W ciągu ostatnich osiemnastu miesięcy sektor przedsiębiorstw przeszedł od fascynacji generatywną sztuczną inteligencją do fazy jej aktywnego wdrażania w procesy operacyjne. Kluczowym trendem tej ewolucji jest przejście od pasywnych modeli językowych (LLM) do agentów AI – autonomicznych systemów zdolnych nie tylko do generowania tekstu, ale i do wykonywania zadań: pisania kodu, zarządzania komunikacją e-mail, wywoływania API czy autoryzowania transakcji finansowych. Wraz z tą sprawczością pojawia się jednak nowa, krytyczna kategoria zagrożeń: Indirect Prompt Injection (IPI). Najnowsze dane płynące z raportów Google oraz firmy Forcepoint rzucają nowe światło na skalę i wyrafinowanie tych ataków, sugerując, że bezpieczeństwo systemów agentycznych stanie się w najbliższych latach jednym z największych wyzwań dla dyrektorów ds. bezpieczeństwa informacji (CISO).
Mechanizm IPI: Dane jako instrukcje
Tradycyjne ataki typu prompt injection polegały na bezpośredniej manipulacji modelem przez użytkownika (np. próba „jailbreaku” bota poprzez wydanie mu komendy ignorowania zabezpieczeń). Indirect Prompt Injection jest zjawiskiem znacznie bardziej podstępnym. Polega ono na umieszczeniu złośliwych instrukcji w treściach, które agent AI przetwarza jako dane wejściowe – mogą to być strony internetowe, dokumenty PDF, maile czy repozytoria kodu.
Problem tkwi w samej architekturze obecnych modeli LLM, które nie potrafią w sposób absolutny oddzielić instrukcji systemowych (wydanych przez twórcę narzędzia) od danych zewnętrznych. Gdy agent AI analizuje stronę internetową w poszukiwaniu informacji, może natrafić na ukryty tekst, który model zinterpretuje jako nową, nadrzędną komendę. W efekcie napastnik przejmuje kontrolę nad logiką działania agenta, nakazując mu np. wysłanie poufnych danych na zewnętrzny serwer lub wykonanie destrukcyjnej operacji na systemie plików użytkownika.
Analiza trendów rynkowych
Badacze Google Security Research, analizując zasoby CommonCrawl, wskazują na alarmujący trend. W okresie od listopada 2025 do lutego 2026 roku odnotowano 32-procentowy wzrost liczby wykrytych prób złośliwych wstrzyknięć w publicznie dostępnych zasobach sieciowych. Ten relatywnie krótki przedział czasu pokazuje dynamikę, z jaką środowisko przestępcze adaptuje się do nowych technologii.
Z perspektywy rynkowej kluczowe jest spostrzeżenie Google dotyczące rachunku kosztów i korzyści. Do niedawna ataki IPI były uważane za sferę badań akademickich – były trudne w realizacji i często kończyły się niepowodzeniem ze względu na niestabilność wyników generowanych przez AI. Obecnie, wraz ze wzrostem niezawodności i sprawczości agentów, ataki te stają się „opłacalne”. Zdolność AI do autonomicznego wywoływania narzędzi zewnętrznych (tool calling) sprawia, że udane wstrzyknięcie instrukcji ma natychmiastowe i wymierne skutki finansowe lub operacyjne.
Badanie Google pozwoliło na skategoryzowanie obecnych prób IPI na pięć grup:
Nieszkodliwe dowcipy: Próby zmiany tonu odpowiedzi agenta.
Pomocne wskazówki: Sugerowanie modelowi preferencyjnych odpowiedzi (często na granicy etyki).
Optymalizacja pod AI (AI-SEO):Ukryte frazy mające na celu pozycjonowanie produktów w odpowiedziach asystentów.
Odstraszanie agentów: Instrukcje zakazujące AI indeksowania lub streszczania danej strony.
Ataki złośliwe: Eksfiltracja danych oraz sabotaż (usuwanie plików, niszczenie kopii zapasowych).
Choć obecnie te ostatnie są często na etapie eksperymentalnym, ich rosnąca złożoność sugeruje, że wejście w fazę masowych ataków jest kwestią czasu.
Od asystentów kodowania po transakcje finansowe
Raport Forcepoint dostarcza konkretnych dowodów na to, jak IPI manifestuje się w profesjonalnych narzędziach programistycznych i finansowych. Eksperci zidentyfikowali dziesięć zweryfikowanych wskaźników ataków wymierzonych w popularne narzędzia, takie jak GitHub Copilot, Cursor czy Claude Code.
Scenariusz ataku jest prozaiczny: programista używa agenta AI do analizy biblioteki lub dokumentacji na zewnętrznej stronie. Strona ta zawiera ukrytą instrukcję IPI. Gdy agent „czyta” witrynę, otrzymuje polecenie wykonania w terminalu komendy niszczącej lokalne kopie zapasowe. Ponieważ agent ma uprawnienia do operowania na systemie plików (co jest niezbędne w pracy programisty), polecenie może zostać wykonane bez dodatkowej weryfikacji.
Jeszcze bardziej niebezpiecznie prezentują się próby oszustw finansowych. Forcepoint wskazuje na przypadki, w których w treściach internetowych zaszyte są kompletne instrukcje transakcyjne, np. linki PayPal.me z predefiniowaną kwotą wraz z poleceniami „krok po kroku”, jak agent ma sfinalizować płatność. W systemach, gdzie AI ma dostęp do portfeli cyfrowych lub firmowych systemów płatności, ryzyko utraty kapitału staje się bezpośrednie.
Paradoks detekcji i wyzwania dla biznesu
Jednym z najbardziej niepokojących wniosków z raportu Forcepoint jest tzw. paradoks detekcji. Frazy i słowa kluczowe używane przez napastników do wstrzykiwania podpowiedzi są identyczne z terminologią, której używa społeczność cyberbezpieczeństwa do opisywania i analizowania tych zagrożeń. Powoduje to, że proste filtry oparte na czarnych listach słów są nieskuteczne – albo blokują legalną komunikację ekspertów, albo przepuszczają inteligentnie sformułowane ataki.
Jeszcze do niedawna eksperci od cyberbezpieczeństwa ostrzegali przed liniowym wzrostem zagrożeń. Rok 2025 przyniósł jednak zmianę, którą można określić mianem szoku statystycznego. Z najnowszych danych zespołu CERT Polska (NASK) wynika, że tylko w ciągu pierwszych sześciu miesięcy tego roku cyberprzestępcy stworzyli ponad 100 tysięcy domen służących do wyłudzania danych i pieniędzy.
Aby zrozumieć skalę tego zjawiska, wystarczy spojrzeć wstecz: w całym, rekordowym dotąd roku 2024, na Listę Ostrzeżeń trafiły łącznie 92 tysiące takich adresów. Oznacza to, że obecna dynamika powstawania infrastruktury przestępczej jest ponad dwukrotnie wyższa niż rok temu. Cyberprzestępczość przestała być domeną „hakerów w kapturach”, a stała się skalowalnym, zautomatyzowanym biznesem, który działa szybciej niż jakikolwiek legalny startup.
Krajobraz zagrożeń: Inwestycje w złudzenia
Co napędza te statystyki? Choć wciąż popularne są ataki na „niedostarczoną paczkę” czy „nieopłacony rachunek za prąd”, największy skok odnotowano w segmencie fałszywych inwestycji.
Kilkadziesiąt tysięcy z nowo wykrytych domen to profesjonalnie przygotowane pułapki, kuszące obietnicą pewnego, szybkiego zysku. Wykorzystując wizerunki znanych polityków, sportowców czy celebrytów (często generowane lub animowane przez AI), oszuści tworzą platformy, które na pierwszy rzut oka nie różnią się od legalnych stron domów maklerskich czy giełd kryptowalut.
Wzrost liczby wykrytych stron to wypadkowa dwóch czynników. Z jednej strony, systemy detekcji CERT Polska są coraz doskonalsze. Z drugiej – bariera wejścia do świata cyberprzestępczości drastycznie spadła. Dziś, aby uruchomić kampanię phishingową, nie trzeba pisać kodu. Wystarczy kupić gotowe narzędzia w modelu „Phishing-as-a-Service”.
Marketing zła. Jak działają współcześni oszuści?
Eksperci nie mają złudzeń – grupy przestępcze adoptują te same techniki, których używają największe agencje reklamowe. Targetowanie, testy A/B, psychologia sprzedaży – to wszystko znajduje się dziś w arsenale atakujących.
„Phishing i marketing już od dawna idą w parze. Oszuści wykorzystują socjotechnikę bardzo podobną do sprzedażowców, czyli np. nakładanie presji czasu, zapewnienia o wyjątkowości, obietnice potężnych oszczędności lub zysków. Przestępcy reklamują swoje strony internetowe w mediach społecznościowych i wyszukiwarkach, profilują te reklamy pod kątem grupy odbiorców, która wydaje im się być najbardziej podatna na dany schemat oszustwa.” – zauważa Karol Bojke, ekspert z zespołu CERT Polska.
Co więcej, technologia, która ma nam służyć, staje się bronią w rękach atakujących. „Wykorzystanie AI tylko pogłębia już istniejące problemy (np. bezprawne wykorzystanie wizerunku), a łatwość automatyzacji zwiększa ich skalę” – dodaje Bojke.
W tym wyścigu zbrojeń kluczowym narzędziem defensywnym pozostaje Lista Ostrzeżeń CERT Polska, prowadzona od 2020 roku. Jest ona implementowana przez operatorów telekomunikacyjnych, co pozwala na automatyczne blokowanie dostępu do złośliwych stron dla milionów Polaków. Jednak przy tempie powstawania setek nowych domen dziennie, pojawia się pytanie o skuteczność tego rozwiązania.
Czy lista nadąża za dynamiką przestępców, którzy potrafią postawić i zwinąć fałszywy sklep w kilka godzin?
„Poprawnie implementowana Lista Ostrzeżeń chroni przed zagrożeniami wykrytymi nawet pięć minut wcześniej” – wyjaśnia Karol Bojke. Ekspert zaznacza jednak, że technologia to tylko połowa sukcesu. „Kluczowa jest tu współpraca i przekazywanie informacji o nowych oszustwach do zespołu CERT Polska – zarówno ze strony instytucji partnerskich, jak i „zwykłych” użytkowników Internetu. Świadomość społeczna w tym zakresie rośnie, dzięki temu wzrasta liczba zgłoszeń, ale jeszcze wiele pracy i edukacji przed nami. Sektor prywatny oczywiście również powinien dbać o swoich klientów, zachęcamy więc do korzystania z naszych rekomendacji dostępnych na stronie cert.pl„
Odporność behawioralna: Siła małych nawyków
Skoro technologia nie jest w stanie wyłapać 100% zagrożeń, ostatnią linią obrony pozostaje człowiek. Tu jednak pojawia się problem: lata straszenia hakerami wywołały u wielu użytkowników zjawisko security fatigue – zmęczenia ciągłymi ostrzeżeniami.
Dlatego w 2025 roku zmienia się paradygmat edukacji. Przykładem nowego podejścia jest kampania „Bezpieczne Złotówki”, realizowana przez Ministerstwo Finansów we współpracy z Fundacją THINK! oraz NASK. To element szerszej układanki – Krajowej Strategii Edukacji Finansowej. Decydenci zrozumieli, że bezpieczeństwo cyfrowe jest nierozerwalnie związane z bezpieczeństwem finansowym. Utrata danych logowania to dziś prosta droga do utraty oszczędności życia.
Jak jednak uczyć skutecznie, gdy odbiorcy są bombardowani informacjami?
„Nawyk utrwala się nie od szumnych zapowiedzi, tylko od małych, powtarzalnych kroków. Dlatego w „Bezpiecznych Złotówkach” łączymy wiedzę z prostymi zasadami: sprawdzam nadawcę wiadomości, nie klikam w link z SMS-a, jeśli nie wiem, od kogo pochodzi, stosuję weryfikację dwuetapową… To jest właśnie siła codziennych nawyków.” – tłumaczy Anna Bichta, Prezeska Fundacji THINK!
Ekspertka podkreśla, że kluczem do odporności społecznej jest wyjście z bańki indywidualizmu. „Objawia się ona również w dzieleniu się wiedzą z otoczeniem – bliskimi czy sąsiadami” – dodaje Bichta.
Empatia zamiast strachu
Kampania „Bezpieczne Złotówki” stawia również diagnozę dotyczącą języka, jakim mówi się o cyberbezpieczeństwie. Dotychczasowa narracja często opierała się na technicznym żargonie lub stygmatyzacji ofiar („jak mogłeś w to kliknąć?”). Tymczasem ofiarami oszustw inwestycyjnych padają nie tylko osoby starsze, ale coraz częściej młodzi, biegli cyfrowo ludzie, zwiedzeni profesjonalizmem fałszywych platform.
„Na pewno potrzebujemy języka, który nie zawstydza, tylko pomaga zrozumieć własne emocje” – podkreśla Anna Bichta.
To właśnie emocje – chciwość, strach, ale też nadzieja na poprawę bytu – są wektorem ataku. Kliknięcie w fałszywy link często nie wynika z braku wiedzy technicznej, ale z impulsu chwili.
„Ludzie klikają w „pewną okazję”, bo chcą szybko poczuć ulgę albo nadzieję na coś dobrego. Dlatego w kampanii stawiamy na prawdziwe historie i przykłady, z których wyciągamy praktyczne wnioski bez oceniania kogokolwiek” – podsumowuje Prezeska Fundacji THINK!.
Cyberbezpieczeństwo jako kompetencja ekonomiczna
Zaangażowanie Ministerstwa Finansów w temat phishingu to jasny sygnał: cyberbezpieczeństwo przestało być problemem działów IT, a stało się kluczową kompetencją ekonomiczną każdego obywatela. Monika Wojciechowska, Pełnomocniczka Ministra Finansów ds. Strategii Edukacji Finansowej, nazywa to wprost „inwestycją w finansową odporność społeczeństwa”.
W rzeczywistości, w której w pół roku powstaje 100 tysięcy nowych zagrożeń, całkowite wyeliminowanie ryzyka jest niemożliwe. Możliwe jest jednak zarządzanie nim. Wymaga to jednak połączenia dwóch światów: twardej technologii (sztuczna inteligencja po stronie CERT, automatyczne blokady domen) oraz miękkich kompetencji (krytyczne myślenie, kontrola emocji).
Jeśli rok 2025 ma przynieść przełom w walce z cyberprzestępczością, nie nastąpi on dzięki nowej aplikacji antywirusowej, ale dzięki masowej zmianie nawyków. Zatrzymanie się na trzy sekundy przed kliknięciem w link z „super okazją inwestycyjną” jest dziś najskuteczniejszym firewallem, jaki możemy zainstalować.
Widzisz? Reaguj.
Podejrzane wiadomości SMS z linkami można zgłaszać, przekazując je na bezpłatny numer 8080. Wszelkie inne incydenty i fałszywe domeny warto raportować bezpośrednio na stronie incydent.cert.pl. Każde zgłoszenie skraca czas życia fałszywej domeny i może uratować oszczędności innej osoby.
W styczniu 2024 roku pracownik działu finansowego w międzynarodowej firmie inżynieryjnej Arup otrzymał wiadomość e-mail, która wydawała się pochodzić od dyrektora finansowego (CFO) z brytyjskiej centrali. E-mail informował o tajnej transakcji i zawierał zaproszenie na wideokonferencję. Pracownik, choć początkowo podejrzliwy, dołączył do rozmowy. Po drugiej stronie ekranu zobaczył nie tylko CFO, ale także kilku innych znanych mu członków zarządu. Ich wygląd i głosy były idealnie odwzorowane. Przekonany o autentyczności spotkania, w ciągu następnych dni autoryzował 15 przelewów na łączną kwotę 25,6 miliona dolarów. Dopiero po fakcie odkrył, że padł ofiarą jednego z najbardziej zuchwałych oszustw w historii. Wszyscy uczestnicy wideokonferencji byli cyfrowymi klonami, wygenerowanymi przez sztuczną inteligencję.
Ten incydent to nie scenariusz filmu science fiction, ale brutalna rzeczywistość nowej ery cyberzagrożeń. Witamy w świecie Phishing 2.0 – ewolucji phishingu, która dzięki sztucznej inteligencji, uczeniu maszynowemu i technologii deepfake stała się bardziej wyrafinowana, spersonalizowana i niebezpieczna niż kiedykolwiek wcześniej. Tradycyjne ataki, które przez lata uczyliśmy się rozpoznawać po błędach gramatycznych i ogólnikowych zwrotach, odchodzą do lamusa. Ich miejsce zajmują kampanie niemal nieodróżnialne od autentycznej komunikacji, precyzyjnie wymierzone w konkretne osoby i zdolne do omijania tradycyjnych zabezpieczeń.
Sztuczna inteligencja nie jest już tylko narzędziem, które usprawnia phishing; ona fundamentalnie go redefiniuje. Demokratyzuje dostęp do zaawansowanych technik ataku, które kiedyś były domeną jedynie wyspecjalizowanych grup hakerskich, i napędza wyścig zbrojeń w cyberprzestrzeni. W tej nowej rzeczywistości zarówno atakujący, jak i obrońcy, toczą bitwę na algorytmy, w której stawką są dane, finanse i zaufanie stanowiące fundament cyfrowej gospodarki.
Cecha
Phishing 1.0 (Przed erą AI)
Phishing 2.0 (Wspierany przez AI)
Język i gramatyka
Częste błędy, nienaturalne sformułowania.
Perfekcyjna gramatyka, imitacja stylu pisania konkretnych osób.
Personalizacja
Ogólnikowe zwroty typu „Drogi Kliencie”.
Hiperpersonalizacja z wykorzystaniem danych z mediów społecznościowych i rejestrów publicznych.
Skala i szybkość
Kampanie manualne, ograniczone zasobami.
Zautomatyzowane generowanie tysięcy unikalnych wiadomości w kilka minut.
Wektory ataku
Głównie poczta e-mail.
Wielokanałowość: e-mail, SMS (smishing), połączenia głosowe (vishing), media społecznościowe.
Taktyki unikania
Proste podszywanie się pod domeny.
Dynamiczne klonowanie stron, zaciemnianie kodu przez AI, deepfake audio i wideo.
Wymagane umiejętności
Podstawowa wiedza techniczna.
Niski próg wejścia dzięki narzędziom AI i platformom Phishing-as-a-Service (PhaaS).
Anatomia ataku Phishing 2.0: Arsenał napędzany przez AI
Nowoczesny atak phishingowy to złożony, wieloetapowy proces, w którym sztuczna inteligencja odgrywa kluczową rolę na każdym kroku. U podstaw Phishing 2.0 leżą duże modele językowe (LLM), takie jak GPT-4, a także ich nieocenzurowane, dostępne w darknecie odpowiedniki, jak WormGPT czy FraudGPT. Te narzędzia stały się dla cyberprzestępców niewyczerpanym źródłem perfekcyjnie napisanych, psychologicznie przekonujących treści. Eliminują błędy gramatyczne, naśladują styl komunikacji konkretnych osób i potrafią tworzyć perswazyjne narracje na podstawie zaledwie kilku prostych poleceń.
Skuteczność Phishing 2.0 opiera się na hiperpersonalizacji, a ta zależy od jakości zebranych danych. Sztuczna inteligencja zautomatyzowała proces rekonesansu (OSINT), systematycznie przeszukując cyfrowy ślad potencjalnych ofiar. Algorytmy AI agregują informacje z mediów społecznościowych, stron korporacyjnych i publicznych rejestrów, aby poznać zainteresowania, relacje zawodowe i ostatnie aktywności ofiary. Zebrane dane – nazwa projektu, imię przełożonego, czy niedawne wakacje – są wplatane w treść wiadomości, co sprawia, że oszustwo wydaje się niezwykle autentyczne.
Sztuczna inteligencja umożliwiła również masową produkcję i dystrybucję ataków. Powstały platformy „Phishing-as-a-Service” (PhaaS), takie jak „SpamGPT”, które naśladują interfejs legalnych usług marketingowych, ale służą celom przestępczym. Oferują one zintegrowanego asystenta AI do generowania szablonów, automatyzację wysyłki i śledzenie analityki, co pozwala nawet osobom o niewielkich umiejętnościach technicznych prowadzić zaawansowane operacje na dużą skalę.
Jednym z największych wyzwań jest zdolność Phishing 2.0 do omijania tradycyjnych filtrów bezpieczeństwa. AI jest tu wykorzystywana do tworzenia dynamicznych zagrożeń. Narzędzia AI potrafią tworzyć idealne, aktualizowane w czasie rzeczywistym repliki legalnych stron logowania. Analitycy z Microsoft Threat Intelligence zidentyfikowali kampanię, w której AI posłużyło do ukrycia złośliwego kodu wewnątrz pliku graficznego, maskując go przy użyciu terminologii biznesowej, aby zmylić skanery. Przestępcy nadużywają też zaufanych platform deweloperskich do hostowania fałszywych stron z weryfikacją CAPTCHA, która blokuje automatyczne skanery, ale przepuszcza ofiarę do strony wyłudzającej dane.
Integracja AI z phishingiem to industrializacja cyberprzestępczości. Obserwujemy przejście od modelu „rzemieślniczego” do „przemysłowego”. AI stało się linią produkcyjną, która automatyzuje cały proces ataku na skalę wcześniej nieosiągalną.
Element ludzki pod oblężeniem: Deepfake i manipulacja psychologiczna
Najbardziej niepokojącym frontem ewolucji phishingu jest wykorzystanie AI do tworzenia hiperrealistycznych imitacji głosu i obrazu. Technologia deepfake uderza w zaufanie do własnych zmysłów. Do stworzenia przekonującej imitacji głosu wystarczy zaledwie kilka sekund materiału audio. Atakujący wykorzystują tę technologię w wiadomościach głosowych lub w czasie rzeczywistym podczas rozmów telefonicznych (vishing).
Analiza rzeczywistych incydentów pokazuje niszczycielski potencjał tej technologii. W przypadku firmy Arup, pracownik, który początkowo podejrzewał phishing, został całkowicie przekonany po wideokonferencji z cyfrowymi klonami zarządu. W innym ataku, prezes brytyjskiej firmy energetycznej autoryzował przelew na 243 000 dolarów po rozmowie telefonicznej z sklonowanym głosem swojego przełożonego.
Jednak istnieją również przykłady udaremnionych prób, które dostarczają cennych lekcji. Atak na Ferrari został powstrzymany, gdy menedżer zadał rzekomemu CEO pytanie kontrolne o niedawną, prywatną rozmowę, na które AI nie potrafiło odpowiedzieć. W firmie Wiz próba oszustwa nie powiodła się, ponieważ pracownicy zauważyli subtelną różnicę między głosem CEO z publicznych wystąpień (na którym trenowano AI) a jego tonem w codziennych rozmowach. Z kolei pracownik LastPass zignorował próbę kontaktu od rzekomego CEO, ponieważ odbywała się ona przez nietypowy kanał (WhatsApp) i poza standardowymi godzinami pracy.
Te przypadki ujawniają fundamentalną słabość technologii deepfake: „lukę kontekstową”. AI potrafi replikować wzorce, ale nie potrafi replikować autentycznego, wspólnego ludzkiego doświadczenia. Nie zna treści prywatnych rozmów ani subtelnych niuansów interakcji. Ta luka jest nowym polem bitwy, na którym „ludzki firewall” może odnieść zwycięstwo.
Dane stojące za zagrożeniem: Kwantyfikacja wpływu
Skala transformacji znajduje odzwierciedlenie w twardych danych. Raporty wskazują na wzrost liczby e-maili phishingowych o 1,265%, bezpośrednio wiążąc go z upowszechnieniem się technologii GenAI. Całkowity wolumen phishingu wzrósł o 4,151% od debiutu ChatGPT.
Wzrost liczby ataków przekłada się na rosnące straty finansowe. Średni koszt naruszenia danych, którego wektorem był phishing, osiągnął w 2024 roku poziom 4,8 miliona dolarów. Straty wynikające z ataków typu Business Email Compromise (BEC) osiągnęły rekordową sumę 2,9 miliarda dolarów.
Co więcej, eksperyment przeprowadzony przez firmę Hoxhunt wykazał, że w marcu 2025 roku agent AI stał się o 24% bardziej skuteczny w tworzeniu kampanii phishingowych niż elitarny, ludzki zespół ekspertów. To dowodzi, że sztuczna inteligencja staje się obiektywnie lepsza w manipulowaniu ludźmi.
Chociaż ogólny wolumen ataków rośnie, obserwuje się również strategiczną zmianę. Atakujący coraz częściej odchodzą od masowych kampanii na rzecz precyzyjnie ukierunkowanych operacji na działy o wysokim znaczeniu, takie jak finanse czy HR. Niezmiennie najczęściej podszywaną marką pozostaje Microsoft, wykorzystywany w ponad 51,7% oszustw.
Walka ogniem z ogniem: Obrona napędzana przez AI
W odpowiedzi na zagrożenia, branża cyberbezpieczeństwa również sięgnęła po AI, tworząc nową generację inteligentnych systemów obronnych. W przeciwieństwie do tradycyjnych filtrów, defensywna AI jest adaptacyjna i kontekstowa. Jej działanie opiera się na analizie behawioralnej, tworząc dynamiczny profil normalnych wzorców komunikacji i wykrywając anomalie, takie jak nagła zmiana tonu w e-mailu od znanego nadawcy. Narzędzia przetwarzania języka naturalnego (NLP) analizują treść wiadomości pod kątem subtelnych sygnałów manipulacji.
Sztuczna inteligencja rewolucjonizuje również pracę zespołów ds. bezpieczeństwa (SOC), automatyzując analizę logów i klasyfikację alertów, co pozwala ludzkim analitykom skupić się na najbardziej złożonych incydentach. Co ciekawe, te same duże modele językowe, które służą do tworzenia phishingu, okazują się również skuteczne w jego wykrywaniu.
Ta ewolucja wymusza fundamentalną zmianę filozofii w cyberbezpieczeństwie. Obserwujemy przejście od modelu opartego na „stanie” (czy ten element jest znany jako zły?) do modelu opartego na „zachowaniu” (czy ten element zachowuje się dziwnie?). Nowy model, napędzany przez AI, nie interesuje się tyle „co to jest”, ile „jak to działa”.
Skuteczna obrona wymaga zintegrowanego podejścia, które łączy technologię, procesy i świadomego człowieka. Tradycyjne szkolenia przestały być wystarczające. Nowy program musi przygotować pracowników na konfrontację z deepfake’ami. Kluczowe staje się wdrożenie protokołów weryfikacji pozapasmowej dla każdej wrażliwej prośby – potwierdzenie e-maila telefonem na znany numer. Przykład Ferrari pokazuje też siłę prostych pytań bezpieczeństwa opartych na wspólnym, prywatnym kontekście.
Technologia musi stanowić solidny fundament. Filozofia Zero Trust („nigdy nie ufaj, zawsze weryfikuj”) staje się podstawową strategią obronną. Niezbędne jest też uwierzytelnianie wieloskładnikowe (MFA) odporne na phishing, oparte na standardach FIDO2 (np. klucze sprzętowe), które wiążą proces uwierzytelniania z fizycznym tokenem, czyniąc skradzione hasło bezużytecznym.
Prognozy analityków, takich jak Gartner, wskazują na zmianę w alokacji budżetów. Do 2030 roku ponad połowa wydatków będzie przeznaczana na środki prewencyjne, a nie na reakcję po incydencie. Jest to przyznanie, że tradycyjne modele są zbyt wolne, aby zwalczać ataki z prędkością AI.
Najskuteczniejsze mechanizmy obronne nie są już czysto techniczne; są zintegrowane z procesami biznesowymi. Porażka w Arup była porażką procesową – w procedurze finansowej brakowało obowiązkowego, niedygitalnego kroku weryfikacyjnego. Z kolei sukces Ferrari był sukcesem procesowym. Rozwiązanie wymaga zmiany sposobu wykonywania pracy. Liderzy IT muszą stać się inżynierami procesów biznesowych, wbudowując kroki weryfikacji bezpośrednio w przepływy pracy o wysokim ryzyku.
Nawigacja w przyszłości cyfrowego oszustwa
Phishing 2.0, napędzany przez AI, nie jest hipotetycznym zagrożeniem, ale obecną rzeczywistością. Jest bardziej spersonalizowany, przekonujący i działa na skalę przemysłową. Technologia deepfake podważyła nasze fundamentalne zaufanie do dowodów zmysłowych.
Stoimy w obliczu nowej ery, w której AI zdemokratyzowało zaawansowane ataki, a obrona musi być równie inteligentna. Patrząc w przyszłość, eksperci przewidują dalszą eskalację tego wyścigu zbrojeń. Mówi się o powstaniu autonomicznych, wieloagentowych systemów AI („rojów agentów”), które będą prowadzić złożone operacje zarówno po stronie ataku, jak i obrony. Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) prognozuje, że AI będzie nadal skracać czas między ujawnieniem luki a jej wykorzystaniem.
Odporność jest hybrydą inteligentnej technologii i równie inteligentnej, sceptycznej siły roboczej. Ostateczną obroną jest holistyczna strategia, która łączy predykcyjną moc AI z kontekstową mądrością dobrze wyszkolonego, działającego zgodnie z procedurami zespołu ludzkiego. Walka z cyfrowym oszustwem weszła na nowy poziom, a nasza zdolność do adaptacji zadecyduje o jej wyniku.
Intuicja podpowiada, że pokolenie wychowane w blasku ekranów smartfonów powinno być najlepiej przygotowane do unikania internetowych pułapek. Tymczasem najnowsze dane rzucają na to przekonanie długi cień, odsłaniając niepokojący paradoks: to właśnie Generacja Z, czyli cyfrowi tubylcy, jest najsłabszym ogniwem w firmowym łańcuchu cyberbezpieczeństwa. Badanie przeprowadzone przez Yubico pokazuje, że aż 62% przedstawicieli tej grupy weszło w interakcję ze złośliwym linkiem lub załącznikiem w ciągu ostatniego roku. To wynik znacznie wyższy niż w przypadku starszych pokoleń. Ten alarmujący wskaźnik zmusza liderów IT do fundamentalnej rewizji strategii bezpieczeństwa.
Dlaczego cyfrowi tubylcy wpadają w sieć?
Problem nie leży w braku obycia z technologią, lecz w naturze tego obycia. Biegłość w poruszaniu się po cyfrowym świecie nie jest tożsama z umiejętnością rozpoznawania zagrożeń. Przyczyn tego zjawiska jest kilka i tworzą one złożony obraz współczesnego ryzyka.
Po pierwsze, nadmierna pewność siebie. Młodzi pracownicy, którzy od dziecka intuicyjnie obsługują aplikacje i media społecznościowe, często wierzą w swoją „cyfrową nieomylność”. Ta pewność siebie osłabia ich czujność, prowadząc do lekceważenia podstawowych zasad ostrożności. Ufają swojej zdolności do odróżnienia fałszywki od oryginału, nie zdając sobie sprawy, że dzisiejsze ataki, wspomagane przez sztuczną inteligencję, są niemal idealne.
Po drugie, zmiana wektorów ataku. Tradycyjne szkolenia z cyberbezpieczeństwa koncentrują się na analizie podejrzanych e-maili. Tymczasem phishing już dawno opuścił skrzynkę odbiorczą. Generacja Z funkcjonuje w ekosystemie komunikatorów (WhatsApp, Messenger), mediów społecznościowych (TikTok, Instagram) i wiadomości SMS. Ataki przychodzące przez te kanały – w formie linku do rzekomej promocji od influencera czy fałszywego powiadomienia o paczce – są znacznie trudniejsze do zidentyfikowania, ponieważ pojawiają się w kontekście, który użytkownicy uważają za zaufany i prywatny.
źródło: Freepik
Po trzecie, kultura natychmiastowości. Media społecznościowe i nowoczesne aplikacje przyzwyczaiły nas do błyskawicznej interakcji – szybkiego scrollowania, lajkowania i klikania. Ten nawyk eliminuje moment na refleksję. Ataki phishingowe są projektowane tak, by wykorzystać ten impuls, często grając na emocjach lub poczuciu pilności (FOMO – Fear Of Missing Out), co sprawia, że użytkownik klika, zanim zdąży pomyśleć.
Konsekwencje dla biznesu: czas na reset strategii
Utrzymywanie dotychczasowych metod ochrony w obliczu tego zjawiska jest jak gaszenie pożaru lasu za pomocą konewki. Firmy muszą zrozumieć, że ich najmłodsi pracownicy, stanowiący coraz większą część siły roboczej, wymagają zupełnie nowego podejścia.
Tradycyjne, coroczne szkolenia w formie prezentacji PowerPoint stały się reliktem przeszłości. Są nie tylko nudne, ale przede wszystkim nieskuteczne, ponieważ nie odnoszą się do realnych zagrożeń, z jakimi Gen Z styka się na co dzień. Skuteczna edukacja musi być ciągła, interaktywna i spersonalizowana. Oznacza to symulacje phishingu przeprowadzane na komunikatorach, mikroszkolenia w formie wideo i gamifikację, która angażuje, a nie nuży.
Jednak nawet najlepsze szkolenie nie wyeliminuje ryzyka błędu ludzkiego. Dlatego ciężar ochrony musi ostatecznie przenieść się z człowieka na technologię. Poleganie na czujności pracownika w erze ataków generowanych przez AI jest strategią skazaną na porażkę. To prowadzi do jedynego słusznego wniosku: konieczności wdrożenia architektury Zero-Trust, w której nic nie jest domyślnie zaufane.
Od edukacji do niezawodnego uwierzytelniania
Paradoks Generacji Z brutalnie uświadamia, że sama edukacja to za mało. Skoro nie możemy w pełni zaufać zdolności człowieka do rozpoznania fałszerstwa, musimy wdrożyć mechanizmy, które czynią takie ataki bezskutecznymi. Hasła, nawet te najbardziej skomplikowane, są dziś niewystarczające. Kluczem do przyszłości bezpieczeństwa jest uwierzytelnianie wieloskładnikowe (MFA) odporne na phishing.
Rozwiązania takie jak sprzętowe klucze bezpieczeństwa uniemożliwiają zalogowanie się na fałszywej stronie, ponieważ weryfikacja odbywa się na poziomie kryptograficznym, a nie na podstawie wiedzy użytkownika. To one stają się nowym złotym standardem, który chroni organizację niezależnie od tego, czy pracownik jest zmęczony, rozproszony czy po prostu dał się nabrać. Dla firm zatrudniających młode pokolenia inwestycja w takie technologie przestaje być opcją, a staje się strategiczną koniecznością, chroniącą przed zagrożeniami, które już tu są.
Noc z 9 na 10 września 2025 roku przejdzie do historii jako moment, w którym wojna za naszą wschodnią granicą przestała być jedynie medialnym doniesieniem, a stała się namacalnym zagrożeniem. Rosyjskie drony nad Polską i ich zestrzelenie przez siły zbrojne RP to wydarzenie bezprecedensowe.
Jednak każdy, kto postrzega ten incydent wyłącznie w kategoriach militarnych, popełnia strategiczny błąd. Naruszenie przestrzeni powietrznej było bowiem głośnym prologiem do cichej ofensywy, która właśnie rozpoczyna się w polskiej cyberprzestrzeni.
Drony nad Polską i anatomia rosyjskiej cyberagresji: jak działa machina Kremla?
Aby zrozumieć, co nas czeka, musimy najpierw pojąć filozofię działania przeciwnika. Rosja od lat doskonali doktrynę wojny hybrydowej, w której pociski, bity i dezinformacja tworzą jeden, zintegrowany arsenał.
Celem nie jest już tylko podbój terytorium, ale paraliż państwa od wewnątrz – złamanie jego gospodarki, zniszczenie zaufania do instytucji i skłócenie społeczeństwa.
W tej strategii cyberataki odgrywają rolę kluczową, a za ich realizację odpowiadają wyspecjalizowane jednostki służb specjalnych, działające z finezją i brutalnością.
Na czele tych operacji stoją dwaj główni aktorzy, których nazwy kodowe powinny być znane każdemu specjaliście ds. bezpieczeństwa:
GRU (APT28/Fancy Bear): To cyfrowy odpowiednik oddziałów Specnazu. Jednostki podporządkowane wywiadowi wojskowemu specjalizują się w operacjach głośnych, destrukcyjnych i sabotażowych. Ich celem jest chaos. To oni stoją za atakami na sieć energetyczną Ukrainy, włamaniami do systemów wyborczych czy niszczycielskimi atakami z użyciem malware’u typu Wiper, który bezpowrotnie kasuje dane. Jeśli coś ma zostać zniszczone, wyłączone lub sparaliżowane – wkracza GRU.
SVR (APT29/Cozy Bear): To arystokracja rosyjskiego cyfrowego wywiadu. Działają ciszej, bardziej subtelnie, a ich operacje cechuje niezwykła cierpliwość. Służba Wywiadu Zagranicznego koncentruje się na długofalowym szpiegostwie. To oni odpowiadają za słynny atak na łańcuch dostaw oprogramowania SolarWinds, dzięki któremu przez miesiące mieli dostęp do sieci tysięcy firm i agencji rządowych na całym świecie. Ich celem jest informacja, strategiczna przewaga i ciche umieszczanie „cyfrowych uśpionych agentów” w kluczowych systemach wroga.
Co istotne, rosyjskie służby zacierają granicę między operacjami państwowymi a pospolitą cyberprzestępczością.
Grupy ransomware, takie jak Conti czy LockBit, często otrzymują od Kremla ciche przyzwolenie na działanie w zamian za realizację „zleceń” uderzających w zachodnie cele – szpitale, korporacje czy samorządy. To pozwala siać chaos rękami pozornie niezależnych kryminalistów i dodatkowo komplikuje atrybucję ataków.
Scenariusze dla Polski: przewidywane wektory ataków
W kontekście ostatnich wydarzeń, Polska staje się celem o najwyższym priorytecie. Możemy spodziewać się uderzenia z kilku kierunków jednocześnie.
Scenariusz 1: Uderzenie w infrastrukturę krytyczną (ICS/SCADA)
To najbardziej niebezpieczny scenariusz. Celem staną się systemy sterowania przemysłowego, od których zależy funkcjonowanie państwa. Ataki mogą być wymierzone w:
Sektor energetyczny: Próby przejęcia kontroli nad stacjami transformatorowymi w celu wywołania regionalnych lub nawet krajowych blackoutów.
Transport i logistykę: Paraliż systemów zarządzania ruchem kolejowym, co miałoby bezpośredni wpływ na transporty wsparcia dla Ukrainy, ale także na krajową gospodarkę.
Wodociągi i oczyszczalnie: Manipulacja systemami kontroli może doprowadzić do przerw w dostawach wody lub, w skrajnym przypadku, do jej skażenia.
Scenariusz 2: Paraliż administracji i kradzież danych
Głównym celem operacji szpiegowskich (prowadzonych przez SVR) staną się kluczowe instytucje państwa. Należy spodziewać się zmasowanych kampanii spear-phishingowych, precyzyjnie wymierzonych w urzędników i wojskowych z MON, MSZ czy Ministerstwa Cyfryzacji.
Celem będzie nie tylko kradzież danych dotyczących bezpieczeństwa i planów obronnych, ale także przejęcie kontroli nad kontami, które mogą posłużyć do dalszej eskalacji lub operacji dezinformacyjnych.
Scenariusz 3: Wojna informacyjna i chaos społeczny
Ten atak już trwa, ale teraz wejdzie w nową, intensywną fazę. Jego celem jest zniszczenie tkanki społecznej. Możemy oczekiwać:
Ataków DDoS na największe portale informacyjne i serwisy bankowe, by wywołać wrażenie, że państwo traci kontrolę.
Defacementu (podmiany treści) stron rządowych w celu publikacji fałszywych komunikatów i siania paniki.
Zmasowanych kampanii dezinformacyjnych w mediach społecznościowych, prowadzonych przez farmy trolli i boty. Narracje będą skupiać się na podważaniu skuteczności polskiej armii („nie zestrzelili wszystkiego”), oskarżaniu rządu o „prowokowanie Rosji” i podsycaniu nastrojów antyukraińskich.
Dlaczego wzmożona aktywność jest nieunikniona?
Prognozy te nie są jedynie spekulacjami. Wynikają one wprost z analizy rosyjskiej doktryny wojennej i logiki obecnej sytuacji.
Po pierwsze: Asymetryczny Odwet. Rosja nie może sobie pozwolić na otwarty konflikt zbrojny z państwem NATO. Zestrzelenie jej dronów było policzkiem, który nie może pozostać bez odpowiedzi. Cyberprzestrzeń jest idealnym teatrem działań odwetowych – pozwala zadać bolesne ciosy w gospodarkę i infrastrukturę, unikając jednocześnie przekroczenia progu otwartej wojny.
Po drugie: Druga Faza Operacji. Atak dronów miał na celu nie tylko uderzenie w Ukrainę, ale także zbadanie czasu reakcji i procedur polskiej obrony. Teraz rozpoczyna się faza druga: wywołanie chaosu wewnętrznego w kraju, który jest kluczowym hubem logistycznym dla Ukrainy i filarem wschodniej flanki NATO. Osłabiona i zajęta własnymi problemami Polska to strategiczny cel Kremla.
Po trzecie: Testowanie Sojuszu. Rosja chce sprawdzić w praktyce, jak działają mechanizmy solidarności w ramach Artykułu 5. nie tylko w wymiarze militarnym, ale także cybernetycznym. Zmasowany atak na Polskę będzie testem dla procedur reagowania i współpracy wewnątrz NATO.
Front przebiega dziś przez każdą serwerownię
Musimy porzucić złudzenie, że cyberbezpieczeństwo to techniczny problem zamknięty w działach IT. Dziś jest to fundament bezpieczeństwa narodowego, a każdy administrator, programista i menedżer staje się obrońcą na cyfrowej linii frontu.
Czas reaktywnego gaszenia pożarów bezpowrotnie minął. Wymagana jest zmiana paradygmatu w kierunku proaktywnej obrony i budowania odporności.
Warto w tym miejscu podkreślić: celem tej analizy nie jest sianie paniki, lecz budowanie strategicznej świadomości i odporności. To właśnie rzetelna wiedza i chłodna ocena ryzyka, a nie strach, stanowią podstawę skutecznego przygotowania się na scenariusze, które mogą zmaterializować się w każdej chwili.
Dla branży IT oznacza to konieczność natychmiastowego działania:
Wdrożenie architektury „Zero Trust”: Zasada „nigdy nie ufaj, zawsze weryfikuj” musi stać się standardem w każdej sieci korporacyjnej i rządowej.
Proaktywne Threat Hunting: Zespoły bezpieczeństwa muszą aktywnie polować na ślady intruzów w swoich sieciach, zamiast pasywnie czekać na alarmy z systemów SIEM.
Audyt i Testowanie Planów Reagowania na Incydenty (IRP): Posiadanie planu na papierze to za mało. Należy go regularnie testować poprzez symulacje, by w momencie kryzysu każdy wiedział, co ma robić.
Budowanie Odporności Społecznej: Sektor IT ma ogromną rolę do odegrania w edukowaniu pracowników i całego społeczeństwa w zakresie rozpoznawania dezinformacji i phishingu.
Czerwone niebo nad wschodnią Polską było testem naszych procedur wojskowych. Nadchodząca cyfrowa ofensywa będzie testem odporności całego naszego państwa i społeczeństwa. To nie jest czas na strach, ale na konsolidację sił – na współpracę sektora prywatnego z administracją publiczną, na dzielenie się wiedzą o zagrożeniach i na budowanie cyfrowej tarczy, której nie złamią ani zmasowane ataki DDoS, ani precyzyjne operacje szpiegowskie. Historia uczy, że największą siłą Polski w obliczu zagrożeń zawsze była zdolność do mobilizacji i adaptacji. Dziś ta mobilizacja musi odbyć się w naszych sieciach, serwerowniach i umysłach.
Zespół CERT Polska tylko w pierwszej połowie 2025 roku zarejestrował już ponad 100 tys. domen phishingowych służących cyfrowym przestępcom, w tym kilkadziesiąt tysięcy domen z ofertami fałszywych inwestycji. To więcej niż w całym 2024, kiedy to na Listę Ostrzeżeń trafiło w sumie 92 tysiące domen.
Jak przekonuje Ministerstwo Finansów, niezbędne są zakrojone na szeroką skalę działania edukacyjne chroniące społeczeństwo przed cyberzagrożeniami. Przykładem takich działań jest trwająca obecnie kampania społeczna „Bezpieczne Złotówki”.
Wzrost liczby wykrytych niebezpiecznych stron internetowych to efekt nie tylko udoskonalenia narzędzi wykrywających cyberzagrożenia, ale i niesłabnącej popularności phishingu oraz ataków socjotechnicznych. Cyfrowi przestępcy coraz częściej kuszą nas obietnicą pewnych zysków, mnożąc strony internetowe oferujące fałszywe inwestycje.
Odpowiedzią na rosnącą skalę problemu jest kampania edukacyjna „Bezpieczne Złotówki” realizowana przez Ministerstwo Finansów i Fundację THINK!.
„Bezpieczeństwo finansów obywateli jest jednym z celów określonych w Krajowej Strategii Edukacji Finansowej, której wdrażanie koordynuje Ministerstwo Finansów. Dlatego podejmujemy działania edukacyjne, które towarzyszą rozwiązaniom systemowym podejmowanym przez inne instytucje publiczne. Kampania „Bezpieczne Złotówki” przekłada język techniczny na codzienne decyzje użytkowników. To inwestycja w finansową odporność naszego społeczeństwa” – mówi Monika Wojciechowska, Pełnomocniczka Ministra Finansów ds. Strategii Edukacji Finansowej.
Społeczna kampania edukacyjna „Bezpieczne Złotówki”, która trwa od czerwca do listopada, w najbliższych tygodniach będzie koncentrowała się na tematach związanych z bezpieczeństwem danych osobowych, do których wycieku często dochodzi właśnie poprzez strony internetowe tworzone przez oszustów.
„Naszą kampanią pokazujemy, że ochrona przed cyberoszustwami nie wymaga zaawansowanej wiedzy technicznej. Bezpieczeństwo naszych pieniędzy tkwi w sile codziennych nawyków, oraz wzajemnej edukacji. Dlatego nie tylko podpowiadamy, jak upewniać się, że nasza inwestycja nie jest oszustwem ale też jak chronić się przed cyfrowymi przestępcami” – dodaje Anna Bichta, Prezeska Fundacji THINK!.
Spojrzenie w statystykę – jak działają cyfrowi oszuści?
Eksperci CERT Polska odnotowują, że w dalszym ciągu do najpowszechniejszych zagrożeń w cyberprzestrzeni należą phishing i ataki socjotechniczne.
„Przestępcy wciąż bardzo chętnie korzystają ze stron internetowych promujących fałszywe inwestycje, obserwujemy też niezachwianą popularność kampanii opartych na SMS-ach o rzekomo niedostarczonej paczce. To pokazuje, jak ważne są kampanie edukacyjne w zakresie cyberbezpieczeństwa, bo pomimo że świadomość w społeczeństwie rośnie, to cyberprzestępcy dalej zbierają pokaźne żniwo” – wskazuje Karol Bojke, z działającego w NASK zespołu CERT Polska.
Czym jest Lista Ostrzeżeń CERT?
Lista Ostrzeżeń CERT Polska to prowadzone od 2020 roku zestawienie niebezpiecznych stron internetowych. Lista jest wykorzystywana przez operatorów telekomunikacyjnych, firmy, organizacje i samych użytkowników do automatycznego blokowania dostępu do złośliwych stron i tym samym ograniczania skutków ataków phishingowych i innych działań cyberprzestępców.
Każdy z nas może zgłosić stronę, która wyłudza dane osobowe, dane uwierzytelniające do kont bankowych lub serwisów społecznościowych, za pomocą formularza dostępnego na https://incydent.cert.pl/phishing
Korzystając ze strony https://lista.cert.pl/, można z kolei zweryfikować, czy przeglądarka korzysta z Listy Ostrzeżeń przed niebezpiecznymi stronami prowadzonej przez zespół CERT Polska.
źródło: Fundacja Think!
Materiał powstał w ramach kampanii społecznej “Bezpieczne Złotówki” sfinansowanej ze środków Funduszu Edukacji Finansowej, którego dysponentem jest Minister Finansów i Gospodarki. Kampanię realizuje Fundacja Think!
Od lat w świecie cyberbezpieczeństwa powtarza się jeden refren: edukacja pracowników to klucz do walki z phishingiem. Firmy inwestują w szkolenia online, symulowane kampanie i testy, wierząc, że w ten sposób znacząco ograniczą ryzyko. Najnowsze badanie przeprowadzone na szeroką skalę przez naukowców z Uniwersytetu Kalifornijskiego w San Diego pokazuje jednak, że ta wiara może być mocno na wyrost.
Wnioski z eksperymentu obejmującego ponad 19 tysięcy uczestników wskazują, że skuteczność programów szkoleniowych jest znacznie niższa, niż obiecuje rynek. To nie oznacza, że szkolenia nie mają sensu – ale raczej, że powinny być traktowane jako element uzupełniający, a nie główny filar strategii bezpieczeństwa.
Badanie, które zmienia narrację
Zespół badaczy UC San Diego przeprowadził ośmiomiesięczne badanie w sektorze ochrony zdrowia, angażując pracowników w różne typy szkoleń. Scenariusze obejmowały proste komunikaty o błędach, statyczne informacje edukacyjne oraz bardziej rozbudowane, interaktywne moduły kontekstowe.
Rezultat był zaskakująco skromny. Niezależnie od wybranej metody, średnia poprawa skuteczności w rozpoznawaniu phishingu w stosunku do grupy kontrolnej wyniosła zaledwie 1,7%. W praktyce oznacza to, że tradycyjne programy nie generują wyraźnej różnicy w zachowaniach użytkowników – przynajmniej nie na poziomie, jakiego oczekują firmy inwestujące w edukację.
Mit „cudownego szkolenia”
Przez ostatnią dekadę rynek szkoleń z zakresu bezpieczeństwa konsekwentnie rósł, karmiąc się przekonaniem, że odpowiednie moduły e-learningowe mogą znacząco zredukować ryzyko ataków phishingowych. Liczne firmy oferowały programy, które miały „zmieniać nawyki” pracowników i radykalnie obniżać liczbę incydentów.
Tymczasem wyniki badania pokazują, że narracja o „cudownym szkoleniu” nie ma mocnego potwierdzenia w danych. Efekty istnieją, ale są dużo mniejsze, niż się spodziewano. Problem w tym, że wiele organizacji traktuje szkolenia jako główne, a czasem jedyne narzędzie ochrony, co tworzy złudne poczucie bezpieczeństwa.
Phishing jako sztuka socjotechniki
Jednym z najciekawszych odkryć badania był fakt, że skuteczność phishingu zależy bardziej od treści przynęty niż od tego, jakie szkolenie przeszli pracownicy.
Podczas gdy niewielki odsetek uczestników nabrał się na fałszywe maile związane z kontami Outlook, aż około 30% kliknęło w wiadomości dotyczące polityki urlopowej czy dress code’u. To pokazuje, jak silnie atakujący wykorzystują kontekst organizacyjny i jak trudno szkoleniami przygotować pracowników na każdą możliwą manipulację.
Wnioski są proste: atakujący szybko adaptują swoje metody, wybierając tematy, które są najbliższe codziennym problemom pracowników. Szkolenia, oparte zwykle na powtarzalnych scenariuszach, nie nadążają za tą dynamiką.
Dlaczego szkolenia zawodzą w praktyce
Drugim powodem niskiej skuteczności programów jest zachowanie samych użytkowników. Badanie wykazało, że wielu uczestników po prostu ignorowało materiały edukacyjne lub przechodziło je tak szybko, że nie mieli realnej szansy na przyswojenie treści.
To nie tylko problem braku motywacji. W praktyce szkolenia online bywają traktowane jako biurokratyczny obowiązek, który należy „odhaczyć”, a nie jako wartościowe źródło wiedzy. Do tego dochodzi często mało angażująca forma – nudne testy i powtarzalne moduły, które nie budują żadnych trwałych nawyków.
Nowa rola szkoleń
Czy zatem szkolenia phishingowe można uznać za bezużyteczne? Absolutnie nie. Badacze podkreślają, że ich rola nadal jest istotna – tyle że należy realistycznie oceniać efekty i stawiać im mierzalne cele.
Zamiast wierzyć w radykalną poprawę, firmy powinny oczekiwać stopniowych zmian: zmniejszenia liczby kliknięć w niebezpieczne linki, poprawy szybkości zgłaszania podejrzanych wiadomości czy większej świadomości przy otwieraniu załączników. W tym kontekście szkolenia mogą działać jako uzupełnienie innych narzędzi, a nie jako cudowny lek na phishing.
Jednocześnie organizacje powinny być bardziej wymagające wobec dostawców programów edukacyjnych, żądając dowodów skuteczności popartych badaniami, a nie jedynie marketingowymi obietnicami.
Multipoziomowa obrona
Wnioski płynące z badania wpisują się w szerszy trend w cyberbezpieczeństwie: skuteczna obrona wymaga podejścia wielopoziomowego.
Oprócz szkoleń potrzebne są rozwiązania techniczne – od filtrów antyphishingowych i narzędzi do detekcji anomalii, po systemy automatyzujące reakcję na incydenty. Ważne są też regularne aktualizacje systemów oraz budowanie kultury organizacyjnej, w której błędy nie są powodem do kar, lecz okazją do nauki.
To ostatnie może być szczególnie istotne. Badanie pokazało, że w ciągu ośmiu miesięcy połowa uczestników dała się nabrać na co najmniej jeden atak. Kara za taki błąd nie poprawi sytuacji – ale analiza incydentu i konstruktywne wnioski mogą znacząco podnieść poziom świadomości.
Mniej iluzji, więcej odporności
Rynek szkoleń phishingowych przez lata żył obietnicą, że wystarczy odpowiednia dawka edukacji, by zamknąć drogę atakom socjotechnicznym. Dane z największego dotąd badania pokazują, że rzeczywistość jest bardziej złożona.
Firmy nie powinny rezygnować ze szkoleń, ale muszą przestać traktować je jako złoty środek. Realistyczne oczekiwania, połączone z technologią i kulturą organizacyjną, dają dużo większą szansę na zbudowanie odporności niż wiara w cudowne programy e-learningowe.
Jeszcze niedawno phishingowe e-maile były łatwe do rozpoznania: toporne, pełne literówek, pisane łamanym językiem i budzące uśmiech politowania. Dziś coraz częściej są to perfekcyjnie sformułowane wiadomości, które nie tylko nie wzbudzają podejrzeń, ale potrafią przypominać wewnętrzne notatki od przełożonego.
To nie przypadek – za nową falą ataków phishingowych coraz częściej stoi sztuczna inteligencja. I to nie byle jaka, ale ta sama, z której korzystają działy marketingu, HR i zarządy firm.
Generatywna AI, w tym popularne modele językowe (LLM) takie jak ChatGPT czy Claude, opanowały sztukę tworzenia realistycznych tekstów. Wystarczy krótka komenda, by wygenerować wiadomość e-mail idealnie dopasowaną do tonu, stylu i kontekstu danej firmy.
A jeśli dodać do tego dane z sieci – profil ofiary na LinkedIn, treści publikowane na stronie firmowej czy wypowiedzi w mediach – powstaje spersonalizowany atak, którego nie sposób odróżnić od autentycznej komunikacji.
Co gorsza, skuteczność takich wiadomości jest zatrważająco wysoka. Według badań, nawet doświadczeni użytkownicy dają się nabrać w ponad połowie przypadków. Przestępcy nie muszą już być mistrzami języka – wystarczy, że są biegli w tzw. inżynierii podpowiedzi (prompt engineering).
Spear phishing, czyli ataki ukierunkowane na konkretną osobę, był dotąd kosztowny i czasochłonny. Wymagał analizy celu, opracowania scenariusza i stworzenia przekonującej treści. To oznaczało wysoki próg wejścia, który ograniczał skalę zjawiska.
Dziś ten próg niemal nie istnieje. AI potrafi automatycznie analizować dane i tworzyć zindywidualizowane wiadomości w kilka sekund. Tym samym spear phishing staje się skalowalny – i groźniejszy niż kiedykolwiek wcześniej.
To zmienia ekonomię cyberprzestępczości. Ataki, które jeszcze niedawno były zarezerwowane dla celów wysokiego ryzyka (np. członków zarządów), dziś mogą być kierowane do każdego pracownika. A liczba możliwych ofiar rośnie wykładniczo.
Problem w tym, że większość firmowych systemów bezpieczeństwa nie była projektowana z myślą o tak realistycznych, „ludzkich” treściach. Tradycyjne filtry antyspamowe opierają się na wzorcach, słowach kluczowych lub podejrzanych załącznikach – a nie na zniuansowanej analizie językowej.
Z kolei systemy klasy DLP (Data Loss Prevention) i detekcji behawioralnej lepiej radzą sobie z techniczną stroną ataku, niż z jego psychologicznym wymiarem. AI pisząca jak człowiek wymyka się tym mechanizmom.
Szkolenia użytkowników również tracą skuteczność. Nie dlatego, że są złe – ale dlatego, że ataki są coraz trudniejsze do rozpoznania nawet dla dobrze przeszkolonych pracowników.
Czy w tej grze można jeszcze wygrać? Tak, ale pod warunkiem zmiany podejścia. Skoro ataki wspierane są przez sztuczną inteligencję, obrona także musi się nią posiłkować.
Nowoczesne rozwiązania bezpieczeństwa zaczynają korzystać z AI do analizy kontekstu wiadomości, wykrywania anomalii w relacjach między użytkownikami czy modelowania ryzyka komunikacji. Detekcja nie opiera się już wyłącznie na treści, ale również na tym, kto z kim rozmawia, kiedy i w jaki sposób.
Równie ważna staje się automatyzacja reakcji – szybkie odcięcie użytkownika od systemu, blokowanie kont, analiza wewnętrznej eskalacji. W grze, gdzie czas reakcji liczony jest w minutach, liczy się każda sekunda.
Phishing 2.0 wymusza też zmianę kultury bezpieczeństwa. Użytkownik końcowy nie może być pierwszą i ostatnią linią obrony.
Owszem, szkolenia są ważne – zwłaszcza w zakresie rozpoznawania nietypowych żądań, próśb o dostęp czy przekazania środków. Ale nie mogą one stanowić alibi dla słabości systemu.
Nie chodzi o to, by przestać szkolić pracowników. Chodzi o to, by zbudować infrastrukturę, która w jak najmniejszym, najlepiej bliskim zeru, zależy od tego, czy człowiek rozpozna atak.
Tak jak samochód nie wymaga od pasażera, by pamiętał o uruchomieniu poduszki powietrznej – po prostu robi to za niego.
Phishing po prostu ewoluował. A sztuczna inteligencja, która zwiększa produktywność działów biznesowych, równolegle wspiera cyberprzestępców. Firmy muszą zaakceptować ten dualizm i wprowadzić równie zaawansowane rozwiązania po stronie obrony.
Rynek pracy stał się nowym polem łowów dla cyberprzestępców. Zamiast klasycznego złośliwego oprogramowania, sięgają po bardziej wyrafinowaną broń: narzędzia, których na co dzień używają działy IT do zdalnego wsparcia. Legalne i zaufane aplikacje stają się w ten sposób wektorem ataku, celując w najbardziej podatnych – osoby aktywnie poszukujące nowej ścieżki kariery.
Współczesne oszustwa rekrutacyjne porzuciły prymitywne metody na rzecz zaawansowanej inżynierii społecznej. Najnowsze analizy firmy Proofpoint pokazują rosnący i niepokojący trend. Atakujący podszywają się pod rekruterów i pracowników HR z renomowanych firm, tworząc wiarygodne scenariusze, które mają uśpić czujność ofiar. Proces ten jest częścią szerszych kampanii phishingowych, które wykorzystują zaufanie jako główną walutę.
Anatomia ataku: jak legalne oprogramowanie staje się bronią
Schemat działania jest z pozoru prosty, ale niezwykle skuteczny. Potencjalna ofiara otrzymuje wiadomość e-mail lub kontaktuje się z nią rzekomy rekruter przez platformy takie jak LinkedIn. Komunikacja wygląda profesjonalnie – często bazuje na skopiowanych, autentycznych ogłoszeniach o pracę. Po wstępnej wymianie zdań kandydat otrzymuje zaproszenie na rozmowę kwalifikacyjną online.
To właśnie tutaj następuje kluczowy moment ataku. Zamiast linku do popularnych platform wideokonferencyjnych, takich jak Zoom, Microsoft Teams czy Google Meet, ofiara jest proszona o pobranie i zainstalowanie niewielkiego programu, niezbędnego rzekomo do przeprowadzenia rozmowy. W rzeczywistości jest to legalne narzędzie do zdalnego zarządzania i monitorowania (RMM), takie jak SimpleHelp, ScreenConnect (obecnie ConnectWise ScreenConnect) czy Atera.
Aplikacje te, na co dzień wykorzystywane przez administratorów IT do diagnozowania problemów czy instalacji oprogramowania na firmowych komputerach, dają niemal pełną kontrolę nad systemem. W rękach przestępców stają się bramą do przejęcia pulpitu, kradzieży danych, monitorowania aktywności, a w finale – do uzyskania dostępu do kont bankowych i innych poufnych informacji.
Problem niewykrywalności
Głównym atutem tej metody jest jej pozorna legalność. Narzędzia RMM to podpisane cyfrowo, komercyjne produkty. Tradycyjne oprogramowanie antywirusowe często nie klasyfikuje ich jako zagrożenia, ponieważ z technicznego punktu widzenia nim nie są. Działają zgodnie ze swoim przeznaczeniem – tyle że cel ich użycia jest przestępczy.
Proofpoint alarmuje, że ta taktyka staje się dla cyberprzestępców preferowaną metodą uzyskania „pierwszego dostępu” do systemu ofiary. Zastępuje klasyczne trojany i keyloggery, ponieważ jest trudniejsza do wykrycia i nie wzbudza natychmiastowych podejrzeń. Atak może pozostawać w ukryciu przez długi czas, podczas gdy przestępcy metodycznie eksplorują zasoby zainfekowanego komputera.
Skala i zaawansowanie operacji
Ataki te nie są dziełem przypadku. Przestępcy starannie przygotowują swoje kampanie. W celu pozyskania adresów e-mail potencjalnych ofiar publikują fałszywe ogłoszenia na portalach pracy, wykorzystują dane z wcześniejszych wycieków lub nawet przejmują kontrolę nad skompromitowanymi kontami firmowymi i profilami na LinkedIn.
W jednym z przypadków atakujący, korzystając z przejętego konta na LinkedIn, nawiązywali kontakt z kandydatami, a następnie kierowali ich do dalszej korespondencji z fałszywego, choć wiarygodnie wyglądającego adresu e-mail. Takie działanie zaciera granice i buduje fałszywe poczucie bezpieczeństwa. Ofiara jest przekonana, że uczestniczy w legalnym procesie rekrutacyjnym z prawdziwą firmą.
Problem ten wpisuje się w szerszy trend nadużywania legalnego oprogramowania do zdalnego dostępu (RAS), który obserwują także inne firmy z branży cyberbezpieczeństwa. Atakujący podszywają się nie tylko pod firmy, ale również pod urzędy, banki czy organizatorów wydarzeń, aby maksymalizować swoje szanse na uwiarygodnienie przekazu.
Jak się chronić? Kroki dla poszukujących pracy
W obliczu rosnącej fali tego typu ataków, osoby poszukujące pracy muszą wykazać się wzmożoną czujnością. Kluczowe jest przyjęcie zasady „zero zaufania” wobec nieoczekiwanych propozycji.
Weryfikacja źródła: Otrzymując wiadomość od rekrutera, należy ją zweryfikować niezależnym kanałem. Zamiast odpowiadać bezpośrednio, warto wejść na oficjalną stronę internetową firmy, znaleźć zakładkę „Kariera” lub dane kontaktowe i upewnić się, że taka rekrutacja faktycznie ma miejsce. Nigdy nie należy polegać wyłącznie na danych zawartych w otrzymanej wiadomości.
Analiza adresu E-mail: Należy dokładnie sprawdzić adres e-mail nadawcy. Często oszuści używają domen, które na pierwszy rzut oka przypominają te prawdziwe (np. `kariera@firma-it.co` zamiast `kariera@firma-it.com`).
Czerwona flaga: Instalacja oprogramowania: Najważniejsza zasada – żadna renomowana firma nie wymaga instalacji niestandardowego oprogramowania do przeprowadzenia pierwszej rozmowy kwalifikacyjnej. Standardem rynkowym są platformy o ugruntowanej pozycji (Teams, Zoom, Meet), które zazwyczaj działają w przeglądarce i nie wymagają uprawnień administratora. Prośba o instalację narzędzia RMM powinna być sygnałem alarmowym do natychmiastowego zerwania kontaktu.
Ostrożność z linkami i załącznikami: Przed kliknięciem w jakikolwiek link, warto najechać na niego kursorem, aby zobaczyć jego pełny adres docelowy. Podejrzliwość powinny wzbudzić wszelkie skrócone adresy URL oraz prośby o pobranie plików wykonywalnych (.exe) czy archiwów (.zip).
Ewolucja cyberzagrożeń pokazuje, że najsłabszym ogniwem pozostaje człowiek. W sytuacji stresu i nadziei, jaką jest poszukiwanie pracy, łatwo stracić czujność. Dlatego świadomość nowych metod działania przestępców i zdrowy sceptycyzm są dziś najskuteczniejszą linią obrony. Jedno pochopne kliknięcie może bowiem zniweczyć nie tylko szansę na nową pracę, ale i bezpieczeństwo cyfrowe.
Przez lata phishing oznaczał podejrzane maile z załącznikami, literówkami i linkami prowadzącymi do fałszywych stron logowania. Nic dziwnego, że działy bezpieczeństwa w firmach koncentrowały się właśnie na ochronie poczty elektronicznej. Problem w tym, że cyberprzestępcy już dawno przenieśli się tam, gdzie nikt się ich nie spodziewa – do skrzynek SMS i na numery telefoniczne pracowników.
Ataki typu smishing (SMS phishing) i vishing (voice phishing) nie są nowością, ale dopiero teraz zyskują skalę, która powinna zapalić czerwone lampki w zespołach SOC i u CISO. Według danych za drugą połowę 2024 roku, liczba incydentów typu vishing wzrosła o 442%. W tym samym czasie smishing stale rośnie od kilku lat, przechodząc z peryferii cyberzagrożeń do pierwszej ligi.
Dlaczego te ataki są tak skuteczne?
W odróżnieniu od tradycyjnego phishingu e-mailowego, smishing i vishing bazują niemal wyłącznie na psychologii – nie na podatnościach technicznych. Scenariusze są pozornie proste: ktoś dzwoni do pracownika, podaje się za dział IT, przełożonego lub zewnętrznego kontrahenta i zleca pilne zadanie – np. zmianę hasła, udostępnienie danych dostępowych, potwierdzenie tożsamości. Albo wysyła SMS-a z linkiem do rzekomego portalu logowania, faktury czy narzędzia VPN.
O ile podejrzany mail z nieznanego adresu i literówkami w domenie często wzbudza czujność, o tyle krótka wiadomość tekstowa lub rozmowa telefoniczna – szczególnie na prywatnym telefonie – rzadziej traktowane są jako potencjalny atak. I to właśnie tę lukę w percepcji wykorzystują cyberprzestępcy.
Jak wyglądają takie ataki?
Najsłynniejszy przypadek z 2024 roku to seria ataków na detalistów w Wielkiej Brytanii, przypisywana grupie Scattered Spider. Hakerzy dzwonili do pracowników działów IT, mówiąc perfekcyjnym angielskim, podszywali się pod inne osoby z organizacji i skłaniali do resetowania haseł. W efekcie uzyskiwali dostęp do systemów wewnętrznych, a następnie eskalowali uprawnienia i przeprowadzali dalsze działania – od sabotażu po kradzież danych.
W innych przypadkach wykorzystywano także SIM swapping, czyli przejęcie numeru telefonu poprzez wymuszenie lub wyłudzenie duplikatu karty SIM. W ten sposób atakujący przejmowali kontrolę nad kontami zabezpieczonymi 2FA, a nawet przeprowadzali transfery finansowe, wykorzystując autoryzację SMS.
Dlaczego działy IT nie widzą tych ataków?
Główna przyczyna jest prosta: większość firm nie obejmuje ochroną prywatnych urządzeń mobilnych pracowników. Polityki BYOD (Bring Your Own Device) pozwalają na wykorzystywanie prywatnych telefonów do celów służbowych, ale nie obejmują ich aktywnego monitorowania.
SOC-y są zbudowane wokół sieci, endpointów i systemów poczty – nie mają narzędzi, które monitorują wiadomości SMS czy połączenia głosowe. Nie istnieją też „firewalle” dla rozmów telefonicznych. Co więcej, większość oprogramowania zabezpieczającego nie jest w stanie analizować i blokować nieautoryzowanych połączeń czy wiadomości na poziomie systemowym.
Nawet jeśli pracownik rozpozna próbę oszustwa, szansa, że zgłosi incydent, bywa niska – zwłaszcza jeśli nie doszło do faktycznego naruszenia. A im dłużej incydent pozostaje nieznany, tym większa szansa na skuteczny atak.
Co można z tym zrobić?
Choć smishingu i vishingu nie da się w pełni zablokować, można znacząco zwiększyć szanse na ich szybkie wykrycie i ograniczenie skutków. Oto kierunki działań, które wdrażają firmy bardziej świadome tej fali zagrożeń:
Monitoring darknetu i komunikatorów – wyszukiwanie prób podszywania się pod markę, oferty phishing kits i domen smishingowych.
Symulacje zagrożeń – tak jak testy phishingowe e-mail, firmy zaczynają przeprowadzać kampanie vishingowe i smishingowe w celach edukacyjnych i audytowych.
Rozszerzenie zabezpieczeń mobilnych – wprowadzenie MDM/MTD (Mobile Threat Defense), które obejmuje urządzenia prywatne przynajmniej podstawową kontrolą.
Szkolenia pracowników – szczególnie z rozpoznawania prób manipulacji telefonicznej. Komunikacja głosowa powinna być traktowana z taką samą ostrożnością jak e-mail.
Nowoczesne mechanizmy detekcji – wykorzystujące AI do rozpoznawania anomalii w zachowaniach użytkowników, także na poziomie komunikacji głosowej czy SMS.
Czas na zmianę perspektywy
Vishing i smishing nie są bardziej zaawansowane technicznie niż phishing e-mailowy. Ale są bardziej intymne, trudniejsze do wykrycia i bardziej skuteczne psychologicznie. To połączenie czyni je wyjątkowo niebezpiecznymi, zwłaszcza w firmach, które nadal traktują cyberbezpieczeństwo jako problem sieci i serwerów, a nie ludzi i ich telefonów.
Skoro większość ataków opiera się dziś na socjotechnice i wykorzystaniu nowych kanałów komunikacji, organizacje muszą przenieść punkt ciężkości ochrony. Klasyczne podejście „blokuj i reaguj” nie wystarcza. Konieczne jest zbudowanie odporności, która zakłada, że część ataków się uda – ale zostaną szybko wykryte, zgłoszone i zneutralizowane, zanim wyrządzą szkody.
Bo najgroźniejsze ataki to dziś te, które dzieją się w zasięgu ręki – w wiadomości tekstowej lub pod numerem z nieznanego numeru.
Cyberprzestępcy korzystają z ułaskawienia Rossa Ulbrichta, aby rozprzestrzeniać złośliwe oprogramowanie za pomocą fałszywych captcha Telegrama w nowej złośliwej kampanii zauważonej na X. Eksperci do spraw cyberbezpieczeństwa zauważyli przestępców, którzy stosowali nielegalną taktykę phishingową, aby nakłonić użytkowników do dołączenia do nieuczciwych kanałów Telegramu i nieświadomie zainfekować swoje urządzenia złośliwym oprogramowaniem.
Nowa złośliwa kampania ma na celu użytkowników X i Telegrama
Serwis Vx-underground, który zauważył atak, twierdzi, że sprawcy wysyłają teraz spam na oficjalne konto Rossa Ulbrichta w formacie X, zawierający wiadomości z kont podszywających się pod niego lub twierdzących, że są z nim powiązane.
Ułaskawienie Rossa Ulbrichta stało się bronią
Wiadomości o Rossie Williamie Ulbrichcie niedawno trafiły na pierwsze strony gazet; twórca niesławnego darknetu Silk Road został wczoraj ułaskawiony.
Fałszywe wiadomości próbują skierować użytkowników na rzekomo oficjalny kanał Rossa Ulbrichta w Telegramie, gdzie narzucona jest kontrola tożsamości za pomocą bota o nazwie „Safeguard Captcha”.
Oszustwo poprzez fałszywe captchas Telegrama
Aby jednak kontynuować weryfikację tożsamości, użytkownicy proszeni są o otwarcie okna Uruchom systemu Windows, wklejenie polecenia i jego wykonanie.
Choć instrukcje bota mogą wydawać się niegroźne, w rzeczywistości zawierają polecenie programu PowerShell, które tworzy łącze do zainfekowanego adresu URL i pobiera złośliwy skrypt programu PowerShell.
Następnie skrypt pobiera dodatkową partię złośliwych plików, które rozprzestrzeniają złośliwe oprogramowanie w systemie hosta.
Cobalt Strike potencjalnie użyty w tej kampanii
Choć prawdziwa natura pobranych plików nie jest znana, niektórzy użytkownicy spekulują, że mogą one ukrywać program ładujący Cobalt Strike.
Cobalt Strike to preferowane przez hakerów narzędzie do testów penetracyjnych, które zapewnia atakującym zdalne możliwości na zainfekowanych urządzeniach. Otwiera to drzwi do dalszych złośliwych działań, takich jak ransomware i eksfiltracja danych.
Łagodzenie oszustw na Telegramie i innych zagrożeń cybernetycznych
Biorąc pod uwagę, że atakujący starannie skonstruowali zasady fałszywego systemu weryfikacji, aby nie wzbudzać podejrzeń, można śmiało założyć, że oszustwo mogło pozostać niezauważone.
W takich przypadkach czujność może nie wystarczyć. Użytkownicy powinni unikać uruchamiania poleceń znalezionych online w Windows Run, PowerShell lub CMD, zwłaszcza gdy nie są pewni, jaki wpływ polecenia będą miały na maszynę hosta.
„Specjalistyczne oprogramowanie antywirusowe, może wzmocnić Twoje zabezpieczenia poprzez wykrywanie i blokowanie podejrzanych działań zanim wyrządzą szkody. Antywirus chroni Twoje urządzenia przed wirusami, robakami, oprogramowaniem szpiegującym, trojanami, programami wymuszającymi okup, rootkitami, atakami typu zero-day i innymi włamaniami”
Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender
Pracownicy polskiego dystrybutora oprogramowania Bitdefender odnotowali znaczący wzrost kampanii phishingowych, które wykorzystują wizerunek popularnych firm, takich jak nazwa.pl. Oszuści rozsyłają fałszywe wiadomości, informujące przedsiębiorców o rzekomym wygaśnięciu domeny ich strony internetowej. Wiadomości te mają za zadanie skłonić odbiorców do kliknięcia w link prowadzący na stronę złośliwego oprogramowania.
Przykładowa treść wiadomości jest z pozoru profesjonalna, co może uśpić czujność odbiorców. Jednak szczegółowa analiza ujawnia charakterystyczne błędy, takie jak nienaturalne zwroty („fonofonia telefoniczna”), dziwna składnia i inne oznaki tłumaczenia maszynowego. Eksperci przestrzegają, aby dokładnie sprawdzać takie komunikaty i unikać klikania w podejrzane linki.
Klasyczne wymuszenia okupu nadal obecne
Kolejnym rodzajem zagrożeń są klasyczne wiadomości phishingowe, które mają na celu zastraszenie użytkowników. Oszuści twierdzą, że uzyskali dostęp do urządzenia ofiary i posiadają kompromitujące materiały, które upublicznią, jeśli nie otrzymają okupu w Bitcoinach. Takie wiadomości bazują na strachu i presji czasu – odbiorca dostaje 50 godzin na wpłatę, co ma skłonić go do szybkiego działania.
Specjaliści przypominają, że tego typu wiadomości to próba oszustwa. Nigdy nie należy odpowiadać na takie groźby ani dokonywać wpłat. Zamiast tego zaleca się zgłoszenie sprawy na Policję oraz do zespołu reagowania na incydenty cyberbezpieczeństwa, np. CERT Polska.
Jak chronić się przed phishingiem?
Phishing to jedno z najpowszechniejszych zagrożeń w internecie, dlatego kluczowe jest stosowanie podstawowych zasad bezpieczeństwa:
Nigdy nie klikaj w linki w nieznanych wiadomościach e-mail lub SMS.
Sprawdzaj adresy URL i adresy e-mail nadawców pod kątem podejrzanych elementów.
Regularnie aktualizuj oprogramowanie antywirusowe i system operacyjny.
Edukuj siebie i swoich pracowników w zakresie rozpoznawania oszustw.
Phishing, choć coraz bardziej wyrafinowany, może być skutecznie rozpoznany i zneutralizowany dzięki ostrożności i świadomości zagrożeń. Warto być czujnym, aby nie paść ofiarą cyberprzestępców.
„Przeglądając nieoczekiwane wiadomości, zwróćmy uwagę na to, czy zawierają one błędy i czy ich treść jest dla nas szokująca. Jeśli tak, to najlepiej ją zignorować, nie klikać w zamieszczone w niej linki i nie pobierać załączników. Oprócz tego warto korzystać ze skutecznego systemu antywirusowego, który został wyposażony w moduł antyphishingowy. Takie rozwiązanie zablokuje zdecydowaną większość niebezpiecznych stron i reklam”
Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
Zespół śledczy Device42 z Palo Alto poinformował o zakrojonej na szeroką skalę kampanii phishingowej, która w okresie od czerwca do września 2024 roku naruszyła 20 000 kont Microsoft Azure w Europie. Atakującym celem były głównie firmy z sektora chemicznego, motoryzacyjnego oraz przemysłowego.
Kampania opierała się na wykorzystaniu narzędzi uznawanych za wiarygodne, takich jak platforma marketingowa HubSpot i serwis DocuSign. Cyberprzestępcy wykorzystywali te usługi do wysyłania e-maili z złośliwymi linkami, które miały na celu wyłudzenie danych logowania. Osoby, które kliknęły w link, trafiały na spreparowany formularz stworzony za pomocą HubSpot Form Builder, który próbował przechwycić dane dostępowe do systemów firmowych.
Chociaż nie doszło do żadnych naruszeń w samych systemach HubSpot, platforma odegrała istotną rolę w umożliwieniu ataku. Dzięki uznaniu HubSpot za legalne narzędzie, wiadomości phishingowe omijały filtry spamowe. W połączeniu z tym, że atakujący używali VPN, aby ich aktywność wydawała się pochodzić z kraju, w którym znajdowała się ofiara, kampania zyskała na skuteczności.
Choć serwery wspierające kampanię zostały już wyłączone, zagrożenie związane z phishingiem pozostaje aktualne. Eksperci ostrzegają, że techniki wyłudzania danych są wciąż aktywne i mogą przybierać nowe formy.
Firmy stoją przed ogromnym wyzwaniem, jakim jest skuteczna ochrona swoich danych i systemów. W dobie, gdy zagrożenia stają się coraz bardziej złożone i wyrafinowane, niezbędne jest posiadanie nie tylko solidnych, ale i zawsze aktualnych środków bezpieczeństwa. Na tym tle na czoło wysuwa się koncepcja Red Teaming.
Jak działa Red Teaming?
Red Teaming to kompleksowa metoda testowania systemów obronnych firmy poprzez symulowanie realistycznych ataków. Dzięki temu firmy mogą przetestować swoje zabezpieczenia, odkryć luki w systemach oraz stale ulepszać swoje strategie obronne. To podejście wykracza daleko poza konwencjonalne kontrole bezpieczeństwa, oferując głębszy i bardziej praktyczny wgląd w odporność firmy na cyberzagrożenia.
Inżynieria społeczna
Ważnym elementem Red Teaming jest inżynieria społeczna, polegająca na manipulowaniu ludźmi w celu ujawnienia krytycznych informacji. Przykładem może być przekonanie niczego niepodejrzewającego pracownika do ujawnienia swoich danych logowania, otwarcia wyjścia awaryjnego lub podłączenia podejrzanego urządzenia do sieci. Dzięki temu możliwe jest zidentyfikowanie jak największej liczby luk w zabezpieczeniach i proaktywne podjęcie odpowiednich środków ochronnych.
Symulowane ćwiczenia phishingowe
Symulowane ćwiczenia phishingowe to kolejne narzędzie wykorzystywane w ramach Red Teaming. Ćwiczenia te mają na celu przeszkolenie pracowników w zakresie identyfikowania potencjalnych ataków phishingowych i odpowiedniego reagowania na nie. Regularne przeprowadzanie takich symulacji pozwala firmom zidentyfikować luki w zabezpieczeniach oraz określić, którzy pracownicy potrzebują dodatkowego szkolenia.
Korzyści z Red Teaming
Celem Red Teaming jest wzmocnienie środków bezpieczeństwa firmy. Regularne przeprowadzanie takich ćwiczeń pozwala firmom zdobyć cenny wgląd w skuteczność swoich zabezpieczeń oraz zidentyfikować obszary wymagające poprawy. Symulacje phishingowe i testy penetracyjne pomagają zapewnić, że pracownicy są czujni, doświadczeni i dobrze przygotowani do reagowania na potencjalne zagrożenia.
Ciągłe szkolenie i kultura bezpieczeństwa
Red Teaming oraz związane z nim techniki, takie jak inżynieria społeczna czy symulowane wiadomości phishingowe, nie są jednorazowymi działaniami. Skuteczne zabezpieczenie firmy wymaga ciągłych wysiłków. Kluczowe jest regularne sprawdzanie bezpieczeństwa z różnych perspektyw – fizycznych, technicznych i ludzkich – oraz budowanie silnej kultury bezpieczeństwa w organizacji. Ciągłe ćwiczenia i szkolenia pracowników są niezbędne do podnoszenia kompetencji firmy w zakresie cyberbezpieczeństwa i wzmacniania jej obrony przed potencjalnymi zagrożeniami.
Red Teaming stanowi nieocenione narzędzie w arsenale każdej firmy dążącej do skutecznej ochrony swoich zasobów. Dzięki regularnym testom i szkoleniom firmy mogą nie tylko zidentyfikować swoje słabe punkty, ale przede wszystkim zbudować odporność na ataki i stworzyć kulturę bezpieczeństwa, która będzie solidnym fundamentem ich działalności.
W typowy dzień w biurze, pracownik otwiera wiadomość e-mail od swojego kolegi z prośbą o szybkie poprawienie załączonego dokumentu. Kliknięcie wydaje się rutynowym zadaniem, jednak w rzeczywistości to początek cyfrowego koszmaru. Wiadomość, choć wyglądająca na autentyczną, okazuje się starannie przygotowaną pułapką phishingową. W rezultacie, ransomware infiltruje sieć firmy, powodując jej paraliż na wiele dni, a nawet tygodni.
To scenariusz, który niemal codziennie dotyka firmy i organizacje na całym świecie. W percepcji publicznej cyberataki często są dziełem bezimiennych hakerów, którzy zdobywają dostęp do systemów za pomocą skomplikowanych ataków. Jednak jak pokazuje powyższy przykład, decydujący wyzwalacz jest często prozaiczny – jedno nieostrożne kliknięcie.
Najsłabsze ogniwo: człowiek w holistycznym systemie bezpieczeństwa
Ludzie, choć integralni w obronie przed cyberzagrożeniami, są jednocześnie najsłabszym ogniwem w holistycznym systemie bezpieczeństwa. Przykład wspomniany na początku ukazuje, jak jedno nierozważne kliknięcie może otworzyć drzwi dla niszczycielskich ataków cyfrowych. Dlatego edukacja pracowników w zakresie rozpoznawania cyberzagrożeń jest kluczowa w zapobieganiu takim katastrofom.
Podczas gdy sieci IT są zazwyczaj dobrze chronione przed atakami zewnętrznymi, cyberprzestępcy coraz częściej polegają na metodach ukierunkowanych na ludzkie zachowanie. Inżynieria społeczna, czyli manipulowanie użytkownikami w celu uzyskania dostępu do systemów, jest jedną z głównych strategii atakujących. Tu kluczowe znaczenie mają dwie cechy: kreatywność i krytyczne myślenie – zarówno ze strony napastników, jak i obrońców.
Kreatywność i krytyczne myślenie w walce z cyberzagrożeniami
Cyberprzestępcy muszą wykazać się kreatywnością w projektowaniu wiadomości phishingowych, które skutecznie zwiodą odbiorców. Po stronie obrońców, krytyczne spojrzenie na nadawców, adresy URL oraz język użyty w e-mailu jest niezbędne do wykrycia potencjalnych zagrożeń. To właśnie te umiejętności stanowią fundament podejścia „User-Centric Security”, które podkreśla kluczową rolę ludzi w cyberbezpieczeństwie.
Skuteczna strategia bezpieczeństwa integruje ludzkie talenty z nowoczesnymi technologiami i narzędziami. Tworzenie trwałej i skutecznej kultury cyberbezpieczeństwa wymaga angażowania pracowników na poziomie emocjonalnym i intelektualnym. To nie tylko teoretyczne zrozumienie zagrożeń, ale także praktyczne podejście do zmiany zachowań i budowania świadomości.
Człowiek i maszyna: niezastąpiona synergia
W obronie przed cyberprzestępcami, ludzie odgrywają kluczową rolę. Ich zdolność do rozpoznawania subtelnych niuansów, nietypowych tematów i nadawców w wiadomościach phishingowych jest niezastąpiona. Pomimo zaawansowania technologii i sztucznej inteligencji, te systemy nie są jeszcze w stanie w pełni odtworzyć ludzkiej intuicji i kreatywności.
Modele bezpieczeństwa IT, które łączą krytyczne myślenie i kreatywność z nowoczesnymi technologiami, są najbardziej skuteczne w ochronie przed cyberzagrożeniami. Praktyczne zastosowanie tych umiejętności jest celem strategii „User-Centric Security”, która podkreśla potrzebę nie tylko zwiększania świadomości, ale także wprowadzania trwałych zmian behawioralnych i kultury bezpieczeństwa w organizacji.
Szkolenia: klucz do zmiany zachowań
Tradycyjne szkolenia często nie przynoszą oczekiwanych rezultatów. Choć użytkownicy mogą być świadomi zagrożeń, często nie postępują odpowiednio w praktyce. Dlatego kluczowe jest nie tylko budowanie świadomości, ale także promowanie trwałych zmian w zachowaniu i kulturze cyberbezpieczeństwa. Szkolenia, które angażują zarówno emocjonalnie, jak i intelektualnie, są najbardziej skuteczne. Krótkie, zwięzłe treści i nowoczesne metody uczenia się przynoszą więcej korzyści niż kompleksowe, teoretyczne programy.
Bezpieczeństwo a produktywność: równowaga kluczowa dla sukcesu
Największym wyzwaniem przy wdrażaniu polityk lub narzędzi bezpieczeństwa jest ich wpływ na produktywność pracowników. Gdy środki bezpieczeństwa stają się uciążliwe, użytkownicy często szukają sposobów na obejście tych ograniczeń, co może prowadzić do powstania tzw. shadow IT. Nowoczesne strategie bezpieczeństwa muszą łączyć technologie i ludzkie możliwości, aby efektywnie chronić firmy przed cyberzagrożeniami. Rozwiązania powinny wspierać zespoły bezpieczeństwa, jednocześnie uwzględniając aspekty ludzkie, aby nie stały na drodze produktywności.
W erze cyfrowej, jedno nieostrożne kliknięcie może mieć katastrofalne skutki dla firmy. Ludzie są kluczowym elementem w walce z cyberzagrożeniami, a ich edukacja i zaangażowanie są niezbędne do skutecznej obrony. Integracja ludzkich zdolności z nowoczesnymi technologiami tworzy najlepsze podejście do ochrony przed atakami cyfrowymi, a tworzenie kultury cyberbezpieczeństwa jest kluczem do zapobiegania przyszłym zagrożeniom.
Temu, platforma e-commerce, ogłosiła swoje członkostwo w Grupie Roboczej ds. Przeciwdziałania Phishingowi (Anti-Phishing Working Group – APWG). Ten ruch stawia Temu obok takich gigantów technologicznych jak Microsoft i Meta, podkreślając zaangażowanie w zwalczanie kradzieży tożsamości i oszustw internetowych. Założona w 2003 roku, APWG jest globalnym konsorcjum poświęconym eradykacji phishingu i cyberprzestępczości, skupiającym wiodące firmy technologiczne, instytucje finansowe takie jak PayPal, firmy zajmujące się bezpieczeństwem internetowym, np. Symantec i McAfee, oraz różne agencje rządowe skoncentrowane na zapobieganiu cyberprzestępczości.
Znaczenie tej współpracy jest nie do przecenienia, szczególnie w świetle alarmujących statystyk przedstawionych przez APWG za rok 2023. Organizacja ta odnotowała niemal pięć milionów ataków phishingowych na całym świecie, rekordową liczbę, która podkreśla eskalację zagrożenia cyberprzestępczością. Jako część APWG, Temu wnosi swoje doświadczenie i uzyskuje dostęp do bogactwa informacji na temat globalnych trendów zagrożeń internetowych, taktyk phishingowych i złośliwych domen, co zwiększa jego zdolność do ochrony danych klientów.
Współpraca ta umożliwia również Temu korzystanie z zróżnicowanego członkostwa APWG, obejmującego wiele branż i sektorów, co sprzyja rozwijaniu i wdrażaniu innowacyjnych rozwiązań skutecznie przeciwdziałających phishingowi i cyberprzestępczości.
Decyzja Temu o dołączeniu do APWG jest częścią ciągłych wysiłków firmy mających na celu zapewnienie swoim klientom bezpiecznego środowiska zakupowego. Temu ma trudny orzech do zgryzienia, wchodząc na rynki europejskie. W Polsce konsumenci ostrożnie podchodzą do świeżej platformy, uznając ceny produktów na platformie za zbyt niskie, co rodzi obawy o prawdziwość ofert i bezpieczeństwo korzystania z platformy. Agresywna polityka cenowa Temu, charakterystyczna dla ekspansji zagranicznych chińskich przedsiębiorstw, wynika ze strategii, której celem jest zdobycie jak największej ilości klientów w jak najkrótszym czasie, co jednak niekoniecznie sprawdzi się w przypadku europejskich konsumentów, coraz bardziej wyczulonych na oszustwa internetowe. Dlatego dołączenie do grona APWG jest z tej perspektywy bardzo rozsądnym ruchem. Takie podejście zdaje się przyświecać firmie już od dłuższego czasu. W lutym 2024 roku platforma otrzymała certyfikat Oceny Bezpieczeństwa Aplikacji Mobilnych (MASA) od DEKRA. Ponadto, w listopadzie Temu uruchomiło program nagród za znalezienie błędów we współpracy z firmą HackerOne z siedziby w San Francisco, zachęcając etycznych hakerów do identyfikacji i zgłaszania luk w zabezpieczeniach.
W erze cyfrowej, gdzie każde kliknięcie może być drzwiami do naszej prywatności, phishing stał się jednym z największych zagrożeń. Wystarczy jedno nieostrożne kliknięcie na link w e-mailu, by stać się ofiarą cyberprzestępców. Omówimy, dlaczego niezwykle ważne jest, aby pozostać czujnym i jakie kroki należy podjąć, gdy wpadniemy w pułapkę phishingu.
Phishing, będący techniką wyłudzania danych, wykorzystuje nasz strach i impulsywne działania. Cyberprzestępcy stosują wyszukane metody, by skłonić nas do ujawnienia wrażliwych informacji, takich jak dane logowania czy numery kart kredytowych. Nie każdy fałszywy e-mail jest łatwy do zidentyfikowania, co sprawia, że nawet najbardziej ostrożni mogą paść ofiarą.
Co robić po kliknięciu na nieuczciwy link?
Gdy uświadomimy sobie, że padliśmy ofiarą phishingu, kluczowe jest szybkie działanie. W przypadku danych firmowych lub szkolnych, należy natychmiast powiadomić odpowiednie służby IT. Jeżeli chodzi o dane osobiste, pierwszym krokiem jest zmiana wszystkich haseł. Pamiętajmy, że silne i unikalne hasła to podstawa bezpieczeństwa online.
Skonfigurowanie uwierzytelniania wieloskładnikowego (MFA) jest kolejnym krokiem w zabezpieczeniu kont. MFA dodaje dodatkową warstwę ochrony, wymagając potwierdzenia tożsamości za pomocą dwóch lub więcej metod, co znacznie utrudnia cyberprzestępcom dostęp do naszych danych.
Phishing i ostrzeżenie otoczenia
W sytuacji, gdy nasze dane mogły zostać przejęte, należy ostrzec otoczenie przed potencjalnie szkodliwymi wiadomościami wysyłanymi w naszym imieniu. W przypadku danych bankowych, niezwłoczny kontakt z instytucją finansową jest niezbędny.
Świadomość i zapobieganie
Phishing w dużej mierze polega na manipulacji i wykorzystywaniu ludzkiego strachu. Pamiętajmy, że oficjalne instytucje nigdy nie będą prosić nas o podanie danych osobowych przez e-mail. W razie wątpliwości, zawsze warto skontaktować się bezpośrednio z instytucją.
Phishing jest realnym zagrożeniem w cyfrowym świecie, ale świadomość i odpowiednie środki bezpieczeństwa mogą nas przed nim uchronić. Regularna zmiana haseł, stosowanie uwierzytelniania wieloskładnikowego i świadome korzystanie z e-maili to kluczowe kroki w ochronie naszej cyfrowej tożsamości. W walce z cyberprzestępcami, nasza czujność jest naszą największą bronią. W razie wątpliwości najlepiej skontaktować się z samym urzędem, aby sprawdzić, czy wiadomość jest prawdziwa, czy nie. Zawsze możesz również zgłaszać podejrzane e-maile za pośrednictwem adresu e-mail https://incydent.cert.pl/
Badacze z Bitdefender Antispam Lab po raz pierwszy zauważyli kampanie oparte o phishing o tematyce wojennej 13 października. Wiele wiadomości spamowych było kierowanych do skrzynek odbiorczych w Rosji, a następnie w Szwecji, Rumunii, Iranie i Indiach, a także w USA, Japonii, Niemczech i Wielkiej Brytanii.
Oszustwa e-mailowe są podobne do trendów spamowych zaobserwowanych przez badaczy Bitdefender podczas wojny na Ukrainie, w szczególności polegają na darowiznach w postaci kryptowalut i oszustwach związanych z opłatami z góry, opierającymi się na kryzysie humanitarnym i ofiarach po obu stronach konfliktu.
Pomimo tysięcy ofiar i rzeczywistej potrzeby pomocy cyberprzestępcy bez skrupułów kontynuują swoje ataki spamowe, udając zarówno ofiary, jak i fałszywe organizacje charytatywne, aby oszukać użytkowników Internetu z ciężko zarobionych pieniędzy i pozbawić ich tych, którzy naprawdę potrzebują pomocy.
Oszustwa związane z darowiznami – jak nie paść ofiarą kampanii opartej o phishing?
W miarę jak wojna trwa już drugi tydzień, spodziewamy się, że fałszywe e-maile związane z prośbą o pomoc dla ofiar wojny będą regularnie dostarczane do skrzynek odbiorczych użytkowników na całym świecie, a oszuści będą nadal dostosowywać swoje „historie” i prośby o darowizny zgodnie z najnowszymi wiadomościami i aktualizacjami na temat konfliktu.
„Najlepszym sposobem na zachowanie bezpieczeństwa i ochronę swoich finansów jest dokładne sprawdzanie wszelkiej komunikacji związanej z wojną, czy to za pośrednictwem poczty elektronicznej, telefonu, SMS-ów czy mediów społecznościowych. Zawsze sprawdzaj organizację przed dokonaniem jakiejkolwiek płatności – prośby o darowizny w kryptowalutach, przelewy bankowe i karty podarunkowe są bardzo podejrzane i świadczą o tym, że najprawdopodobniej mamy do czynienia z oszustem” – radzi zespół do spraw cyberbezpieczeństwa z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
Nigdy nie odpowiadaj na niechciane e-maile, o których wiesz, że są oszustwem. To poinformuje oszustów, że Twój adres e-mail jest prawidłowy, i będą nadal atakować Cię kampaniami phishingowymi.
Warto także zabezpieczyć swoje urządzenia za pomocą systemu antywirusowego, który został wyposażony w moduł antyphishingowy, dzięki temu zabezpieczymy się przed niebezpiecznymi linkami, które mogą doprowadzić do zainfekowania naszego urządzenia.
Eksperci Cisco Talos przypisali nową kampanię podmiotom powiązanym z Qakbot, ponieważ metadane znalezione w plikach LNK używanych w tej kampanii pasują do metadanych z maszyn używanych w poprzednich kampaniach Qakbot „AA” i „BB”. Mimo iż Qakbot został wyeliminowany z dalszej dystrybucji narzędzi, oprogramowanie związane z grupą nadal będzie stanowić poważne zagrożenie. Nie wszyscy cyberprzestępcy związani z grupą zostali aresztowani i nadal działają, co zostawia otwartą furtkę do odbudowania infrastruktury botnetu.
Qakbot nadal aktywni?
Podczas operacji z udziałem FBI przeprowadzonej pod koniec sierpnia 2023 r., organy ścigania przejęły infrastrukturę i aktywa kryptowalutowe wykorzystywane przez grupę stojącą za malwarem Qakbot, wyrządzając znaczne szkody w jej działalności. Wiele osób z branży bezpieczeństwa przewidywało zniknięcie Qakbot na zawsze.
„Obecnie, z dużą dozą prawdopodobieństwa możemy stwierdzić, że przestępcy stojący za Qakbotem są nadal aktywni i prowadzą kampanię, która rozpoczęła się tuż przed akcją FBI. Dystrybuują oni wariant ransomware Cyclops/Ransom Knight wraz z backdoorem Remcos. Połączyliśmy tę ich nową aktywność z maszynami używanymi w poprzednich kampaniach Qakbot, na bazie metadanych plików LNK używanych w nowej kampanii” – wyjaśnia Guilherme Venere z Cisco Talos we wpisie na blogu.
Cisco Talos: Qakbot nadal stosuje phishing
Jeszcze w styczniu 2023 r. eksperci Cisco Talos wytłumaczyli sposób wykorzystywania metadanych z plików LNK do identyfikowania i śledzenia cyberprzestępców. We wpisie na blogu zostało przybliżone, w jaki sposób jedna maszyna używana w kampanii „AA” z numerem seryjnym dysku „0x2848e8a8” została później wykorzystana w kampanii nowego botnetu o nazwie „BB”. Po publikacji, przestępcy Qakbot odpowiedzialni za kampanie „AA”, „BB” i „Obama” usunęli metadane ze swoich plików LNK, aby utrudnić wykrywanie i śledzenie.
Zespół Cisco Talos zidentyfikował nowe pliki LNK w sierpniu 2023 r. Nazwy plików LNK, z motywami pilnych spraw finansowych, sugerują, że są one rozpowszechniane w wiadomościach phishingowych, co jest zgodne z poprzednimi kampaniami Qakbot.
Niektóre z nazw plików są napisane w języku włoskim, co sugeruje, że podmioty stanowiące zagrożenie mogą atakować użytkowników w tym regionie. Pliki LNK są dystrybuowane wewnątrz archiwów Zip, które zawierają również plik XLL. XLL jest rozszerzeniem używanym w dodatkach do Excela i ma ikonę podobną do innych formatów plików Excela.
Qakbot nie istnieje. Więc kto atakuje?
Eksperci Cisco Talos twierdzą, że za ostatnimi wydarzeniami nie stoi Qakbot, tylko klienci cyberprzestępców. Działania trwają od sierpnia 2023 r. i nie zostały zakłócone po ataku FBI. Najprawdopodobniej organy ścigania nie wpłynęły na infrastrukturę dostarczania phishingowych wiadomości e-mail Qakbot, a jedynie na serwery dowodzenia i kontroli grupy cyberprzestępczej.
„Chociaż nie widzieliśmy nowych grup dystrybuujących Qakbot to złośliwe oprogramowanie prawdopodobnie nadal będzie stanowić poważne zagrożenie w przyszłości. Osoby znające oprogramowanie pozostają aktywne co może sprawić, że odbudują one infrastrukturę Qakbot, aby wznowić swoją działalność” – ostrzega Guilherme Venere z Cisco Talos.
Pierwszy raz luka w zabezpieczeniach została odkryta w czerwcu tego roku. Hakerzy są w stanie przejąć kontrolę nad legalnym adresem URL od Microsoftu i udawać pracowników firmy, zwykle na wysokim stanowisku. Wysyłają wiadomości do określonych pracowników lub do całej firmy, zachęcając ich do otwarcia pliku .zip, który zawiera złośliwe oprogramowanie lub ransomware.
Skala zagrożenia
Piet Kerkhofs, współzałożyciel i dyrektor ds. technicznych Eye Security, ostrzega: „Biorąc pod uwagę wzrost liczby grup przestępczych wykorzystujących to jako podstawową metodę phishingu oraz setki milionów ludzi korzystających z Teams w firmach, możemy spodziewać się gwałtownego wzrostu liczby naruszeń oprogramowania ransomware i danych w nadchodzących miesiącach.”
Jak się obronić?
Mimo poważnego zagrożenia, istnieją sposoby na minimalizację ryzyka. Kerkhofs podkreśla, że firmy mogą ograniczać i zapobiegać atakom, blokując i zgłaszając złośliwe domeny oraz korzystając z narzędzi Microsoft, takich jak Purview. Najważniejsze jest jednak kontynuowanie szkoleń dla pracowników w celu zwiększenia ich świadomości na temat tego typu ataków.
Techniczne detale
Ataki zaczynają się od umożliwienia udostępniania plików spoza organizacji, co zwykle jest niemożliwe. Hakerzy mogą ominąć to ograniczenie, zmieniając identyfikator konta zewnętrznego i wewnętrznego w żądaniu POST do Teams. Technicznie nazywa się to „niepewnym bezpośrednim odniesieniem do obiektu”.
Ataki phishingowe na Microsoft Teams są coraz bardziej zaawansowane i stanowią poważne zagrożenie dla bezpieczeństwa korporacyjnego. Firmy muszą być świadome ryzyka i podjąć konkretne kroki w celu jego minimalizacji. Obejmuje to zarówno techniczne środki zabezpieczające, jak i edukację pracowników. Tylko w ten sposób można skutecznie zabezpieczyć się przed nową falą ataków.
Klęski żywiołowe i katastrofy pogodowe mogą spowodować wiele ofiar i zniszczeń. Ponadto tragedia ludzka skłania wielu wrażliwych wolontariuszy i darczyńców do chęci pomocy. Niestety ten stan rzeczy często wykorzystują cyberprzestępcy, którzy podszywają się pod fundacje charytatywne, aby oszukiwać potencjalnych darczyńców. Dlatego zespół Bitdefender apeluje o to, aby dokładnie sprawdzić każdą zbiórkę pieniędzy, zanim wpłaci się potencjalny datek.
„Cyberprzestępcy podają się za przedstawicieli godnych zaufania organizacji charytatywnych zajmujących się pomocą w przypadku klęsk żywiołowych w celu kradzieży danych osobowych od nieostrożnych osób. Hakerzy mogą wysyłać w mediach społecznościowych wiadomości lub SMS-y dotyczące trudnych zjawisk pogodowych, e-maile i złośliwe strony internetowe, aby nakłonić Cię do przekazania pieniędzy i danych. Pamiętajmy o tym, że prawdziwe fundacje charytatywne z reguły nie wysyłają prywatnych wiadomości, jeśli sami do nich nie napiszemy” – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
Jak bronić się przed phishingiem wykorzystującym inżynierię społeczną?
Zespół Bitdefender przygotował kilka rad, jak chronić swoje dane osobowe i finanse przed oszustami wykorzystującymi następstwa klęsk żywiołowych, niezależnie od tego, gdzie one mają miejsce:
– Jeśli padłeś ekstremalnych warunków pogodowych i straciłeś dom lub doznałeś jakichkolwiek uszkodzeń w swoim mieniu, uważaj na oszustwa związane ze sprzątaniem i naprawami, które mogą obejmować nielicencjonowanych wykonawców lub oszustów, którzy żądają zapłaty z góry za szybkie naprawy, nie wykonując żadnej z obiecanych prac.
– Zachowaj ostrożność, szukając domu, mieszkania lub innego zakwaterowania do wynajęcia po klęsce żywiołowej. Oszuści często tworzą fałszywe oferty na znanych platformach wynajmu i wabią nieostrożne lub zdesperowane osoby ofertami zbyt dobrymi, aby mogły być prawdziwe. Unikaj płacenia kaucji lub przelewania pieniędzy przed spotkaniem z osobą lub firmą, od której wynajmujesz lub podpisaniem umowy najmu.
– Uważaj na oszustów podających się za pracowników rządowych, inspektorów bezpieczeństwa lub pracowników przedsiębiorstw użyteczności publicznej, którzy próbują nakłonić Cię do podania jakichkolwiek danych osobowych lub bankowych.
– Zachowaj czujność wobec oszustów charytatywnych, którzy czerpią korzyści z nieszczęścia innych. Jeśli chcesz pomóc ofiarom, korzystaj wyłącznie z legalnych platform i organizacji. Przed przekazaniem jakichkolwiek datków należy dokładnie sprawdzić, czy organizacja, którą chcemy wesprzeć, jest rzetelna i uczciwa. Zachowaj szczególną ostrożność w przypadku próśb o przekazanie darowizn w postaci kryptowalut, kart podarunkowych i przelewów bankowych.
Zarządzaj swoją prywatnością
Żeby zapewnić najlepsze wrażenia, my oraz nasi partnerzy używamy technologii takich jak pliki cookies do przechowywania i/lub uzyskiwania informacji o urządzeniu. Wyrażenie zgody na te technologie pozwoli nam oraz naszym partnerom na przetwarzanie danych osobowych, takich jak zachowanie podczas przeglądania lub unikalny identyfikator ID w tej witrynie. Brak zgody lub jej wycofanie może niekorzystnie wpłynąć na niektóre funkcje.
Kliknij poniżej, aby wyrazić zgodę na powyższe lub dokonać szczegółowych wyborów. Twoje wybory zostaną zastosowane tylko do tej witryny. Możesz zmienić swoje ustawienia w dowolnym momencie, w tym wycofać swoją zgodę, korzystając z przełączników w polityce plików cookie lub klikając przycisk zarządzaj zgodą u dołu ekranu.
Funkcjonalne
Zawsze aktywne
Przechowywanie lub dostęp do danych technicznych jest ściśle konieczny do uzasadnionego celu umożliwienia korzystania z konkretnej usługi wyraźnie żądanej przez subskrybenta lub użytkownika, lub wyłącznie w celu przeprowadzenia transmisji komunikatu przez sieć łączności elektronicznej.
Preferencje
Przechowywanie lub dostęp techniczny jest niezbędny do uzasadnionego celu przechowywania preferencji, o które nie prosi subskrybent lub użytkownik.
Statystyka
Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do celów statystycznych.Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketing
Przechowywanie lub dostęp techniczny jest wymagany do tworzenia profili użytkowników w celu wysyłania reklam lub śledzenia użytkownika na stronie internetowej lub na kilku stronach internetowych w podobnych celach marketingowych.
