Atak cybernetyczny, wejście intruzów do systemów wewnętrznych firmy czy instytucji, kradzież danych czy pieniędzy nie są wynikiem wytężonej pracy cyberprzestępców, którzy poświęcają godziny pracy na rozgryzienie systemów zabezpieczeń. W 9 na 10 przypadków klucze do wewnętrznych systemów pozyskują dzięki niewinnie wyglądającym mejlom z linkiem lub załącznikiem zawierającym złośliwe oprogramowanie rozsyłanym pod wybrane adresy albo dystrybuowanym według kupionej na czarnym rynku książki adresowej. Miliardy takich wiadomości krążą po internecie. Ogromna większość trafia do spamu wyłapana przez systemowe zabezpieczenia. Inne są kasowane przez coraz lepiej wyedukowanych użytkowników. Nieliczne są otwierane przez roztargnienie odbiorcy, alarmującą lub kuszącą treść. Według amerykańskiej Agencji Cyberbezpieczeństwa i Infrastruktury CISA w 2025 r. 90 proc. ataków cybernetycznych było związanych z phishingiem, który pomógł zdobyć dane dostępowe.
Na początku stycznia tego roku w raporcie Forum Ekonomicznego w Davos „Global Cybersecurity Outlook” phishing został wskazany przez 100 prezesów największych światowych firm jako obecnie główne ryzyko biznesowe. W 2025 i 2024 r. na czele listy zagrożeń topowi menedżerowie wskazali ataki ransomware.
Podobne wnioski płyną z badania „Postawy Polaków wobec cyberbezpieczeństwa” przygotowanego w 2025 r. przez Warszawski Instytut Bankowości we współpracy ze Związkiem Banków Polskich. Aż 88 proc. osób wskazało na phishing jako największe zagrożenie w cyfrowym świecie.
Spear Phishing (Celowany): Najgroźniejsza odmiana. Atak nie jest wysyłany do tysięcy osób, lecz do konkretnej ofiary. Przestępca zna twoje imię, stanowisko, a nawet ostatnie zakupy, co sprawia, że wiadomość wygląda bardzo wiarygodnie.
Smishing (SMS Phishing): Fałszywe wiadomości SMS. Klasyka to „niedopłata za paczkę”, „odłączenie prądu” lub „nowy numer telefonu dziecka”. Często zawierają link do fałszywego panelu płatności (np. mBanku czy InPostu).
Vishing (Voice Phishing): Atak telefoniczny. Oszust podszywa się pod pracownika banku lub policjanta.
Quishing (QR Code Phishing): Coraz popularniejszy. Oszuści naklejają własne kody QR na parkomatach, hulajnogach elektrycznych lub w menu restauracji. Zeskanowanie kodu prowadzi do podstawionej strony wyłudzającej dane karty.
Cyberagenci na łowach
Phishing jest niezwykle niebezpiecznym narzędziem wykorzystywanym do działalności przestępczej zarówno przez zorganizowane gangi, jak też coraz częściej hakerów zatrudnianych przez zagraniczne służby wywiadowcze. I jedni, i drudzy rozsyłają wiadomości zainfekowane złośliwym oprogramowaniem lub zawierające niebezpieczne linki, żeby zdobyć wrażliwe dane zaatakowanych ofiar — loginów, haseł, danych osobowych. Przestępcy używają ich do wyłudzenia lub kradzieży pieniędzy.
Inne są cele akcji podejmowanych przez zagraniczne służby, czyli grupy sponsorowane przez państwo — APT (Advanced Persistent Threat). Są to zespoły specjalistów od działań w cyberprzestrzeni działające na zlecenie rządów, których cele obejmują pozyskiwanie danych wywiadowczych, dezinformację, operacje wpływu, cyberszpiegostwo. W tegorocznym numerze wydawanego co pół roku przez ABW czasopisma naukowego „Terroryzm — studia, analizy, prewencja” cały rozdział został poświęcony phishingowi. Opisano w nim działanie powiązanej z białoruskim wywiadem grupy UNC1151, która w 2024 r. prowadziła w Polsce dwa rodzaje działalności: dezinformacyjną oraz wywiadowczą.
„Jej kampanie obejmowały wiadomości phishingowe podszywające się pod panele logowania do poczty elektronicznej najpopularniejszych polskich dostawców — Interii, Onetu, Wirtualnej Polski. Chodziło o wyłudzenie danych logowania, przejęcie kont i zbudowanie infrastruktury potrzebnej do akcji dezinformacyjnych. Aby prowadzić działalność szpiegowską, infekowano komputery szkodliwym oprogramowaniem pozwalającym na przejęcie nad nimi pełnej kontroli. Dokonywano tego za pośrednictwem wiadomości e-mail” — czytamy w periodyku. Grupa działa co najmniej od 2017 r.
Celowany atak na dyrektora finansowego
W raporcie „Krajobraz zagrożeń w polskim sektorze finansowym” z 2025 r. przygotowanym przez CSiRT KNF phishing jest przedstawiony jako jedno z głównych narzędzi zarówno cyberprzestępców, jak też cybersłużb. Grupy APT stosują celowane ataki (spear phishing) skierowane do określonej osoby lub grupy osób w ramach dobrze przygotowanych operacji poprzedzonych dokładnym rozpoznaniem celu i z zastosowaniem odpowiednich technik manipulacyjnych.
„APT może wysłać e-mail podszywający się pod dyrektora finansowego, prosząc o kliknięcie w link lub pobranie załącznika, który zainfekuje komputer ofiary i umożliwi dostęp do wewnętrznych systemów bankowych” — czytamy w raporcie.
Jednym z najgłośniejszym przykładów spear phishingu był celowany atak w szefa kampanii wyborczej Hillary Clinton. John Podesta dostał niewinnie wyglądającego mejla z alertem od Google’a z prośbą o zmianę hasła. Kliknął w link i dokonał żądanych zmian. Skutkiem nieprzemyślanej decyzji była kradzież tysięcy mejli dotyczących Hillary Clinton, co w konsekwencji przyczyniło się do przegranych przez nią wyborów prezydenckich w 2016 r.
Sztuczna inteligencja zmienia zasady gry
Przez wiele lat cechą charakterystyczną phishingu w Polsce była słabość językowa wysyłanych komunikatów. Fałszywe wiadomości przetłumaczone z angielskiego często zawierały rażące błędy. Kulawy styl, literówki pozwalały nawet niespecjalnie uważnemu odbiorcy zdemaskować próbę oszustwa. To już przeszłość.
Sztuczna inteligencja pomaga przestępcom przygotowywać dopracowane językowo, sugestywnie napisane komunikaty, gruntownie zmieniając układ sił w cyberprzestrzeni z korzyścią dla przestępców. Wykorzystując proste narzędzia LLM, mogą oni generować treści i profilować je pod kątem określonej grupy odbiorców. AI pomaga tworzyć tekst, obraz oraz klonować głos.
KNF w swoim raporcie zwraca uwagę, że „Cyberprzestępcy mogą używać technologii deepfake do tworzenia fałszywych wiadomości wideo lub audio, które wyglądają i brzmią jak autentyczne komunikaty od zaufanych osób, takich jak dyrektorzy banków czy pracownicy działu IT”.
Jesteśmy o krok od wideophishingu, czyli generowanych w czasie rzeczywistym deepfejkowych telekonferencji z fikcyjnymi rozmówcami, podczas których przestępcy będą się podszywać np. pod dyrektora banku, prosząc pracownika o wykonanie pilnego przelewu na konto oszustów.
Jak bronić się przed phishingiem?
Edukacja i jeszcze raz edukacja — to najskuteczniejsza broń w walce z phishingiem. Świadomość zagrożeń związanych z odbieraniem wiadomości od nieznanych nadawców jest najlepszą obroną przed atakiem przestępców. Tu jednak ważna uwaga — badania pokazują niepokojące zjawisko samozadowolenia wśród osób dobrze wyedukowanych w cyberbezpieczeństwie. Mają one tak duże zaufanie do własnych umiejętności rozpoznawania phishingu, że czasem lekceważą zabezpieczenia techniczne. Według specjalistów od zabezpieczeń zdawanie się na instynkt może prowadzić do utrwalania złych nawyków.
Równie ważne jak nieignorowanie phishingu jest informowanie odpowiednich służb o fałszywej wiadomości. Zazwyczaj są one rozsyłane w ramach masowych kampanii. Informacja o phishingu pozwoli służbom na szybszą identyfikację fali ataków i ostrzeżenie innych. W przypadku fałszywych SMS-ów należy je przesłać na darmowy numer 8080. Można też skorzystać z aplikacji mObywatel, gdzie w zakładce „Usługi” jest sekcja „Bezpiecznie w sieci” — można tu zgłosić przypadek oszustwa, cyberataku lub nielegalnych treści.
Marks & Spencer (kwiecień 2025)
Grupa hakerska Scattered Spider zaatakowała zewnętrznego dostawcę IT sieci M&S. Za pomocą socjotechniki hakerzy zmanipulowali pracowników wsparcia, by przejąć uprawnienia administratora. Skutkiem był paraliż płatności zbliżeniowych i usług click-and-collect, co kosztowało firmę około 300 mln USD i doprowadziło do dymisji CTO.
Change Healthcare (luty 2024)
Cyberprzestępcy z grupy ALPHV/BlackCat wykorzystali skradzione dane logowania jednego pracownika, by wejść do serca amerykańskiego systemu płatności medycznych. Brak dwuskładnikowego uwierzytelniania (MFA) na tym koncie umożliwił wyciek danych 100 mln pacjentów i wymusił zapłatę 22 mln USD okupu.
Colonial Pipeline (maj 2021)
Hakerzy uderzyli w największy rurociąg paliwowy w USA, paraliżując dostawy benzyny na całe Wschodnie Wybrzeże. Atak ransomware — zainicjowany prawdopodobnie przez wyciek hasła lub phishing — zmusił firmę do zapłacenia 5 mln USD okupu i wywołał panikę na stacjach paliw w całym kraju.
Upsher-Smith Laboratories (2017)
Amerykańska firma farmaceutyczna padła ofiarą oszustwa typu CEO fraud. Hakerzy podszywający się pod prezesa przekonali dział księgowości do wykonania dziewięciu przelewów na łączną kwotę 50 mln USD. Firma pozwała później swój bank za zignorowanie podejrzanych nazwisk odbiorców, takich jak Sunny Billion Limited.
Crelan Bank (2016)
Belgijski bank stracił 75,8 mln USD w wyniku ataku business email compromise (BEC). Przestępcy podszywali się pod dyrektora generalnego, nakazując działowi finansowemu pilne transfery pieniędzy za granicę. Oszustwo wykryto dopiero podczas wewnętrznego audytu, a sprawców nigdy nie ujęto.
Ukraińska sieć energetyczna (grudzień 2015)
Spear phishing wymierzony w pracownika elektrowni pozwolił hakerom przejąć kontrolę nad systemami sterowania. Był to jeden z pierwszych przypadków w historii, gdzie złośliwe oprogramowanie przesłane w mejlu doprowadziło do masowego blackoutu, odcinając prąd tysiącom obywateli.
Ubiquiti Networks (2015)
Hakerzy podszywali się pod pracowników i kadrę zarządzającą, by wyłudzić dane do kont bankowych firmy. Z kont spółki zależnej w Hongkongu przelali na własne rachunki 46,7 mln USD.
Sony Pictures (2014)
Po zebraniu danych o pracownikach na LinkedInie hakerzy wysłali spersonalizowane mejle z malware. Skradziono ponad 100 TB danych, w tym finansowe i osobiste rekordy, oraz filmy, które nie trafiły do oficjalnej dystrybucji, co kosztowało Sony ponad 100 mln USD strat i ogromny skandal wizerunkowy.
Kiedy oszust dzwoni lub pisze z informacją, że „ktoś właśnie czyści twoje konto”, aktywuje się w naszym mózgu prymitywny, biologiczny protokół „fight or flight” (walcz lub uciekaj). W ułamku sekundy stres wyłącza analityczne myślenie, a jedynym celem staje się natychmiastowa neutralizacja zagrożenia. Właśnie dlatego ludzie posłusznie podają kody z SMS-ów – presja czasu omija ich naturalne filtry krytyczne.
Drugim potężnym wektorem ataku jest granie na obietnicy szybkiego zysku, co świetnie tłumaczy efekt Dunninga-Krugera. Ludzie masowo wpadają w pułapki „gwarantowanych inwestycji”, ponieważ podświadomie uważają się za wystarczająco bystrych, by wykorzystać okazję. „Przecież znam się na tym, zasługuję na ten zysk”. Im wyższe mniemanie o własnym sprycie w temacie, w którym de facto jesteśmy laikami, tym łatwiej uwierzyć w precyzyjnie skonstruowaną iluzję.
Lubimy się śmiać z prymitywnych maili pełnych literówek, pisanych łamaną polszczyzną czy wygenerowanych przez słabej jakości translatory. Powszechnie dyskutuje się, czy te błędy to celowy filtr odsiewający osoby ostrożne, ale prawda często opiera się po prostu na statystyce masowych wysyłek. Bazy adresów pochodzą z darknetowych wycieków, a operacja jest na tyle tania, że ułamek procenta złapanych ofiar z nawiązką pokrywa koszty przestępców. Niestety ta powszechna, niska jakość „masówki” usypia naszą czujność przed prawdziwym zagrożeniem: atakami celowanymi.
W dzisiejszym ekosystemie oszustw scamy potrafią być nieodróżnialne od oryginałów. Przestępcy bez problemu podrabiają numery telefonów – na ekranie widzisz nazwę swojego banku, choć rozmawiasz z oszustem. Korzystają też z zaawansowanej analityki mediów społecznościowych. Wystarczy odpowiednio sprofilować kampanię reklamową, aby trafiała do osób zainteresowanych rynkiem finansowym. Co gorsza, potrafią wgrać do menedżera reklam bazę maili osób, które już wcześniej oszukali, i targetować na nich reklamy fałszywych „kancelarii prawnych” obiecujących odzyskanie utraconych środków. To czysta, zimna socjotechnika wykorzystująca rozpacz ofiary.
Jak nie zostać dawcą kapitału w tym systemie? Odpowiedzią jest wdrożenie w życiu codziennym zasady ograniczonego zaufania (Zero Trust) bez jakiejkolwiek taryfy ulgowej:
- Ignoruj linki z powiadomień: Niezależnie od tego, czy to SMS od kuriera, czy mail od dostawcy prądu – nigdy nie klikaj w link. Wpisz adres instytucji ręcznie w przeglądarce i tam sprawdź status konta.
- Uważaj na nagłe wylogowania: Zanim w pośpiechu wpiszesz login i hasło na stronie, która rzekomo cię wylogowała, zatrzymaj się. Sprawdź dokładnie adres URL. Często to moment, w którym przekazujesz dane na fałszywej nakładce.
- Weryfikuj innym kanałem (Out-of-band): Ktoś prosi o przelew BLIK przez komunikator? Zadzwoń do niego na zwykły numer telefonu. Wymagaj weryfikacji głosowej.
- Zasada „zbyt piękne, by było prawdziwe”: W internecie nie ma magii ani dróg na skróty. Jeśli oferta wydaje się idealna, niemal na pewno jest pułapką.
Zamiast wierzyć we własną nieomylność, zacznijmy po prostu kwestionować każdy cyfrowy komunikat, który próbuje wymusić na nas pośpiech lub wywołuje silne emocje.
