Cyberbezpieczeństwo 2026: nowe triki phishingu

Dlaczego phishing w 2026 roku staje się bardziej niebezpieczny niż kiedykolwiek

Phishing kiedyś i dziś – krótka, ale ważna ewolucja

Phishing zaczął się niewinnie – od topornych maili pisanych łamanym językiem, z prośbą o „potwierdzenie danych do konta bankowego”. Przez lata schemat był ten sam: wiadomość e‑mail, link do fałszywej strony, próba wyłudzenia loginów, haseł, numerów kart. Prostota tych ataków sprawiała, że każdy czujniejszy użytkownik mógł je szybko rozpoznać.

Od kilku lat phishing przestał być domeną pojedynczych „spryciarzy”, a stał się zorganizowanym biznesem. Pojawiły się gotowe pakiety do przeprowadzania ataków, „phishing as a service”, wypożyczane panele logowania banków, a nawet płatne bazy wykradzionych maili. To wszystko zepchnęło poziom wejścia w cyberprzestępczość bardzo nisko.

Rok 2026 to kolejny skok jakościowy. Phishing nie polega już wyłącznie na fałszywych mailach. Przestępcy łączą e‑maile, komunikatory, media społecznościowe, SMS‑y, a nawet deepfake audio. Atak staje się scenariuszem, a nie pojedynczą wiadomością. To zmienia reguły gry – przestępcy nie „strzelają na oślep”, tylko prowadzą małą kampanię marketingową przeciwko pojedynczemu człowiekowi lub firmie.

Automatyzacja i AI: turbo‑dopalenie dla atakujących

W 2026 roku praktycznie każdy cyberprzestępca korzysta z jakiejś formy automatyzacji i sztucznej inteligencji. Skrypty generują miliony maili, narzędzia do scrapingu zbierają dane z LinkedIn, Facebooka, GitHuba czy stron firm, a modele językowe tworzą treści, które wyglądają jak napisane przez człowieka z tej samej branży.

AI wspiera atakujących na kilku poziomach jednocześnie:

• analiza ofiary – automatyczne przeszukiwanie sieci w poszukiwaniu informacji, które uwiarygodnią wiadomość (nazwy projektów, wydarzenia, nazwiska współpracowników);
• generowanie treści – maile, wiadomości na LinkedIn, komunikaty SMS, a nawet skrypty rozmów telefonicznych szyte pod konkretną osobę;
• personalizacja na skalę masową – każdy mail może mieć inny ton, odwoływać się do innych wydarzeń, a jednak całość jest przygotowywana hurtowo;
• testowanie skuteczności – przestępcy mierzą, które warianty wiadomości są najskuteczniejsze, i automatycznie podkręcają kampanie.

Efekt? Wiadomości phishingowe stają się niepokojąco „ludzkie”. Znikają rażące błędy, pojawia się poprawny język, odpowiedni ton wypowiedzi, a nawet żarty dopasowane do kultury firmy. To nie jest już „głupi spam”, który łatwo wyłapać jednym rzutem oka.

Zmęczenie informacyjne i rozproszona uwaga – paliwo dla phishingu 2026

Równolegle rośnie liczba kanałów, w których musimy być „obecni”: e‑mail, Teams, Slack, WhatsApp, SMS‑y z banku, komunikaty z portali zakupowych, powiadomienia aplikacji mobilnych. Przełączanie się między nimi przez cały dzień powoduje, że mózg działa na autopilocie. Otwieramy wiadomości i klikamy mechanicznie, bo po prostu chcemy mieć skrzynkę „na zero”.

Przestępcy doskonale to wykorzystują. Wiadomości phishingowe są planowane tak, aby:

• przychodziły w godzinach największego natężenia komunikacji (po 9:00 rano, tuż po lunchu, przed końcem dnia),
• udawały „małe zadanie”, które da się szybko „odhaczyć” (akceptacja faktury, potwierdzenie dostawy, pilna aktualizacja hasła),
• wywoływały presję czasu lub lęk przed konsekwencjami (blokada konta, utrata dostępu do aplikacji, niedostarczenie paczki).

Zmęczenie, pośpiech i ciągłe rozproszenie uwagi sprawiają, że nawet bardzo świadome osoby popełniają błędy. Jedno kliknięcie „z rozpędu” otwiera furtkę do konta, firmowej chmury lub prywatnych danych.

Nowe cele: już nie tylko pieniądze, ale kontrola i dostęp

Phishing 2026 rzadziej mierzy prosto w portfel, a częściej w dostęp. Chodzi o przejęcie:

• kont e‑mail (żeby przechwytywać resety haseł i prowadzić dalsze ataki),
• kont w systemach chmurowych (OneDrive, Google Drive, Dropbox, CRM‑y, systemy księgowe),
• konta administratora w firmowych panelach (hosting, zarządzanie użytkownikami, systemami ERP),
• dostępu do serwisów developerskich (GitHub, GitLab), gdzie trzymane są klucze API i fragmenty konfiguracji.

Sam przelew jednorazowy przestaje być najważniejszy. O wiele cenniejsza jest możliwość dyskretnego przebywania na koncie ofiary przez tygodnie: podglądanie korespondencji, zbieranie dokumentów, szukanie wejścia do sieci firmowej. Taki dostęp jest potem odsprzedawany w podziemiu i używany do kolejnych, bardziej zaawansowanych ataków.

Im lepiej rozumiesz logikę ataku, tym szybciej go wyczujesz

Kluczem do odporności w 2026 roku jest nie tyle „lista trików”, ile zrozumienie mechaniki: przestępcy chcą Cię zaskoczyć, zmusić do działania pod presją, wykorzystać autorytet i rutynę. Gdy widzisz szerszy obraz, łatwiej Ci wychwycić drobny zgrzyt: nietypową prośbę, dziwną zmianę kanału komunikacji, niepasujące sformułowanie. To jest Twój prywatny „radar” anty‑phishingowy – a im bardziej go wyostrzysz, tym spokojniej będziesz korzystać z technologii.

Jak wyglądają „klasyczne” ataki phishingowe i dlaczego już nie wystarczają przestępcom

Stare schematy: fałszywe maile od banków, kurierów, serwisów

Klasyczny phishing to wciąż wiadomości e‑mail podszywające się pod znane marki: banki, firmy kurierskie, serwisy streamingowe czy platformy zakupowe. Konstrukcja jest zwykle prosta:

• nadawca udaje „Bank XYZ”, „DHL”, „Netflix”, „Allegro”;
• w treści pojawia się komunikat o problemie: blokada konta, niedostarczona paczka, zaległa płatność, błąd rozliczenia;
• w wiadomości znajduje się link albo załącznik z rzekomą fakturą lub potwierdzeniem;
• po kliknięciu użytkownik trafia na stronę łudząco podobną do prawdziwej, gdzie ma podać dane logowania lub kartę.

Przez lata takie ataki były bardzo skuteczne, bo użytkownicy dopiero uczyli się odróżniać fałszywe maile od prawdziwych. Dziś większość osób wie, że nie klika się w podejrzane linki z maila od „banku” i nie podaje loginu po takim przejściu.

Dlaczego klasyczny phishing traci skuteczność

Są trzy główne powody, dla których stare sztuczki przestają działać tak dobrze jak kiedyś.

Po pierwsze, użytkownicy są dużo bardziej świadomi. Kampanie edukacyjne, komunikaty banków i mediów spowodowały, że „wzorzec” fałszywego maila jest szeroko rozpoznawalny: dziwny adres, literówki w nazwie domeny, dramatyczny ton, groźby natychmiastowej blokady. Coraz więcej osób reaguje sceptycznie.

Po drugie, filtry antyspamowe stały się znacznie skuteczniejsze. Systemy pocztowe korzystają z analizy behawioralnej, reputacji domen, a nawet elementów uczenia maszynowego, aby wyłapywać masowe kampanie phishingowe. Duża część prymitywnych maili nie trafia do skrzynki odbiorczej w ogóle.

Po trzecie, wzrosła „gęstość” prawdziwych komunikatów bezpieczeństwa. Aktualizacje, powiadomienia 2FA, alerty z banków – wszystko to sprawia, że użytkownicy przyzwyczaili się do komunikatów o bezpieczeństwie. Przestępcy muszą więc być subtelniejsi, jeśli chcą się w ten strumień wpasować.

Jak cyberprzestępcy testują nowe techniki

Kiedy skuteczność klasycznego spamu spada, cyberprzestępcy robią dokładnie to, co marketerzy: testują nowe formaty i kanały. Pojawiają się małe kampanie „pilotażowe” w nowych krajach, branżach czy platformach. Analizowane są wskaźniki otwarć, kliknięć, ilości przejętych kont. Na podstawie tych danych powstają „szablony”, które później są skalowane.

Przestępcy eksperymentują m.in. z:

• przenoszeniem ataków z maila do komunikatorów (WhatsApp, Messenger, Slack),
• podszywaniem się pod wewnętrzne działy IT/HR zamiast znanych marek,
• łączeniem różnych kanałów: najpierw mail, potem telefon „weryfikacyjny”,
• wykorzystaniem fake’owych ogłoszeń pracy i procesów rekrutacyjnych.

Nowe triki rodzą się właśnie tam, gdzie klasyczny phishing przestaje dawać satysfakcjonujący zwrot z inwestycji. Rozróżnienie stare vs nowe schematy pozwala szybciej „poczuć”, że coś jest nie tak, gdy format wiadomości zaczyna wychodzić poza znany schemat.

Co daje świadomość „starego” phishingu w 2026

Mimo że wiele technik się zmienia, solidne rozpoznawanie klasycznych sztuczek nadal mocno poprawia bezpieczeństwo. Jeśli automatycznie wyłapujesz:

• fałszywe domeny i linki skracane w podejrzany sposób,
• prośby o podanie hasła po kliknięciu z maila,
• załączniki typu .zip, .exe, .docm od nieznanych nadawców,
• groźby natychmiastowej blokady przy minimalnych informacjach,

– masz wolną głowę, by całą czujność poświęcić nowym trikom, a nie odgrzewanym klasykom. Zbuduj sobie taki „automatyczny filtr w głowie”, a dużo trudniej będzie Cię zaskoczyć.

Phishing wspierany sztuczną inteligencją – nowy standard ataków

Perfekcyjny język i styl: maile jak od Twojego działu HR

Największa zmiana w phishingu 2026 dotyczy jakości treści. Dzięki narzędziom AI przestępcy są w stanie generować wiadomości:

• bez błędów gramatycznych i ortograficznych,
• w pełni dopasowane do języka polskiego, biznesowego, branżowego,
• imitujące styl konkretnej osoby lub działu (np. HR, IT, księgowość).

Jeśli do tej pory jednym z Twoich głównych filtrów było „sprawdzam, czy są błędy w mailu”, ten filtr w 2026 zaczyna tracić sens. Teksty pisane przez modele językowe są często lepsze niż te tworzone na szybko przez prawdziwych pracowników.

Przykładowy scenariusz: AI zbiera z Twojej firmowej strony i social mediów kilka prawdziwych komunikatów od działu HR. Na tej podstawie „uczy się” stylu: czy używane są emotikony, jak wyglądają podpisy, czy stosowany jest luz czy formalny język. Następnie generuje maila z informacją o „aktualizacji regulaminu pracy zdalnej” z linkiem do „nowego systemu logowania”. Wizualnie i językowo wszystko wygląda tak, jak poprzednie, prawdziwe maile z HR.

Treść dopasowana do Ciebie: AI jako analityk i copywriter przestępców

Modele AI pozwalają automatycznie profilować ofiarę i pod tym kątem przygotować wiadomość. System przeszukuje sieć w poszukiwaniu informacji: stanowisko, branża, udział w konferencjach, posty na LinkedIn, aktywność w projektach open source. Bazując na tym, generuje bardzo wiarygodną historię.

Przykładowe dopasowania:

• programista – wiadomość o „audytu bezpieczeństwa kodu” lub „problemach z repozytorium”, z linkiem do fałszywego GitLaba;
• specjalista HR – przesyłka z „CV kandydata na stanowisko X” w formie zainfekowanego dokumentu;
• menedżer sprzedaży – prośba od „klienta” o pilną wycenę z załączonym „briefem” zawierającym malware;
• księgowy – fałszywa wiadomość o „nowych wymaganiach KSeF” z linkiem do logowania.

To nie są już ogólne kampanie do miliona anonimowych adresów. To precyzyjne wiadomości pisane tak, aby trafić w Twoje codzienne obowiązki. W takim scenariuszu naturalne staje się otwarcie pliku „CV” albo dokumentu „Zamówienie 2026‑Q2”.

Dynamiczny phishing: AI reaguje na Twoje odpowiedzi

Nowy etap to tzw. phishing konwersacyjny. Zamiast jednego maila, przestępcy uruchamiają cały wątek. AI analizuje każdą Twoją odpowiedź i generuje kolejną wiadomość w odpowiednim tonie. Widzisz spójną rozmowę z „klientem”, „kandydatem” czy „działem IT”, która wygląda jak normalna, robocza komunikacja.

Automatyczne generowanie załączników i fałszywych stron

AI nie kończy się na samym mailu. Coraz częściej generuje również całą „otoczkę” techniczną ataku: dokumenty, prezentacje, a nawet kompletne, interaktywne strony logowania.

Typowy pakiet phishingowy 2026 to już nie jeden plik .doc, ale:

• spersonalizowany PDF z Twoim imieniem i nazwiskiem w treści,
• dynamiczna strona logowania w domenie łudząco podobnej do firmowej,
• skrypt, który automatycznie pobiera kolejne dane (tokeny, ciasteczka, MFA).

Modele generatywne potrafią tworzyć szablony faktur, umów, kart wyników, a nawet pseudo‑raporty z narzędzi bezpieczeństwa, które wyglądają jak eksport z prawdziwego systemu. Znika dysonans: treść maila, załącznik i strona „docelowa” są spójne językowo i wizualnie.

Dobra praktyka na 2026 rok jest prosta: im bardziej „dopieszczony” i idealnie dopasowany dokument, tym ostrożniej trzeba go traktować. Technologia, która poprawia komfort pracy, równie skutecznie poprawia komfort pracy przestępców.

AI jako fabryka fałszywych tożsamości

Drugim filarem nowego phishingu są syntetyczne tożsamości. AI produkuje całe persony: zdjęcia profilowe, opisy stanowisk, historię kariery, a nawet drobne interakcje w sieci, które mają uwiarygodnić konto.

Na LinkedIn, w Slacku czy na wewnętrznych forach mogą pojawić się „nowi koledzy z działu”, „partnerzy technologiczni” albo „rekruterzy”. Za każdy z tych profili odpowiada skrypt, który:

• regularnie publikuje branżowe treści generowane przez AI,
• komentuje posty wybranych osób, aby zbudować relację,
• po kilku tygodniach inicjuje prywatną rozmowę z konkretną prośbą.

To już nie jest jednorazowy atak, ale mała kampania socjotechniczna. Gdy ktoś rozmawia z takim „profilem” przez parę tygodni, granica zaufania przesuwa się bardzo daleko. Wtedy prośba o otwarcie załącznika z ofertą, podpisanie umowy czy zalogowanie do „panelu partnera” brzmi zupełnie naturalnie.

Najlepszą tarczą jest zdrowa dawka sceptycyzmu wobec profili, które robią „perfekcyjne” wrażenie i bardzo szybko dążą do przeniesienia rozmowy na prywatny kanał lub do przesłania pliku.

Jak rozpoznać phishing wspierany AI w codziennej pracy

Nie ma jednej magicznej cechy, która zdradzi udział AI. Pojawia się jednak kilka powtarzalnych sygnałów, które razem tworzą obraz „zbyt idealnej” komunikacji.

Zwracaj uwagę na sytuacje, gdy:

• komunikat jest nienaturalnie dopracowany, ale jednocześnie zbyt ogólny wobec realiów Twojej firmy,
• rozmówca błyskawicznie odpowiada o każdej porze, w tym w nocy i weekendy, zawsze tym samym, gładkim stylem,
• w treści pojawiają się „przełączniki akcji”: nagłe przejście z luźnej rozmowy do pilnej prośby o wykonanie konkretnego kroku (logowanie, płatność, pobranie pliku),
• każda Twoja wątpliwość jest natychmiast rozwiewana bardzo rzeczową, ale jednak ogólną odpowiedzią.

Im lepiej znasz sposób komunikacji we własnej organizacji (tempo, styl, używane narzędzia), tym szybciej wychwycisz, że masz do czynienia z „aktorami z zewnątrz”. Zadbaj o to, żeby Twój mózg nie wyłączał krytycznego myślenia tylko dlatego, że tekst wygląda profesjonalnie.

Deepfake i phishing głosowy (vishing): gdy słyszysz „szefa”, ale to nie on

Głos na zawołanie: jak powstaje deepfake telefoniczny

Do stworzenia przekonującego klona głosu wystarczy już kilkuminutowe nagranie. Konferencje, webinary, podcasty, a nawet publiczne wystąpienia – to wygodne źródło materiału treningowego dla przestępców.

Narzędzia do syntezy mowy pozwalają wygenerować:

• wiadomości głosowe na komunikatorach,
• rozmowy telefoniczne „na żywo” z użyciem AI,
• nagrania instrukcji dla działów finansowych czy operacyjnych.

Scenariusz staje się wyjątkowo groźny, gdy z deepfake’iem głosowym łączy się klasyczny phishing mailowy. Najpierw przychodzi mail „od prezesa” o pilnej transakcji, a chwilę później dzwoni „prezes”, który łamanym głosem potwierdza polecenie służbowe. Dla wielu osób to wystarczający dowód autentyczności.

Vishing w firmie: presja autorytetu + presja czasu

Telefony od „szefa IT”, „audytora z banku” czy „partnera biznesowego” to nic nowego. Nowością jest jakość imitacji i precyzja scenariusza. Głos brzmi jak znajoma osoba, zna nazwy projektów, wewnętrzne skróty, a nawet drobne anegdoty z ostatnich spotkań – bo wcześniej przeanalizowano je z firmowych materiałów.

Najczęstsze cele takich rozmów to:

• nakłonienie do podania kodów jednorazowych (MFA, autoryzacje przelewów),
• zmiana numerów kont księgowych dostawców „w trybie pilnym”,
• skłonienie do instalacji „narzędzia zdalnego wsparcia”,
• wymuszenie autoryzacji dużej płatności „poza standardową procedurą”.

Siła vishingu polega na tym, że atak dzieje się w czasie rzeczywistym. Trudniej zrobić spokojną analizę, łatwiej ulec atmosferze „awarii” czy „katastrofy wizerunkowej”, którą rozmówca umiejętnie nakręca.

Jak bronić się przed deepfake w praktyce

Tu nie pomogą żadne „magiczne słowa bezpieczeństwa”. Liczy się procedura i konsekwencja. Kilka prostych zasad potrafi uratować budżet całej firmy:

• Dwukanałowa weryfikacja poleceń – każde nietypowe zlecenie finansowe lub techniczne potwierdzaj innym kanałem niż ten, w którym przyszło (np. osobny komunikator, SMS, wewnętrzny ticket).
• Sztywne limity decyzyjne – pracownik, nawet pod presją „prezesa”, nie powinien mieć możliwości obejścia ustalonych progów akceptacji przelewów czy zmian w systemach.
• „Bezpieczne nie” jako standard – kultura organizacyjna, która jasno mówi: „masz prawo odmówić wykonania polecenia, jeśli narusza procedurę, nawet jeśli dzwoni zarząd”.

Warto przećwiczyć taki scenariusz na sucho: krótka symulacja rozmowy z „szefem”, który wymusza niestandardowe działanie, mocno wzmacnia refleks w realnych sytuacjach.

Deepfake wideo: gdy obraz przestaje być dowodem

Kolejnym etapem są fałszywe nagrania wideo: krótkie komunikaty „od zarządu”, ogłoszenia o restrukturyzacji, zaproszenia na nadzwyczajne spotkania. Z punktu widzenia phishingu to idealne narzędzie – film buduje emocje i poczucie bezpośredniego kontaktu.

W praktyce można się już spotkać z:

• nagraną „wiadomością” prezesa do działu finansowego z prośbą o poufną obsługę transakcji,
• filmami „od działu IT” instruującymi, jak zainstalować nowego klienta VPN (oczywiście fałszywego),
• deepfake’owymi wystąpieniami „partnerów” ogłaszających nową, rzekomo atrakcyjną współpracę.

Najlepszą odpowiedzią nie jest próba samodzielnego „analizowania pikseli”, lecz trzymanie się zasady: żaden film, nawet najbardziej przekonujący, nie omija przyjętych procedur bezpieczeństwa. Jeśli wideo sugeruje działanie niezgodne z zasadami – wygrywają zasady.

Nowe pola ataku: phishing w komunikatorach, mediach społecznościowych i aplikacjach

Komunikatory jako nowa skrzynka odbiorcza dla przestępców

Mail przestał być jedynym miejscem, gdzie „coś przychodzi”. Większość z nas żyje dzisiaj w Slacku, Teamsach, WhatsAppie, Messengerze czy Signal. I dokładnie tam podążyli przestępcy.

Ataki w komunikatorach mają kilka przewag:

• wiadomości wydają się bardziej „prywatne” i mniej formalne,
• użytkownicy szybciej reagują i rzadziej sprawdzają szczegóły,
• nie ma klasycznych filtrów antyspamowych, które zatrzymają podejrzane treści.

Typowy przykład: w firmowym Slacku pojawia się wiadomość od „IT Support”: prośba o szybkie potwierdzenie danych logowania, bo „jutro migracja do nowego systemu SSO”. Link prowadzi do fałszywej strony, a konto „IT Support” zostało właśnie utworzone i ma prawie pustą historię.

Prosty odruch do wypracowania: zanim klikniesz w link z prośbą o logowanie, sprawdź w profilu nadawcy historię jego aktywności i przynależność do zespołów. Jeśli to „nowy dział IT”, który ma trzy wiadomości na krzyż, zatrzymaj się.

Phishing w mediach społecznościowych: od konkursów po zaproszenia na webinary

Social media łączą sferę prywatną i zawodową, więc stają się wygodną przestrzenią dla sprytnych ataków. Tu mniej działa „straszenie blokadą konta”, a więcej – obietnica okazji, prestiżu lub wyjątkowego dostępu.

Najczęstsze motywy:

• „ekskluzywne” webinary z liderami branży (link do rejestracji prowadzi do strony zbierającej loginy),
• konkursy z nagrodami sponsorowanymi przez znane marki (fałszywe formularze płatności),
• wiadomości prywatne z linkiem do „wspólnego projektu” umieszczonego na podejrzanej platformie.

Ciekawym zjawiskiem są kampanie, w których napastnicy budują całe „ekosystemy” profili: fanpage wydarzenia, profil „prelegenta”, sponsorów, a nawet grupy dyskusyjne. Wszystko po to, aby oswoić ofiarę z marką i doprowadzić ją do kluczowego kliknięcia.

Bezpieczna praktyka: jeśli trafiasz na atrakcyjne wydarzenie przez social media, wyszukaj je niezależnie w przeglądarce lub bezpośrednio na stronie organizatora, zamiast klikać w link z posta czy wiadomości.

Aplikacje mobilne i powiadomienia push jako wektor phishingu

Na smartfonie decyzje podejmuje się szybciej. Mały ekran, multitasking, jazda komunikacją, rozmowa przez telefon – to idealne środowisko do podsuwania pochopnych kliknięć.

Nowe triki koncentrują się na:

• fałszywych powiadomieniach push „z banku” lub „z platformy zakupowej”,
• aplikacjach‑klonach znanych narzędzi (np. menedżerów projektów),
• linkach w SMS‑ach i komunikatorach, które otwierają pseudo‑aplikacje webowe.

Jednym z bardziej podstępnych scenariuszy jest tzw. push bombing: zalewanie telefonu powiadomieniami o logowaniu, aż w końcu znużony użytkownik przypadkowo zaakceptuje jedno z nich. Jeśli napastnik w tym czasie próbuje zalogować się na Twoje konto, akceptujesz w praktyce jego dostęp.

Skuteczna obrona to m.in. korzystanie z aplikacji bankowych i firmowych wyłącznie z oficjalnych sklepów, a także uważne czytanie treści powiadomień (dokładna kwota, odbiorca, rodzaj operacji). Jedno świadome spojrzenie więcej może powstrzymać całą kaskadę kłopotów.

Ataki cross‑channel: kiedy jeden komunikat udaje „potwierdzenie” drugiego

Coraz częściej phishing nie ogranicza się do jednego kanału. Mail, komunikator, telefon, SMS i powiadomienie aplikacji mogą zostać użyte w jednym scenariuszu, który ma uwiarygodnić sam siebie.

Przykład z praktyki: do pracownika finansów trafia mail o nadchodzącym audycie, następnie w Teams pojawia się wiadomość od „audytora” z prośbą o przygotowanie danych dostępowych, a na koniec przychodzi SMS „z banku” z kodem potwierdzającym zmianę uprawnień. Każdy element osobno może wyglądać w miarę poprawnie; w całości tworzą pułapkę.

Dobrą nawigacją w takim chaosie jest jeden punkt odniesienia w firmie – oficjalny kanał ogłoszeń (intranet, tablica w Teams, system ticketowy). Jeśli tam nie ma informacji o nowej procedurze, audycie czy migracji, traktuj wszystkie „dookólne” wiadomości z dużą ostrożnością.

Ukierunkowany phishing (spear phishing) i ataki na LinkedIn, rekrutację i karierę

Spear phishing: atak szyty na jedną osobę lub zespół

Masowe kampanie stają się tłem, a prawdziwe szkody robią precyzyjne ataki na konkretne osoby. Zarząd, księgowość, kluczowi inżynierowie, admini systemów – to priorytetowe cele, na które przestępcy poświęcają więcej czasu i środków.

Spear phishing łączy kilka elementów:

• szczegółowy research (social media, wystąpienia publiczne, dokumenty w sieci),
• spójny scenariusz dopasowany do roli ofiary,
• dobrze dobrany moment (okres zamknięcia kwartału, urlopy, zmiany organizacyjne).

Ataki na proces rekrutacji: CV jako nośnik zagrożeń

Proces rekrutacji to złoty graal dla przestępców: dużo nowych kontaktów, presja czasu, otwartość na nieznajomych. Do tego dochodzą stosy załączników, linków do portfolio i plików z kodem.

Najczęściej wykorzystywane sztuczki to:

• CV i portfolio w formie plików Office z makrami, podszywające się pod „szablony z popularnych serwisów”,
• linki do rzekomego GitHuba lub Behance, które w rzeczywistości prowadzą do stron wyłudzających loginy do narzędzi firmowych,
• fałszywe profile „kandydatów” na LinkedIn kierujące rekruterów do złośliwych formularzy rezerwacji spotkania.

Scenariusz z praktyki: do rekrutera trafia aplikacja senior developera z perfekcyjnie dopasowanym doświadczeniem. W CV jest link „Kod testowy w repozytorium prywatnym – dostęp tutaj”. Po kliknięciu formularz prosi o zalogowanie się firmowym kontem do „prywatnego GitHuba”. Efekt: przejęte dane logowania do wewnętrznego systemu.

Żeby odciąć takie próby, opłaca się:

• ustalić jeden, oficjalny sposób przekazywania zadań rekrutacyjnych (np. firmowa platforma),
• zabronić logowania do zewnętrznych serwisów „przez konto służbowe” na potrzeby rekrutacji,
• otwierać załączniki kandydatów w środowisku odseparowanym (np. wirtualna maszyna, sandbox).

Jeśli odpowiadasz za HR lub rekrutację, potraktuj skrzynkę „rekrutacja@” jak skrzynkę zarządu – to frontowe drzwi do firmy.

Fałszywe oferty pracy i „headhunterzy” jako przynęta

Osoby szukające pracy są naturalnie bardziej skłonne do ryzyka: klikają szybciej, chętniej instalują nowe narzędzia i logują się do kolejnych platform. Cyberprzestępcy doskonale to wykorzystują.

Typowe schematy obejmują:

• wiadomości od rzekomych rekruterów z dużych marek, którzy „nie mogą wysłać pełnej oferty na LinkedIn” i proszą o przejście na prywatny komunikator,
• fałszywe formularze aplikacyjne wymagające podania danych z dowodu osobistego, skanów dokumentów czy numeru karty „do weryfikacji tożsamości”,
• instalatory „narzędzi do testu kompetencji”, które są w istocie trojanami zbierającymi hasła.

Prosty filtr: poważny rekruter nie będzie wymagał instalacji nieznanego oprogramowania ani pełnych danych dokumentu tożsamości na pierwszym etapie rozmów. Jeśli takie żądanie pada – traktuj to jak syrenę alarmową.

Dobrym nawykiem jest też weryfikacja rekrutera: sprawdź, czy firma, którą reprezentuje, wymienia go na swojej stronie lub czy jego profil na LinkedIn ma historię aktywności zgodną z branżą i rolą.

Jeśli aktywnie szukasz pracy, ustaw sobie prostą zasadę: żadnych danych z dokumentów, żadnych instalatorów – przynajmniej do momentu podpisania realnej umowy w zweryfikowanej firmie.

LinkedIn jako mapa do ataku na konkretne osoby

LinkedIn to gotowy katalog ról, projektów i relacji w organizacji. Dla napastnika to jak mapa terenu przed „operacją”. Spear phishing często zaczyna się od dokładnej analizy Twojego profilu.

Na celowniku lądują przede wszystkim osoby, które:

• mają w opisie stanowiska wzmianki o dostępie do budżetów, systemów lub kluczowych klientów,
• często publikują szczegóły projektów, technologii i narzędzi, z których korzysta firma,
• chętnie przyjmują zaproszenia od nieznajomych z branży.

Przestępcy budują dzięki temu precyzyjne scenariusze: wiedzą, w jakim projekcie pracujesz, kogo masz nad sobą i pod sobą, jakimi narzędziami się posługujesz. Na tej podstawie powstaje wiadomość „od partnera”, „od dostawcy toola” albo „od przełożonego z innego działu”.

Bezpieczne podejście do LinkedIna nie oznacza zamknięcia profilu na głucho. Raczej lekką redakcję:

• unikaj wymieniania dokładnych konfiguracji systemów i wewnętrznych nazw projektów,
• nie opisuj szczegółowo poziomu dostępu, uprawnień czy wewnętrznych procedur,
• traktuj sekcję „O mnie” jak wystąpienie na konferencji, a nie notatkę z wewnętrznego wiki.

Krótka korekta profilu potrafi obniżyć atrakcyjność Twojej osoby jako celu, bez psucia efektu „silnej marki osobistej”.

Fałszywe profile ekspertów i mentorów kariery

Równolegle rozwija się trend podszywania pod „mentora”, „consultanta ds. kariery” czy „eksperta branżowego”. Takie konto wygląda świetnie: profesjonalne zdjęcie, dopracowane CV, kilka artykułów wygenerowanych przez AI i kilkuset znajomych.

Cel jest prosty: zdobyć Twoje zaufanie, a potem zaprosić na:

• „bezpłatną sesję doradczą”, podczas której zostaniesz przekierowany do złośliwej aplikacji lub fałszywego narzędzia do wideokonferencji,
• „zamkniętą grupę ekspertów”, do której wejdziesz logując się kontem służbowym,
• wspólny „research nad rynkiem”, wymagający dostępu do dokumentów Twojej firmy.

Jeden krótki research mentora potrafi wykryć większość takich atrap: brak realnych interakcji z innymi ekspertami, powtarzalne komentarze skopiowane pod różne posty, nienaturalnie szybki przyrost kontaktów. Jeśli coś zgrzyta w intuicji – nie odsłaniaj kulis swojej pracy i nie loguj się przez firmowe SSO do „grup eksperckich”.

Relacje mentorskie mogą mocno przyspieszyć karierę, ale niech pierwszym filtrem będzie zdrowy sceptycyzm i zasada „minimum danych o firmie” w takich rozmowach.

Scenariusze BEC 2.0: gdy phishing miesza się z księgowością

Business Email Compromise (BEC) to seria ataków, w których celem jest przejęcie płatności firmowych. W wersji 2026 roku nie chodzi już tylko o podrobiony mail z fakturą. Atak ma kształt procesu, który przeplata się z codzienną pracą finansów i sprzedaży.

Przykładowy scenariusz:

1. Napastnik przez tygodnie śledzi korespondencję z jednym z kluczowych dostawców (dzięki wcześniejszemu włamaniu do konta lub mądremu podsłuchowi w komunikatorach).
2. W odpowiednim momencie wysyła z przejętej lub bardzo podobnej domeny prośbę o „aktualizację numeru konta” z powodu „nowej spółki operacyjnej”.
3. Wciąga rozmówcę w serię wymian maili, w których podaje poprawne szczegóły dotychczasowej współpracy, aby zbudować wiarygodność.
4. Po kilku tygodniach część płatności zaczyna płynąć na konto kontrolowane przez przestępców – niby nic się nie „wysypało”, systemy działają, relacja trwa.

Tu nie uratuje pojedyncze „uważne spojrzenie na maila”. Obrona to proces:

• formalna procedura zmiany danych dostawcy zawsze z potwierdzeniem przez niezależny kanał (np. telefon na znany numer, nie ten z maila),
• segregacja obowiązków – jedna osoba nie powinna móc sama zmienić danych kontrahenta i zlecić przelewu,
• regularne raporty z „niecodziennych” zmian w kartotekach dostawców.

Jeśli masz wpływ na finanse lub księgowość, przegadaj z zespołem choć jedną „symulowaną” próbę BEC. Dziesięć minut rozmowy potrafi zmienić sposób patrzenia na każdy mail z prośbą o zmianę numeru konta.

Jak AI zmienia grę w spear phishingu

Sztuczna inteligencja zdjęła przestępcom większość ograniczeń czasowych. Tam, gdzie kiedyś trzeba było tygodniami dłubać w danych, dziś kilka narzędzi potrafi zbudować pełny profil ofiary.

Najważniejsze zmiany to:

• automatyczne zbieranie i łączenie publicznych informacji z różnych źródeł (social media, prezentacje konferencyjne, rejestry publiczne),
• generowanie wiadomości dopasowanych do stylu komunikacji firmy, a nawet konkretnej osoby,
• masowe tworzenie „unikalnych” scenariuszy ataku dla setek osób naraz.

Trzonem obrony nie jest więc polowanie na błędy językowe czy „dziwny styl”. W 2026 roku phish potrafi być napisany lepiej niż wewnętrzny newsletter. Pewniejsze są:

• procedury weryfikacji poleceń (zwłaszcza finansowych i technicznych),
• minimalizacja publicznie dostępnych informacji o wewnętrznych narzędziach, strukturze i klientach,
• trening rozpoznawania nietypowych próśb, nawet jeśli są perfekcyjnie sformułowane.

Im bardziej AI ułatwia napastnikom „dopasowanie się” do Twojej firmy, tym ważniejsze są twarde reguły gry, których nie da się obejść ładnym mailem.

Mikrosygnatury ataku: na co zwracać uwagę w codziennej pracy

Nowoczesny phishing rzadko wygląda jak oczywista pułapka. Częściej jako drobne odchylenie od tego, do czego jesteś przyzwyczajony. Kluczem staje się wychwytywanie mikrosygnatur – małych sygnałów ostrzegawczych.

Przykładowe sygnały:

• nagle zmieniony ton komunikacji od znanej osoby (np. dużo większa presja czasu, nietypowe skróty, dziwna „uprzejmość” lub jej brak),
• prośby o wykonanie niestandardowych działań „tylko tym razem”, choć normalnie wymagałyby kilku akceptacji,
• łączenie wielu kanałów naraz (mail + SMS + komunikator) w krótkim czasie wokół jednego tematu.

Dobrym ćwiczeniem jest krótkie podsumowanie dnia: które trzy sytuacje wywołały Twoją niepewność? Czy zapytałeś wtedy kogoś innego, czy zadziałałeś sam? Tak buduje się mięsień cyberczujności – nie na szkoleniach raz w roku, lecz w mikrorefleksjach po codziennej pracy.

Wprowadź w zespole prostą zasadę: jeśli cokolwiek „nie pasuje”, lepiej zapytać dwa razy niż kliknąć raz za dużo.