Przestępstwa komputerowe – przykłady ataków i kradzieży danych

Przestępczość komputerowa to jedno z najszybciej rosnących zagrożeń w cyfrowym świecie – od prostych oszustw phishingowych po kampanie APT prowadzone przez grupy powiązane z państwami.

Spis wiedzy (odkryj)

Raport z 2020 roku wykazał, że liczba stwierdzonych przestępstw komputerowych w Polsce wzrosła o 50% względem 2016 r., osiągając 55 tysięcy zdarzeń. Zdolności adaptacyjne cyberprzestępców i coraz sprytniejsze techniki socjotechniczne czynią z tego problemu wyzwanie technologiczne, społeczne i polityczne.

W niniejszym artykule przedstawiamy najważniejsze kategorie cyberprzestępstw, metody działania oraz skutki dla ofiar – w oparciu o głośne przykłady z ostatnich lat.

Definicja i klasyfikacja przestępstw komputerowych

Termin „przestępstwo komputerowe” obejmuje wszelkie czyny zabronione z użyciem komputerów i urządzeń IT. W Polsce brak jednej definicji: Kodeks karny reguluje je w rozproszonych przepisach – w zależności od charakteru czynu i przedmiotu ochrony.

Najczęstsze obszary działalności przestępczej obejmują:

pozyskiwanie i handel danymi poufnymi,
kradzież tożsamości oraz oszustwa finansowe online,
naruszenia praw autorskich i własności intelektualnej,
sabotaż infrastruktury informatycznej i systemów,
tworzenie, dystrybucję i użycie złośliwego oprogramowania.

Sabotaż komputerowy to bezprawna ingerencja w dane lub integralność systemu. Grozi za niego od 3 miesięcy do 5 lat więzienia.

Szpiegostwo komputerowe podpada pod ogólne przepisy o szpiegostwie, zwykle na rzecz obcego państwa. Kary sięgają do 10 lat więzienia dla sprawców i do 25 lat dla osób kierujących obcym wywiadem.

Ataki phishingowe – najbardziej rozpowszechniona forma cyberzagrożenia

Phishing to metoda socjotechniczna wyłudzania danych lub przełamywania zabezpieczeń za pomocą spreparowanej komunikacji (najczęściej e-mail). Masowe kampanie bywają proste do wykrycia (błędy, literówki), ale skuteczne dzięki ogromnej skali rozsyłki.

Bardziej zaawansowany spear phishing celuje w konkretne osoby (np. z dostępem do wrażliwych informacji) i opiera się na solidnym rekonesansie. Przykładem jest oszust, który w latach 2013–2015, podszywając się pod pracownika Quanta Computer, wyłudził od Google i Facebooka ok. 100 mln dolarów.

Whaling koncentruje się na najwyższym szczeblu (CEO, zarząd), a vishing wykorzystuje rozmowy telefoniczne i podszywanie się pod banki, policję czy urzędy.

Aby szybciej rozpoznać phishing, zwróć uwagę na powtarzalne sygnały ostrzegawcze:

pilne prośby o działanie, groźby lub presja czasu,
niespodziewane załączniki lub linki skracane/ukryte,
błędy językowe, nietypowy styl, rozbieżności w stopkach i logotypach,
prośby o dane logowania, kody 2FA lub dane karty,
adres nadawcy podobny do oryginalnego (typo‑squatting) lub z domeny niezwiązanej z organizacją.

Ransomware – szantaż cyfrowy i wymuszanie okupu

Ransomware szyfruje pliki lub blokuje systemy, a następnie żąda okupu – najczęściej w kryptowalutach. Pierwszy szerzej znany przypadek, AIDS/PC Cyborg, pochodzi z lat 80. Skalę zjawiska napędziły płatności kryptowalutowe, anonimowe i trudniejsze do prześledzenia.

Głośne kampanie pokazują różnorodność skutków – od strat finansowych po paraliż infrastruktury:

Rok	Atak / Grupa	Skala / Cel	Skutek / Okup
2013	CryptoLocker	masowe infekcje użytkowników	szac. 27 mln USD z okupu
2017	WannaCry	ponad 200 tys. systemów w 150 krajach	ok. 79 tys. USD; rozległe przestoje
2021	Colonial Pipeline	największy operator rurociągów paliw w USA	tymczasowe zamknięcie sieci, wyciek ~100 GB danych
2023–	Akira	firmy z różnych branż (model RaaS)	podwójne wymuszenie, żądania 200 tys.–4 mln USD

Nowe odmiany (np. BlackCat) łączą eksploatację znanych luk, ruch boczny w sieci i publikację wycieków, by zwiększać presję na ofiary. Rok 2021 pokazał, że ransomware realnie zagraża infrastrukturze krytycznej, a nie tylko użytkownikom i MŚP.

Trojany i złośliwe oprogramowanie – inwazyjne narzędzia cyberprzestępców

Trojany podszywają się pod legalne aplikacje, lecz w tle wykonują szkodliwe operacje. Od nieszkodliwych prekursorów w stylu ANIMAL (1975) po destrukcyjne kampanie – skala zagrożenia dramatycznie wzrosła.

ILOVEYOU (2000) rozsyłany jako załącznik VBScript, zainfekował ponad 3 mln komputerów i spowodował straty rzędu 8,7 mld USD. Zeus (2007) kradł dane bankowe w systemach Windows; botnet obejmował ok. 4,5 mln urządzeń, a straty sięgnęły ~70 mln USD.

Trojany typowo realizują poniższe funkcje:

instalują backdoory i umożliwiają zdalne sterowanie,
uruchamiają spyware i keyloggery do kradzieży danych,
pobierają kolejne moduły (np. ransomware),
wykorzystują zasoby do kopania kryptowalut.

Ataki rozproszone DDoS i zablokowanie usług

DDoS (Distributed Denial of Service) polega na przeciążeniu serwera ruchem generowanym przez sieci zainfekowanych urządzeń (botnety). Nawet proste kampanie, wsparte dużym botnetem, potrafią sparaliżować usługę.

Botnety, jak Storm (2007) czy rekordowy BredoLab (ponad 30 mln zainfekowanych komputerów), wykorzystywały ogromną moc rozproszoną. Pojedynczy „komputer‑zombie” może działać pozornie normalnie, jednocześnie biorąc udział w atakach na cudze cele.

Najczęstsze konsekwencje udanych DDoS to:

długotrwała niedostępność usług online,
spadki przychodów i koszty SLA,
pogorszenie reputacji i utrata zaufania użytkowników.

Zagrożenia infrastruktury krytycznej i ataki państwowe

Coraz częściej celem stają się systemy energetyczne, transportowe i medyczne. Według wiceministra cyfryzacji Dariusza Standerskiego w Polsce odnotowuje się dziennie 20–50 prób zakłócenia infrastruktury krytycznej. Niektóre ataki na szpitale powodowały wielogodzinne przestoje.

Poważna operacja, przypisywana Rosji, miała doprowadzić do odcięcia dopływu wody do jednego z dziesięciu największych miast w Polsce. Rząd zapowiedział na 2024 r. inwestycję 80 mln euro w cyberzabezpieczenia gospodarki wodnej. Skutki takich ataków bezpośrednio zagrażają zdrowiu i bezpieczeństwu obywateli.

W 2017 r. NotPetya sparaliżowała Ukrainę – straty oszacowano na ok. 10 mld USD, a ucierpiały m.in. banki, ministerstwa i system monitorowania promieniowania w Czarnobylu. Biały Dom nazwał to najbardziej niszczycielskim i kosztownym cyberatakiem w historii.

Kradzież tożsamości i wycieki danych osobowych

Kradzież tożsamości polega na przejęciu danych ofiary i wykorzystaniu ich do oszustw finansowych lub poważniejszych przestępstw. W Polsce penalizuje ją art. 190a Kodeksu karnego – do 3 lat pozbawienia wolności.

Skala wycieków danych rośnie. W 2023 r. w darknecie pojawiły się duże zbiory logowań polskich użytkowników (m.in. do Facebooka, Allegro, Onet, WP) – kompilacje danych z information stealerów. W 2025 r. wyciekło ponad 200 tys. zestawów logowań Polaków, obejmujących ponad 39 tys. unikalnych serwisów.

W 2025 r. na giełdzie kryptowalut Bybit doszło do kradzieży ok. 401 tys. ETH (ok. 1,4 mld USD) – według ekspertów to największa kradzież cyfrowej waluty w historii, przypisywana grupie Lazarus.

Metody inżynierii społecznej i manipulacja psychologiczna

Inżynieria społeczna manipuluje ludźmi, by wyłudzić informacje lub wymusić działania. Phishing, vishing i smishing to jej popularne warianty, ale stosowane są także bardziej wyrafinowane techniki.

Napastnicy wykorzystują wrodzone mechanizmy psychologiczne:

zaufanie do autorytetów i znanych marek,
strach przed konsekwencjami lub utratą dostępu,
chęć pomocy i konformizm społeczny,
presję czasu ograniczającą weryfikację,
efekt niedostępności i obietnicę wyjątkowej korzyści.

Oszustwa BEC (Business Email Compromise) polegają na podszywaniu się pod kadrę zarządzającą i wymuszaniu pilnych płatności lub zmiany rachunków. Presja czasu drastycznie obniża czujność i sprzyja błędom.

Deepfaki – hiperrealistyczne treści audio‑wideo generowane przez AI (np. GAN, VAE) – służą do podszywania się pod osoby publiczne i nakłaniania do inwestycji czy instalacji narzędzi zdalnych (AnyDesk). W 2024 r. niemal 26% dyrektorów doświadczyło incydentu z deepfake’iem celującym w dane finansowe.

Ataki APT i szpiegostwo cybernetyczne

APT (Advanced Persistent Threat) to długotrwałe, ciche kampanie, często z zapleczem państwowym. Celem jest wielomiesięczna infiltracja, pozyskiwanie informacji, sabotaż i przygotowanie gruntu pod przyszłe działania.

Najczęściej stosowane techniki w kampaniach APT obejmują:

wykorzystanie zero‑day i podatności dnia zerowego,
ukierunkowany phishing i spear phishing,
ataki na łańcuch dostaw (dostawcy, biblioteki, aktualizacje),
„living off the land” – nadużywanie wbudowanych narzędzi systemowych.

Grupa GreyEnergy (odłam TeleBots) była łączona z Petya/NotPetya i Industroyer, szpiegując od 2015 r. sektor energetyczny i kradnąc dane uwierzytelniające. Strategicznym celem były stacje robocze ICS nadzorujące procesy przemysłowe.

Zagrożenia wewnętrzne – insider threat

Insider threat pochodzi od osób z autoryzowanym dostępem i może wynikać z celowego działania, motywacji konfliktowych lub niedbalstwa. Według Kaspersky Lab i B2B International 42% incydentów utraty danych ma związek z pracownikami.

Najczęstsze profile insiderów to:

złośliwy insider – nadużywa uprawnień dla zysku lub sabotażu,
niezadowolony pracownik – działa z pobudek konfliktowych lub odwetowych,
nieuważny pracownik – łamie polityki (np. instalacja aplikacji rozrywkowych na sprzęcie służbowym).

Najgroźniejsze jest to, że insider działa w granicach nadanego mu zaufania i uprawnień.

Ataki łańcucha dostaw i wykorzystywanie luk bezpieczeństwa

Ataki na łańcuch dostaw uderzają w mniejszych dostawców lub wspólne komponenty, by dotrzeć do większych celów. W 2025 r. głośno było o bibliotece Fullmetal dla projektów DeFi i NFT, gdzie złośliwy kod przejmował tokeny podczas autoryzacji.

Typowe wektory w łańcuchu dostaw obejmują:

trojanizowane aktualizacje oprogramowania,
zatrucie bibliotek open source lub menedżerów pakietów,
kompromitację środowisk CI/CD i procesów build.

Zero‑day exploity są szczególnie niebezpieczne – luka nie ma jeszcze łatki, co utrudnia obronę. Często dotyczą przeglądarek i klientów poczty ze względu na ich powszechność.

Inne znaczące formy cyberprzestępczości

Ataki man‑in‑the‑middle (MITM) przechwytują i mogą modyfikować komunikację między stronami. Do realizacji używa się m.in. publicznych Wi‑Fi, fałszowania ARP, błędnej walidacji SSL/TLS czy przejęcia sesji.

Najczęstsze techniki MITM obejmują:

podszywanie się pod punkty Wi‑Fi (evil twin),
ARP spoofing i przekierowania ruchu w sieci lokalnej,
wstrzykiwanie lub podmiana certyfikatów TLS,
session hijacking z użyciem skradzionych ciasteczek.

Web skimming (formjacking/Magecart) polega na wstrzyknięciu złośliwego JavaScriptu do stron e‑commerce, by kraść dane kart. Symantec raportował średnio ok. 4800 zainfekowanych witryn miesięcznie; grupa Magecart zaatakowała m.in. British Airways, kradnąc ok. 380 tys. kart. Niewidoczność ataku dla użytkownika czyni go wyjątkowo groźnym.

Ataki watering hole infekują witryny często odwiedzane przez cel; w 2017 r. NotPetya rozprzestrzeniał się m.in. przez ukraińskie forum podatkowe. SIM swapping polega na przejęciu numeru ofiary, co umożliwia przechwycenie SMS-ów i kodów 2FA oraz dostęp do kont bankowych i krypto.

Zalecenia bezpieczeństwa i odpowiedzialność prawna

W Polsce incydenty cyberbezpieczeństwa zgłosisz do CSIRT NASK/CERT Polska przez platformę incydent.cert.pl. W przypadku podejrzenia przestępstwa należy zawiadomić Policję lub prokuraturę. Wiele czynów ściganych jest na wniosek osoby pokrzywdzonej.

Skuteczna ochrona powinna mieć charakter wielowarstwowy. Najważniejsze praktyki to:

Szkolenia i testy phishingowe – regularnie trenuj rozpoznawanie podejrzanych wiadomości i zachowań;
Higiena haseł – unikalne, złożone hasła dla każdej usługi oraz menedżer haseł;
2FA/MFA na krytycznych kontach – preferuj klucze sprzętowe lub aplikacje TOTP zamiast SMS;
Aktualizacje – szybkie łatki systemów, aplikacji i urządzeń sieciowych;
Filtry i EDR/XDR – antyphishing, antyspam, skanery malware oraz detekcja zachowań;
Segmentacja i zasada najmniejszych uprawnień – ograniczaj dostęp oraz stosuj mikrosegmentację sieci;
Kopie zapasowe 3‑2‑1 – offline/immutable backupy i regularne testy odtwarzania;
Procedury reagowania – plan IR, playbooki i kontakt do zespołów CSIRT.