Hakerzy nie idą na urlop

Elżbieta Szpak
opublikowano: 2026-07-02 19:50

Podczas gdy polski biznes odlicza dni do letniego wypoczynku, w cyberprzestępczym podziemiu trwa mobilizacja do czyszczenia firmowych kont.

Posłuchaj
Speaker icon
Zostań subskrybentem
i słuchaj tego oraz wielu innych artykułów w pb.pl
Subskrypcja

Lipiec i sierpień to statystycznie jedne z najtrudniejszych miesięcy dla działów bezpieczeństwa IT w polskich przedsiębiorstwach. Wysokie temperatury za oknem i myśl o zbliżających się wyjazdach skutecznie obniżają czujność pracowników w biurze. Wykorzystują to bezwzględnie cyberprzestępcy. Co kluczowe, hakerzy rzadko marnują siły na forsowanie zaawansowanych zapór ogniowych (firewalli). Zamiast tego celują bezpośrednio w ludzi: zmęczonych upałami pracowników na zastępstwach, którzy nagle zostali przygnieceni podwójną liczbą obowiązków i procedur.

Anatomia letniego oszustwa

Letnie ataki na biznes opierają się na precyzyjnie dawkowanej socjotechnice, w której główną rolę grają dwa mechanizmy psychologiczne: poczucie pilności oraz autorytet. Scenariusze realizowane przez przestępców w tym okresie idealnie wpisują się w wakacyjny klimat. Klasykiem stała się już „faktura last minute” – do działu księgowości trafia wiadomość z informacją o rzekomej zaległości za usługi marketingowe lub rezerwację eventu wakacyjnego. Groźba natychmiastowego odcięcia świadczeń w krytycznym momencie zmusza zastępców do szybkiego działania z pominięciem standardowych procedur weryfikacji.

Równie groźny jest zmodyfikowany model oszustwa „na dyrektora” (CEO fraud). Pracownik otrzymuje e-mail od rzekomego prezesa, który „z pokładu jachtu” lub „ze słabej jakości Wi-Fi w hotelu” prosi o pilny, niestandardowy i poufny przelew na rzecz nowego kontrahenta. Presja czasu połączona z autorytetem szefa, z którym kontakt jest utrudniony, regularnie prowadzi do wielomilionowych strat na rynku B2B.

Iluzja małej skali

Jednym z najgroźniejszych mitów krążących wśród rodzimych menedżerów jest przekonanie, że małe lub średnie przedsiębiorstwo (MŚP) nie stanowi atrakcyjnego celu dla zorganizowanych grup hakerskich. Wielu zakłada, że cyberprzestępcy polują wyłącznie na giełdowe korporacje i banki. Rzeczywistość rynkowa jest zgoła odmienna.

Współczesne podziemie działa w sposób masowy i zautomatyzowany. Dla algorytmów wysyłających tysiące złośliwych wiadomości wielkość obrotów firmy nie ma znaczenia – liczy się skuteczność infekcji lub błędu ludzkiego. Sektor MŚP jest wręcz idealnym poligonem: rzadko dysponuje dedykowanymi zespołami bezpieczeństwa (SOC) i nie prowadzi regularnych szkoleń dla personelu, przez co bariera wejścia dla oszustów jest tam najniższa.

Demokratyzacja cyfrowego zła

Skokowy wzrost efektywności letnich wyłudzeń to także zasługa rewolucji w obszarze sztucznej inteligencji. Narzędzia generatywne, w tym wyspecjalizowane, złośliwe boty językowe takie jak FraudGPT, zdemokratyzowały rynek cyberprzestępczości. Dawniej oszustwa typu phishing można było stosunkowo łatwo zidentyfikować po łamanej polszczyźnie, błędach ortograficznych czy nienaturalnym szyku zdań.

Dziś, dzięki AI, fałszywa korespondencja pisana jest nienagannym, korporacyjnym językiem, idealnie naśladującym styl komunikacji konkretnych partnerów biznesowych. Co więcej, coraz częściej stosowane są narzędzia do klonowania głosu (deepfake audio). Telefon od „przełożonego” z dynamicznym żądaniem autoryzacji transakcji brzmi tak autentycznie, że potrafi zmylić nawet doświadczonych skarbników.

Człowiek jako najsilniejsza tarcza

W obliczu tak zaawansowanych zagrożeń kluczowe staje się przesunięcie punktu ciężkości z systemów IT na kapitał ludzki. Budowa nowej kultury bezpieczeństwa w firmie to nie koszt, ale inwestycja o najwyższej stopie zwrotu. Aby zabezpieczyć biznes przed wakacyjną plagą, przedsiębiorstwa powinny natychmiast wdrożyć kilka fundamentalnych zasad:

  1. Zasada ograniczonego zaufania. Każda prośba o zmianę konta do wpłat czy nagły przelew musi być zweryfikowana u źródła.
  2. Obowiązkowe uwierzytelnianie wieloskładnikowe (MFA). Ochrona kont pocztowych i systemów finansowych dla każdego pracownika, w tym personelu sezonowego.
  3. Podwójna weryfikacja. Jeśli przelew jest oznaczony jako pilny i niestandardowy, należy potwierdzić go drugim, niezależnym kanałem (np. telefonicznie), nawet jeśli szef wysłał prośbę rzekomo prosto z plaży.

Biznesowy maraton

Cyberbezpieczeństwo nie jest jednorazowym projektem, ale ciągłym procesem, a hakerzy doskonale znają i wykorzystują kalendarz życia gospodarczego. Po sezonie urlopowym przyjdzie czas na powrót do szkół, jesienne przetargi, a następnie gorączkę Black Friday i zamknięcie roku rozliczeniowego. Kluczem do przetrwania tego maratonu jest wyrobienie trwałych, bezpiecznych nawyków na każdym szczeblu organizacji, niezależnie od panującej za oknem temperatury.

Komentarz eksperta
Wakacje to żniwa dla cyberprzestępców. Jak nie dać się oszukać
Paulina Rosłoń
ekspertka w Departamencie Cyberbezpieczeństwa w Banku Pekao S.A.
Wakacje to żniwa dla cyberprzestępców. Jak nie dać się oszukać

Latem stajemy się mniej czujni. Upały pogarszają koncentrację, urlopowy nastrój osłabia ostrożność, a nasza codzienność może wyglądać inaczej niż przez resztę roku. Rezerwujemy hotele, kupujemy bilety lotnicze, wynajmujemy samochody, płacimy zaliczki za wakacyjne apartamenty. Otrzymujemy dziesiątki wiadomości od przewoźników, biur podróży, platform rezerwacyjnych i właścicieli noclegów.

Cyberprzestępcy doskonale o tym wiedzą. Nie działają przypadkowo. Wykorzystują nasze wakacyjne emocje. Wysyłają fałszywe potwierdzenia rezerwacji, wiadomości o rzekomych problemach z płatnością lub pilne prośby o dopłatę do noclegu. Ich doskonałe wyczucie czasu może działać przeciwko nam. Nie jesteśmy jednak bezbronni.

Przez lata powtarzano, że człowiek jest najsłabszym ogniwem cyberbezpieczeństwa. To uproszczenie. Wszystko zależy od świadomości i przygotowania. Dlatego w Banku Pekao S.A. stawiamy na edukację i budowanie kompetencji cyfrowych.

Cyberprzestępcy coraz rzadziej atakują technologie. Wiedzą, że łatwiej oszukać pracownika lub konsumenta niż przełamać dobrze zabezpieczony system, dlatego wykorzystują nasze emocje, nawyki i automatyczne reakcje. Dotyczy to wszystkich – od osób prywatnych po największe firmy. Czasem wystarczy zajrzeć do własnej skrzynki mailowej, by zobaczyć skalę tych prób.

Najgroźniejszą bronią cyberprzestępców jest socjotechnika. Polega na wywoływaniu silnych emocji i wymuszaniu szybkich decyzji. W grę wchodzi albo strach – przed utratą pieniędzy czy dostępu do konta – albo obietnica zysku. Co ciekawe, pozytywne emocje i wizja korzyści nierzadko skuteczniej usypiają czujność niż lęk. A gdy pojawia się presja czasu i komunikat „działaj natychmiast”, nasze analityczne myślenie wyraźnie słabnie.

Choć cyberataki stają się coraz bardziej wyrafinowane, podstawowe zasady bezpieczeństwa pozostają niezmienne.

  • Po pierwsze, należy sprawdzić adres e-mail nadawcy, a nie wyłącznie nazwę użytkownika, którą cyberprzestępcy mogą łatwo sfałszować. Równie istotne jest sprawdzenie adresu strony internetowej przed podaniem danych logowania. Cyberprzestępcy często wykorzystują łudząco podobne domeny lub znaki z innych alfabetów.
  • Po drugie, warto zadać sobie pytanie: czy rzeczywiście oczekiwałem tej wiadomości? Jeśli nie, należy zachować szczególną ostrożność.
  • Po trzecie, każda wiadomość wywołująca silne emocje lub presję czasu powinna wzbudzić czujność.
  • Wreszcie, po czwarte, trzeba pamiętać, że symbol kłódki w przeglądarce oznacza jedynie szyfrowane połączenie, a nie gwarancję autentyczności strony.

Nawet osoby dobrze przygotowane mogą paść ofiarą cyberprzestępców. Wtedy znaczenie ma szybkość reakcji.

  • Jeżeli doszło do ujawnienia danych logowania do bankowości elektronicznej lub kradzieży środków finansowych, powinniśmy natychmiast skontaktować się z bankiem i zablokować dostęp do konta i kart płatniczych.
  • W przypadku innych danych logowania konieczna jest szybka zmiana haseł, najlepiej we wszystkich serwisach, w których używano podobnych kombinacji (co oczywiście nie jest zalecane).
  • Eksperci od lat rekomendują też stosowanie uwierzytelniania wieloskładnikowego. Nawet jeśli hasło zostanie przejęte, dodatkowa warstwa zabezpieczeń znacząco utrudnia przejęcie konta.

Cyberbezpieczeństwo stało się nieustannym wyścigiem między organizacjami a cyberprzestępcami. Firmy inwestują miliony w technologie ochronne, centra bezpieczeństwa i wyspecjalizowane zespoły. Bank Pekao należy do grona liderów takich inwestycji.

Cyberprzestępcy również nie stoją w miejscu. Coraz częściej wykorzystują sztuczną inteligencję, gotowe narzędzia i technologie deepfake. Do przeprowadzenia skutecznego ataku nie potrzeba już zaawansowanej wiedzy technicznej. Dzięki łatwo dostępnym narzędziom nawet osoby bez specjalistycznych kompetencji mogą przygotowywać spersonalizowane oszustwa wymierzone w konkretne osoby i firmy.

Na ataki phishingowe narażone są nie tylko duże firmy i korporacje, ale również małe i średnie przedsiębiorstwa. Właściciele firm często błędnie zakładają, że ich działalność jest prowadzona na zbyt małą skalę, by zainteresować cyberprzestępców.

To właśnie dlatego w Banku Pekao inwestujemy nie tylko w technologie, ale również w edukację pracowników, klientów i społeczeństwa. To naturalne, skoro budowanie odporności cyfrowej wymaga ciągłego treningu. Testy phishingowe, szkolenia, webinaria i kampanie edukacyjne stają się równie ważne jak systemy zabezpieczeń. Podjęte działania nie wyeliminują wszystkich zagrożeń, ale pozwalają skuteczniej je rozpoznawać.

Powyższe zasady obowiązują nie tylko podczas wakacji. Cyberprzestępcy wykorzystują każdą porę roku, każde święto i każdą okazję zakupową czy biznesową. W styczniu żerują na rozliczeniach podatkowych i finansowych, w lutym na walentynkowych oszustwach matrymonialnych, wiosną i latem na podróżach oraz sezonowej pracy, a jesienią i przed świętami – na zakupowej gorączce. Ich kalendarz zawsze podąża za naszym.

Nie ma jednak powodów do paniki. Dzięki odpowiedniej wiedzy i czujności nie jesteśmy bezbronni. Człowiek może być nie najsłabszym, lecz najsilniejszym ogniwem łańcucha bezpieczeństwa.