebezpiecznik.pl (2018), Dlaczego (nie) warto używać aplikacji mobilnej do autoryzacji prze- lewów?, https://niebezpiecznik.pl/post/autoryzacja-mobilna-aplikacja-bank-przelewy/ (dostęp 15.04.2024).
  • Niebezpiecznik.pl (2021), Klucze U2F - pytania i odpowiedzi. Dlaczego hakerzy ich nienawi- dzą i dlaczego warto z nich korzystać?, https://niebezpiecznik.pl/post/klucze-u2f-pytania-i-odpowiedzi/ (dostęp 8.04.2024).
  • Niebezpiecznik.pl (2022a), Uwaga klienci ING!, https://niebezpiecznik.pl/post/uwaga-klien- ci-ing/ (dostęp 25.12.2023).
  • Niebezpiecznik.pl (2022b), Uwaga klienci mBanku!, https://niebezpiecznik.pl/post/uwaga-klienci-mbanku-2/ (dostęp 25.12.2023).
  • Niebezpiecznik.pl (2023a), Uwaga klienci PKO!, https://niebezpiecznik.pl/post/uwaga-klienci-pko/ (dostęp 25.12.2023).
  • Niebezpiecznik.pl (2023b), Uwaga klienci banku PKO!, https://niebezpiecznik.pl/post/uwa- ga-klienci-banku-ipko/ (dostęp 25.12.2023).
  • Oleksiewicz I. (2019), Bezpieczeństwo informacyjne w cyberprzestrzeni a stany nadzwyczaj- ne Rzeczypospolitej Polskiej, "Zeszyty Naukowe Politechniki Częstochowskiej. Zarządzanie", (33), 144-153.
  • Piłat K., Pawłowski M.T., Kozieł G. (2022), Analiza wiedzy o aspektach cyberbezpieczeństwa i logowania dwuetapowego w społeczeństwie, "Journal of Computer Sciences Institute", 23.
  • Piotrowski Z., Różanowski K., Gajewski P. (2012), Bezpieczeństwo połączeń w telefonii PSTN,"Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki", 6(8).
  • Pisarewicz P., Podlewski J. (2023), Cyberbezpieczeństwo polskiego sektora ubezpieczeniowego w kontekście krajowych i unijnych regulacji prawnych, "Bank i Kredyt", 54(5).
  • Pitera R. (2017), Współczesne problemy i zagrożenia cyberbezpieczeństwa w sektorze usług bankowości elektronicznej, "Przegląd Nauk o Obronności", 2(4).
  • pkobp.pl (2022), Weryfikacja pracownika banku w IKO, https://www.pkobp.pl/klient-indy- widualny/aplikacja-iko-ipko/bezpieczenstwo/jak-sprawdzic-czy-dzwoni-pracownik-banku (dostęp 25.12.2023).
  • Popik A., Gryglicka A. (2022), Ocena poziomu bezpieczeństwa użytkowników rachunków ban- kowych i analiza zachowań banków w sytuacji wystąpienia incydentu zagrożenia bezpieczeń- stwa, "Finanse i Prawo Finansowe".
  • Rabka M. (2020), Internet XXI wieku-pułapka zagrożeń dla dzieci, młodzieży i osób starszych w dobie pandemii Covid-19, "Współczesne Problemy Zarządzania", 8(1(16)).
  • Rojek, M. (2019), Cyberprzestrzeń jako miejsce międzypokoleniowego uczenia się. Przykład projektu "ICT Guides", "Problemy Opiekuńczo-Wychowawcze", 579(4).
  • Samcik M. (2019), Banki w pośpiechu likwidują karty-zdrapki i... tokeny. Co się stało. że token przestał spełniać wymogi bezpieczeństwa?, https://subiektywnieofinansach.pl/psd2-likwi- dacja-karty-zdrapki-token-sms-autoryzacyjny/ (dostęp 15.04.2024).
  • Schuetz S., Lowry P.B., Thatcher J. (2016), Defending against spear-phishing: Motivating users through fear appeal manipulations. In 20th Pacific Asia Conference on Information Systems (PACIS 2016), Chiayi, Taiwan, June.
  • Sharevski F., Devine A., Pieroni E., & Jachim P. (2022), Gone Quishing: A Field Study of Phishing with Malicious QR Codes. arXiv preprint arXiv:2204.04086.
  • Singh J. (2011), Detection of Phishing e-mail, IJCST, 2(1).
  • SMSAPI (2024), Bezpieczeństwo cyfrowe Polaków. Oszustwa internetowe i zagrożenia komu- nikacji mobilnej, https://www.smsapi.pl/static/files/Bezpieczenstwo_cyfrowe_Polakow-Ra- port_SMSAPI_2024.pdf (dostęp 6.04.2024).
  • Srinivas S., Balfanz D., Tiffany E., Czeskis A. (2015), Universal 2nd factor (U2F) overview, "FIDO Alliance Proposed Standard", 15.
  • Stefanicki R. (2023), "Mamo, miałam wypadek!". Uważaj, bo sztuczna inteligencja klonuje głos i wyłudza pieniądze, wyborcza.biz, https://wyborcza.biz/biznes/7,177150,30152534,mamo-mialam-wypadek-uwazaj-bo-sztuczna-inteligencja-klonuje.html (dostęp 6.04.2024).
  • Thakur T., Verma R. (2014), Catching classical and hijack-based phishing attacks. In Interna- tional Conference on Information Systems Security (pp. 318-337). Cham: Springer Interna- tional Publishing.
  • Xopero. (2021), Cyberbezpieczeństwo Trendy 2021.
  • Xu T., Singh K., Rajivan P. (2023), Personalized persuasion: Quantifying susceptibility to infor- mation exploitation in spear-phishing attacks, "Applied Ergonomics", 108, 103908.
  • Yeboah-Boateng E.O., Amanor P.M. (2014), Phishing, SMiShing & Vishing: an assessment of threats against mobile devices, "Journal of Emerging Trends in Computing and Information Sciences", 5(4).
  • Zagańczyk M. (2019), Bank Millennium wprowadza token sprzętowy z czytnikiem i technologią Cronto firmy OneSpan, https://www.telepolis.pl/fintech/fintech/bank-millennium-wprowa- dza-token-sprzetowy-z-czytnikiem-i-technologia-cronto-firmy-onespan (dostęp 15.04.2024).
  • ZBP (2022), Raport: Cyberbezpieczny portfel, https://www.zbp.pl/getmedia/bebff99e -f5b7-4644-aec3-4ad3ff5c970a/Cyberbezpieczny_portfel_2022a (dostęp 7.04.2024).
Typ dokumentu
Bibliografia
Identyfikatory
DOI
10.26354/bb.2.1.94.2024
Identyfikator YADDA
bwmeta1.element.ekon-element-000171691620

Zgłoszenie zostało wysłane

Zgłoszenie zostało wysłane

Musisz być zalogowany aby pisać komentarze.
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.