Jednym ze sposobów ataku internetowego jest phishing. Polega na podszyciu się pod kogoś, by uzyskać informacje od ofiary. Zazwyczaj polega na wysłaniu maila łudząco podobnego do oryginalnego, który otrzymujemy np. z banku, serwisu społecznościowego, sklepu internetowego, firmy kurierskiej. W przesyłce takiej zwykle jest albo prośba o podanie danych osobowych, albo identyfikacyjnych w serwisie internetowym, albo odnośnika do strony udającej serwis danego podmiotu, na której wprowadza się dane identyfikacyjne, następnie przesyłane do sprawcy ataku. To zachowanie przestępne określa art. 190a § 2 kodeksu karnego.
Phishing kontrolowany jest też elementem testów bezpiecznego zachowania w sieci. Stosuje się go np. w wewnętrznej sieci przedsiębiorcy, by edukować pracowników, uświadomić im zagrożenia internetowe i wyczulić na nie, a także by przetestować ich zdolność prawidłowego reagowania na niebezpieczeństwa płynące z sieci. Celem tego podszywania się nie jest więc uzyskanie informacji. Nie ma też niebezpieczeństwa, że osoba niepowołana – spoza grupy docelowej, dla której trening jest przygotowany – będzie miała do niego dostęp.
Twarz hakera
Serwis internetowy, ewentualnie konkretna strona internetowa jest często przedmiotem prawa autorskiego, czyli utworem lub jego częścią. Podobnie może być z wiadomością przesyłaną pocztą elektroniczną. Zgodnie z art. 29 ustawy o prawie autorskim i prawach pokrewnych wolno przytaczać utwory lub ich urywki w innym utworze, jeżeli jest to uzasadnione celami cytatu. Niewątpliwie utworem jest też system informatyczny do prowadzenia treningu bezpiecznego zachowania w sieci, który zawiera symulację phishingu. Test taki wykorzystuje zazwyczaj jedynie szatę graficzną jednej ze stron serwisu, która stanowi niewielki procent systemu testującego. Celem jest dokładne zapoznanie się z technikami hakerów, aby zrozumieć, jak działają i gdzie może czyhać niebezpieczeństwo. Cytowanie grafiki w całości jest uzasadnione, bo to element, z którym bezpośrednio styka się odwiedzający stronę WWW. Celem tego dozwolonego zapożyczenia jest nauczanie, jak prawidłowo zachować się w sieci i wyjaśnienie, jak działają przestępcy komputerowi. Istnieje więc związek między wykorzystaną treścią a głównym dziełem – systemem informatycznym, bez czego cel przedsięwzięcia treningowego nie mógłby być osiągnięty.
Po wpisaniu danych identyfikacyjnych na symulowanej stronie i ich zatwierdzeniu powinna się pojawić informacja, że szata graficzna strony WWW została wykorzystana w celach treningowych, a prawa do tego utworu lub jego części ma określony podmiot. Zasadne jest też wskazanie źródła cytatu, np. adresu oryginalnej strony.
Dozwolone użycie
Gdy firma znajduje się w treści utworu, przedsiębiorca mógłby zarzucić naruszenie prawa do niej, wynikające z kodeksu cywilnego. Działanie to nie wydaje się jednak bezprawne, wynika z przepisów o cytowaniu utworu, w którym może zawierać się firma. Podobnie jest z czynem nieuczciwej konkurencji, o którym mowa w art. 5 ustawy o zwalczaniu nieuczciwej konkurencji. Symulacja phishingu nie narusza interesu przedsiębiorcy, np. właściciela strony WWW. To dlatego, że użytkownik poddany symulowanemu atakowi dowie się o tym działaniu, a więc nie wystąpią żadne przesłanki, które mogłyby uzasadniać nieuczciwe postępowanie w stosunku do firmy.