Jednym ze sposobów ataku internetowego jest phishing. Polega na podszyciu się pod kogoœ, by uzyskać informacje od ofiary. Zazwyczaj polega na wysłaniu maila łudzšco podobnego do oryginalnego, który otrzymujemy np. z banku, serwisu społecznoœciowego, sklepu internetowego, firmy kurierskiej. W przesyłce takiej zwykle jest albo proœba o podanie danych osobowych, albo identyfikacyjnych w serwisie internetowym, albo odnoœnika do strony udajšcej serwis danego podmiotu, na której wprowadza się dane identyfikacyjne, następnie przesyłane do sprawcy ataku. To zachowanie przestępne okreœla art. 190a § 2 kodeksu karnego.

Phishing kontrolowany jest też elementem testów bezpiecznego zachowania w sieci. Stosuje się go np. w wewnętrznej sieci przedsiębiorcy, by edukować pracowników, uœwiadomić im zagrożenia internetowe i wyczulić na nie, a także by przetestować ich zdolnoœć prawidłowego reagowania na niebezpieczeństwa płynšce z sieci. Celem tego podszywania się nie jest więc uzyskanie informacji. Nie ma też niebezpieczeństwa, że osoba niepowołana – spoza grupy docelowej, dla której trening jest przygotowany – będzie miała do niego dostęp.

Serwis internetowy, ewentualnie konkretna strona internetowa jest często przedmiotem prawa autorskiego, czyli utworem lub jego częœciš. Podobnie może być z wiadomoœciš przesyłanš pocztš elektronicznš. Zgodnie z art. 29 ustawy o prawie autorskim i prawach pokrewnych wolno przytaczać utwory lub ich urywki w innym utworze, jeżeli jest to uzasadnione celami cytatu. Niewštpliwie utworem jest też system informatyczny do prowadzenia treningu bezpiecznego zachowania w sieci, który zawiera symulację phishingu. Test taki wykorzystuje zazwyczaj jedynie szatę graficznš jednej ze stron serwisu, która stanowi niewielki procent systemu testujšcego. Celem jest dokładne zapoznanie się z technikami hakerów, aby zrozumieć, jak działajš i gdzie może czyhać niebezpieczeństwo. Cytowanie grafiki w całoœci jest uzasadnione, bo to element, z którym bezpoœrednio styka się odwiedzajšcy stronę WWW. Celem tego dozwolonego zapożyczenia jest nauczanie, jak prawidłowo zachować się w sieci i wyjaœnienie, jak działajš przestępcy komputerowi. Istnieje więc zwišzek między wykorzystanš treœciš a głównym dziełem – systemem informatycznym, bez czego cel przedsięwzięcia treningowego nie mógłby być osišgnięty.

Po wpisaniu danych identyfikacyjnych na symulowanej stronie i ich zatwierdzeniu powinna się pojawić informacja, że szata graficzna strony WWW została wykorzystana w celach treningowych, a prawa do tego utworu lub jego częœci ma okreœlony podmiot. Zasadne jest też wskazanie Ÿródła cytatu, np. adresu oryginalnej strony.

Gdy firma znajduje się w treœci utworu, przedsiębiorca mógłby zarzucić naruszenie prawa do niej, wynikajšce z kodeksu cywilnego. Działanie to nie wydaje się jednak bezprawne, wynika z przepisów o cytowaniu utworu, w którym może zawierać się firma. Podobnie jest z czynem nieuczciwej konkurencji, o którym mowa w art. 5 ustawy o zwalczaniu nieuczciwej konkurencji. Symulacja phishingu nie narusza interesu przedsiębiorcy, np. właœciciela strony WWW. To dlatego, że użytkownik poddany symulowanemu atakowi dowie się o tym działaniu, a więc nie wystšpiš żadne przesłanki, które mogłyby uzasadniać nieuczciwe postępowanie w stosunku do firmy.

Phishing kontrolowany jest zgodny również z art. 13 ust. 2 ustawy. Wprawdzie naœladowanie cech funkcjonalnych strony WWW – jej szaty graficznej, mogłoby wprowadzić w błšd użytkownika, jednak system treningowy, po wpisaniu i zatwierdzeniu danych przez użytkownika, poinformuje go o teœcie. Podobnie jest z innymi formami ataku, np. przy bezpoœrednim wykorzystaniu wiadomoœci e-mail. Wyklucza to niekorzystny skutek dla podmiotu i użytkownika. Działania takie przynoszš wręcz korzyœć obu. Z serwisu naœladowanego będš korzystali œwiadomi użytkownicy, którzy wiedzš, jak chronić swoje dane.

Jeżeli w cytowanej szacie graficznej będzie znajdował się znak towarowy, symulacja phishingu nie naruszy również ustawy–Prawo własnoœci przemysłowej. Użycie znaku jest konieczne do wskazania przeznaczenia serwisu treningowego jako narzędzia do nauki i rozpoznawania zagrożeń, np. fałszywych stron WWW.

