K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / playbook-phishing

Playbook A — Phishing i socjotechnika

Reagowanie na phishing, smishing (SMS), vishing (głos) oraz oszustwa z podszyciem pod bank, urząd, kuriera, BLIK czy e-Doręczenia. Poziom 1 (cyber klasyczny). Priorytet typowy P1, podbijany do P0 przy potwierdzonej kompromitacji konta lub wycieku danych.

Phishing to najczęstszy punkt wejścia — usuń wektor, nie tylko pojedynczą wiadomość.

Wg raportów CERT Polska oszustwa komputerowe (w tym phishing) od lat dominują w statystyce zgłaszanych incydentów w PL PUBLIC CLAIM. W kontekście bankowym to najczęstszy prekursor przejęcia konta, nieautoryzowanej transakcji i wycieku danych klienta.

Problem — dlaczego to priorytet

Phishing jest tani, skalowalny i skuteczny, bo atakuje najsłabsze ogniwo — człowieka — omijając kontrole techniczne. W sektorze bankowym pojedyncze skuteczne wyłudzenie poświadczeń lub kodu autoryzacyjnego może prowadzić do:

Wektory ataku

Email (phishing)

Fałszywe wezwania do „weryfikacji konta", faktury, powiadomienia o blokadzie. Link do strony logowania-klona lub załącznik z makrem.

SMS (smishing)

„Dopłata do paczki", „zawieszona przesyłka", „zaległość podatkowa". Link do bramki płatności-klona. Podszycie pod kuriera / urząd / bank.

Głos (vishing)

Telefon od „konsultanta banku / działu bezpieczeństwa" nakłaniający do podania kodu, instalacji aplikacji zdalnej lub przelewu na „konto techniczne".

Komunikatory

WhatsApp / Messenger / Telegram — „inwestycje", „BLIK od znajomego", podszycie pod bliską osobę z prośbą o kod BLIK.

Fałszywe logowanie

Domena łudząco podobna (typosquatting, IDN homoglify), pełny klon strony banku, przechwytywanie loginu, hasła i tokenu 2FA w czasie rzeczywistym (AiTM).

Deepfake / AI

Syntetyczny głos „prezesa" (CEO fraud) lub klienta, wideo-podszycie w weryfikacji zdalnej. Wektor rosnący — patrz Playbook J.

Podszycie instytucji

Bank, urząd skarbowy, ZUS, e-Doręczenia, BLIK, operator energii. Wysoka wiarygodność przez oficjalny wygląd i pilny ton.

QR / quishing

Kod QR w mailu, na plakacie lub „mandacie" prowadzący do strony-klona. Omija filtry treści bo URL jest w obrazie.

Rozwiązania warstwowe

Warstwa 1 — domena i poczta

KontrolaCelDocelowa konfiguracja
SPFAutoryzacja serwerów nadawczychrekord z -all (hard fail), bez nadmiarowych include
DKIMPodpis kryptograficzny wiadomościklucz ≥2048 bit, rotacja, podpis wszystkich domen wysyłkowych
DMARCPolityka wobec niezgodnychścieżka p=nonequarantinereject + raporty RUA/RUF
BIMILogo marki w skrzynce (po DMARC reject)zweryfikowany certyfikat VMC — utrudnia podszycie wizualne
Monitoring domenWykrycie podobnych domenalerty na typosquatting / homoglify / świeżo zarejestrowane domeny marki
Filtr bramkiSandbox załączników i linkówdetonacja URL/plików, przepisywanie linków, blokada makr z internetu

Warstwa 2 — użytkownik i tożsamość

Warstwa 3 — system zgłoszeń

Playbook — 9 kroków reakcji

ZGŁOSZENIETRIAGEDOWÓDZASIĘGBLOKADARESETTAKEDOWNKOMUNIKATWALIDACJA
Krok 1 — Przyjęcie i triage. Zgłoszenie z przycisku „Zgłoś phishing" lub od klienta. Analyst potwierdza, czy to phishing i czy dotyczy marki. Wstępny priorytet P1 (podnieś do P0 przy oznakach kliknięcia / podania danych).
Krok 2 — Zabezpieczenie dowodu. Zachowaj oryginał z pełnymi nagłówkami, wyekstrahuj URL i hashe załączników, wykonaj screenshot strony-klona w izolacji. Hash + znacznik czasu → Evidence Layer.
Krok 3 — Ocena zasięgu. Ilu odbiorców dostało tę kampanię? Ilu kliknęło / podało dane? Zapytania do logów bramki i proxy. Ustal listę potencjalnie skompromitowanych kont.
Krok 4 — Blokada wektora. Reguła na bramce poczty (nadawca, temat, URL, hash), blokada domeny-klona na proxy/DNS, dodanie IoC do EDR. Zatrzymaj rozprzestrzenianie kampanii.
Krok 5 — Kwarantanna wiadomości. Wycofanie/przeniesienie do kwarantanny egzemplarzy kampanii z pozostałych skrzynek (claw-back), zanim kolejni użytkownicy klikną.
Krok 6 — Reset poświadczeń. Dla kont, które podały dane: wymuszony reset hasła, unieważnienie sesji i tokenów, rewizja MFA, sprawdzenie reguł przekierowania poczty i dodanych urządzeń. Przy koncie uprzywilejowanym → eskalacja.
Krok 7 — Takedown i zgłoszenie zewnętrzne. Zgłoszenie domeny-klona do rejestratora/hostingu i do CERT Polska (incydent.cert.pl). Przy podszyciu pod markę banku — zgłoszenie do zespołu abuse i, gdy zasadne, organów ścigania (flaga LAW_ENFORCEMENT).
Krok 8 — Komunikacja. Ostrzeżenie wewnętrzne (SOC/pracownicy) o aktywnej kampanii. Jeśli podszycie uderza w klientów — komunikat ostrzegawczy zatwierdzony przez zespół komunikacji i Legal/DPO. Ton: fakty, bez paniki.
Krok 9 — Walidacja i zamknięcie. Potwierdź: brak nowych trafień kampanii, zresetowane konta czyste, domena zdjęta lub zablokowana, ślad dowodowy kompletny. Uzupełnij regułę detekcji i przekaż do lessons learned → odporność +1.

Flagi prawne i eskalacja

WarunekFlagaObowiązek
Wyłudzono dane osobowe klientówGDPR_PERSONAL_DATAOcena naruszenia — patrz niżej
Potwierdzony wyciek / przejęcie konta z danymiGDPR_BREACHRODO art. 33 — zgłoszenie do PUODO w 72h; art. 34 — zawiadomienie osób przy wysokim ryzyku
Podmiot to usługa kluczowa/ważnaNIS2_RELEVANTWczesne ostrzeżenie do CSIRT w 24h, zgłoszenie 72h, raport końcowy
Podszycie / oszustwo, straty finansoweLAW_ENFORCEMENTZawiadomienie CERT PL i, gdy zasadne, organów ścigania
Deepfake głosowy/wideo w atakuAI_ACT_RELEVANTPowiązanie z Playbook J; ocena art. 50 (oznaczanie treści syntetycznych)
Powiązanie z RODO: gdy phishing prowadzi do ujawnienia danych osobowych, incydent A automatycznie sprzęga się z Playbookiem E (wyciek danych). Zegar 72h RODO startuje od momentu stwierdzenia naruszenia, nie od jego wystąpienia — dlatego krok 3 (ocena zasięgu) jest krytyczny czasowo.

Metryki skuteczności SYMULACJA

Dane demonstracyjne (demo). Poniższe wartości ilustrują format panelu, nie są rzeczywistymi pomiarami środowiska odbiorcy.
14 min
Mediana czasu do blokady wektora SYMULACJA
cel < 30 min
96%
Kampanii wycofanych claw-backiem SYMULACJA
przed drugim kliknięciem
100%
Kont uprzywilejowanych na FIDO2 SYMULACJA
cel obrony
3.1%
Klikalność w symulacji szkoleniowej SYMULACJA
trend malejący

Powiązane strony

Zgłoś incydent

Formularz Intake uruchamiający ten playbook. → Incident Intake

Klasyfikacja

Reguły kierujące zdarzenie do Playbooka A. → Classification Engine

Wyciek danych

Sprzężenie gdy phishing → dane osobowe. → Playbook E

Deepfake

Vishing z syntetycznym głosem. → Playbook J

Uwaga metodyczna: odwołania do CERT Polska / ENISA to publicznie znane sygnały o krajobrazie zagrożeń (PUBLIC CLAIM), nie potwierdzone incydenty w środowisku odbiorcy. Ramki RODO / NIS2 opierają się na treści regulacji (norma). Metryki oznaczone SYMULACJA są przykładowe.