Jedna z najpopularniejszych metod oszustwa. Jak bronić się przed phishingiem?

• Phishing jest jednym z najczęstszych narzędzi cyberprzestępców.
• AI umożliwia tworzenie zaawansowanych wiadomości phishingowych.
• Michał Mamica przedstawia historię phishingu, jego ewolucję, mechanizmy działania AI, przykłady realnych ataków, a także tłumaczy, jak skutecznie bronić się przed atakami phishingowymi.

Historia phishingu – od prostych e-maili do zaawansowanych oszustw

Pierwsze ataki phishingowe sięgają lat 90. XX wieku. Użytkownicy serwisów takich jak AOL otrzymywali e-maile od rzekomych administratorów, którzy prosili o podanie hasła. Jako argument użyta była informacja o konieczności zweryfikowania konta lub potwierdzenia określonych informacji o rachunku, do czego niezbędne było podanie hasła do konta ofiary. Metoda ta była banalna, ale skuteczna – wielu nieświadomych użytkowników traciło dostęp do kont, które były wykorzystywane do wysyłania spamu lub w celach przestępczych.

Natomiast w latach 2000 – 2010 phishing stał się masowym zjawiskiem. Pojawiły się kampanie e-mailowe podszywające się pod banki i firmy kurierskie. Charakterystyczne były błędy językowe, egzotyczne adresy nadawców i mało profesjonalny styl. Jednak nawet wtedy ataki były opłacalne – wystarczyło, że niewielki procent odbiorców dał się oszukać, aby kampania przyniosła zyski. Rozwój urządzeń mobilnych zapoczątkował kolejne formy ataków:

• smishing (SMS phishing), czyli fałszywe wiadomości SMS z linkami do stron podszywających się pod banki lub sklepy,
• vishing (voice phishing), czyli telefony od oszustów podszywających się pod konsultantów banków lub urzędników.

Każdy kolejny etap technologiczny dawał przestępcom nowe narzędzia i kanały dotarcia do ofiar. Około roku 2010 phishing stał się bardziej wyrafinowany. Zaczęły dominować ataki spear phishingowe, czyli spersonalizowane pod kątem konkretnych osób lub organizacji. Przestępcy wykorzystywali informacje z mediów społecznościowych, aby tworzyć wiadomości dopasowane do ofiary. Pojawiła się również odmiana zwana whalingiem, czyli ataki na osoby pełniące kluczowe role w organizacjach, np. dyrektorów finansowych. W kolejnych latach phishing przeniósł się do mediów społecznościowych i komunikatorów. Cyberprzestępcy zaczęli podszywać się pod znajomych, współpracowników czy nawet całe firmy, wysyłając złośliwe linki i załączniki. Coraz powszechniejsze stały się także tzw. phishing kits, czyli gotowe zestawy umożliwiające szybkie stworzenie strony podszywającej się pod bank, sklep internetowy czy portal społecznościowy, co ułatwiło przeprowadzanie ataków nawet mniej zaawansowanym technicznie osobom. 

Obecnie phishing nie jest jedynie prostym oszustwem e-mailowym, ale często elementem złożonych kampanii APT (Advanced Persistent Threats). Stanowi on wektor początkowego dostępu do organizacji, a otwarcie złośliwego załącznika lub kliknięcie w link może prowadzić do instalacji oprogramowania szpiegującego, ransomware’u czy przejęcia kont pracowników. Ostatnie lata przyniosły nową jakość – phishing wspierany przez sztuczną inteligencję. Dzięki AI oszuści mogą tworzyć wiadomości w perfekcyjnej jakości językowej, pozbawione dawnych błędów ortograficznych i gramatycznych, co utrudnia ich wykrycie. AI umożliwia także automatyzację ataków, generowanie spersonalizowanych treści w dużej skali oraz tworzenie deepfake’ów głosu i obrazu, które zwiększają wiarygodność prób wyłudzeń (np. podczas rozmów telefonicznych). Według raportów branżowych phishing pozostaje najczęściej wykorzystywaną metodą ataku cyberprzestępców. 

Rodzaje phishingu

• Spear phishing – określenie to opisuje precyzyjnie spersonalizowane ataki skierowane na konkretną osobę lub organizację. Atakujący wykorzystują informacje z mediów społecznościowych czy publicznych baz danych, aby stworzyć wiadomość wyglądającą na autentyczną. Natomiast dzięki AI możliwe jest generowanie naturalnych, pozbawionych błędów językowych wiadomości oraz automatyczne dostosowywanie treści do profilu ofiary.
• Whaling – jest odmianą spear phishingu, w której celem są osoby z najwyższego szczebla, czyli członkowie zarządu, dyrektorzy, menadżerowie. Takie ataki mogą prowadzić do wyłudzeń milionów dolarów (przykładem może być podszycie się pod dyrektora finansowego i zlecenie przelewu na konkretny rachunek bankowy w określonej kwocie). AI wzmacnia tą technikę przez deepfake głosu lub wideo, które sprawiają, że „dyrektor finansowy” lub „prezes” dzwoni do pracownika i prosi o pilny przelew.
• Clone phishing – terminem tym jest opisane działanie oszustów, którzy kopiują prawdziwe wiadomości (np. faktury, powiadomienia z banku), a następnie podmieniają link lub załącznik na złośliwy. Wiadomość wygląda niemal identycznie jak oryginał. W przypadku tego typu ataku sztuczna inteligencja pozwala na automatyczne generowanie idealnych kopii maili wraz z logotypami, układem graficznym i profesjonalnym stylem pisania.
• Pharming – to technika polegająca na przekierowaniu użytkownika na fałszywą stronę internetową, nawet wówczas gdy w pasku przeglądarki wpisuje poprawny adres. Pharming może wynikać z ataku na DNS lub infekcji urządzenia. Dzięki wykorzystaniu sztucznej inteligencji możliwe jest dynamiczne generowanie stron phishingowych trudnych do wykrycia, które naśladują zachowanie prawdziwego serwisu.
• Smishing – jest to phishing za pomocą SMS-ów. Typowym przykładem może być wiadomość o konieczności dopłaty za przesyłkę lub rzekome ostrzeżenie z banku o próbie nieautoryzowanej wypłaty środków. W tym przypadku AI umożliwia automatyczne tworzenie krótkich, sugestywnych treści dopasowanych do języka i zwyczajów odbiorcy.
• Vishing – czyli phishing telefoniczny, gdzie oszuści podszywają się pod pracowników banku, firmy kurierskiej lub instytucji publicznej. Natomiast dzięki wykorzystaniu AI przestępcy mogą generować realistyczne głosy (tzw. voice deepfake), które naśladują akcent, ton i intonację prawdziwych osób.
• Quishing – to relatywnie nowa technika phishingu polegająca na wykorzystaniu sfałszowanych kodów QR, które przekierowują ofiary na strony phishingowe. Najczęściej z quishingiem można spotkać się w przestrzeni publicznej, np. na plakatach, lub ulotkach,  a także w ostatnio popularnej technice polegającej na wkładaniu za szyby samochodów „mandatów”, np. za nieprawidłowe parkowanie. Ataki quishingowe mogą być wspomagane przez AI poprzez tworzenie masowych kampanii z fałszywymi kodami oraz personalizację stron docelowych, do których prowadzą.
• Business Email Compromise (BEC) – to atak, w którym cyberprzestępcy przejmują lub podszywają się pod konta firmowe (np. dział księgowości), aby wyłudzić przelewy lub dane. W tym przypadku AI może automatycznie analizować korespondencję w celu imitacji stylu pisania i tonu komunikacji ofiary, której konto zostało przejęte lub pod które przestępcy się podszywają.
• Angler phishing – czyli oszustwa w mediach społecznościowych, np. podszywanie się pod obsługę klienta firm mających konta w mediach społecznościowych, aby wyłudzić od ofiar dane logowania. Do tego typu phishingu dochodzi najczęściej, gdy niezadowolona osoba na profilu takiej firmy napisze negatywny komentarz. Wówczas kontaktuje się z nią „obsługa klienta”, oferując „pomoc” w rozwiązaniu jej problemu. W tym przypadku AI jest wykorzystywane jako boty generujące natychmiastowe, wiarygodne odpowiedzi w konwersacjach online.

Przykłady realnych ataków phishingowych z użyciem sztucznej inteligencji

1. Fałszywy rozmówca – deepfake CEO. W jednym z najbardziej spektakularnych przypadków, pracownik w Hongkongu dokonał przelewów na sumę $25,6 miliona USD, będąc przekonanym, że uczestniczy w wideokonferencji z prawdziwymi szefami — podczas gdy tak naprawdę komunikował się z deepfake’owymi wersjami przełożonych. Podobny przypadek dotyczył brytyjskiej firmy Arup, której pracownik został oszukany dzięki deepfake’owi CFO i wysłał £20 milionów na fałszywe konto.
2. Deepfake w wideokonferencjach – oszustwa przez wideo i głos. Na konferencji antyfraudowej w Singapurze ujawniono poważne zagrożenia związane z deepfake’ami, w tym przypadek, gdzie wysocy rangą specjaliści cyberbezpieczeństwa padli ofiarą demonstracji scamu QR code phishingowego (quishing). Natomiast według raportów WSJ, przestępcy coraz częściej używają deepfake’ów w formie realistycznych klonów (audio-wideo) do imitowania przełożonych i oszukania pracowników korporacyjnych na dużą skalę. W samej tylko pierwszej połowie 2025 roku odnotowano ponad 105 000 ataków typu deepfake, których skutkiem było przekazanie cyberprzestępcom ponad 200 milionów USD.
3. Deepfake w oszustwach inwestycyjnych i romansowych. W Wielkiej Brytanii 77-letnia pedagog, Nikki MacLeod, została oszukana na £17 000 w wyniku romansu online, gdzie oszust podszywał się pod osobę z użyciem deepfake wideo i audio. Analogicznie, w Indiach władze aresztowały oszustów, którzy przy użyciu deepfake’owego nagrania finansowego ministra przekonali ofiarę do inwestycji przez fałszywą aplikację. W wyniku oszustwa ofiara straciła, w przeliczeniu około 60 000 funtów.

Redakcja poleca

Ktoś do ciebie dzwoni i zaraz się rozłącza? Uważaj, możesz paść ofiarą "wangiri"

Co oznacza ten znak? Każdy Polak powinien go znać, może uratować życie

Jak się chronić przed phishingiem?

Ochrona przed phishingiem, szczególnie tym wspieranym przez sztuczną inteligencję, wymaga podejścia wielowarstwowego. Kluczowe są zarówno nowoczesne technologie, jak i świadomość użytkowników.

Ochrona technologiczna:

• Filtry antyphishingowe oparte na AI – nowoczesne systemy bezpieczeństwa potrafią analizować język, kontekst i anomalie w wiadomościach e-mail oraz komunikatorach. Dzięki uczeniu maszynowemu szybciej wychwytują nietypowe wzorce.
• Uwierzytelnianie wieloskładnikowe (MFA) – nawet jeśli cyberprzestępca wyłudzi hasło, drugi składnik (np. aplikacja mobilna, klucz U2F) znacząco utrudnia przejęcie konta.
• Systemy EDR/XDR (Endpoint/Extended Detection & Response) – monitorują aktywność urządzeń i sieci, reagując automatycznie na podejrzane działania.
• Bezpieczne konfiguracje poczty (SPF, DKIM, DMARC) – pomagają weryfikować, czy e-mail faktycznie pochodzi z deklarowanej domeny.
• Segmentacja i zasada najmniejszych uprawnień – ograniczenie dostępu użytkowników i systemów minimalizuje skutki potencjalnego włamania.

Ochrona organizacyjna:

• Regularne szkolenia i kampanie uświadamiające – edukacja pracowników to podstawa. Powinni wiedzieć, jak rozpoznać podejrzane wiadomości i gdzie je zgłaszać.
• Symulacje phishingowe – pozwalają ocenić poziom czujności pracowników w praktyce.
• Procedury weryfikacji transakcji – np. zasada „call back” (telefoniczne potwierdzenie przelewu powyżej określonej kwoty u przełożonego).
• Plany reagowania na incydenty – jasno określone kroki: kogo powiadomić, jak zablokować dostęp, jak odzyskać dane.

Ochrona indywidualna:

• Weryfikacja nadawcy i adresu URL – nawet jeśli wiadomość wygląda profesjonalnie, warto sprawdzić szczegóły techniczne.
• Ostrożność wobec linków i załączników – najlepiej otwierać je tylko, gdy pochodzą z pewnego źródła.
• Minimalizacja śladu cyfrowego – im mniej danych publicznych w social mediach, tym trudniej o spersonalizowany atak.
• Świadomość psychologicznych trików – presja czasu, strach, atrakcyjna okazja – to klasyczne czerwone flagi.

Przyszłość phishingu

Eksperci są zgodni, że phishing będzie nadal ewoluował wraz z rozwojem nowych technologii i środowisk cyfrowych. Sztuczna inteligencja stanie się jeszcze bardziej zaawansowanym narzędziem manipulacji i automatyzacji ataków. Oto kilka możliwych scenariuszy:

1. Phishing w świecie metaverse i VR/AR 

• Awatary oszustów – w wirtualnych biurach czy spotkaniach biznesowych pojawią się realistyczne, generowane przez AI postacie, które będą podszywać się pod współpracowników, klientów lub menedżerów.
• Fałszywe przestrzenie w VR – cyberprzestępcy mogą tworzyć „klony” sal konferencyjnych, sklepów czy punktów obsługi klienta w wirtualnej rzeczywistości, w których ofiary będą podawać dane lub wykonywać polecenia.
• Rozszerzona rzeczywistość (AR) – zainfekowane aplikacje mogą podmieniać informacje wyświetlane na urządzeniach AR, np. przekierowując użytkownika do fałszywych stron lub „oznaczając” fałszywe punkty usługowe.

2. Długoterminowe relacje z ofiarami

• AI jako „przyjaciel” lub „mentor” – chatboty i wirtualni asystenci sterowani przez cyberprzestępców mogą prowadzić z ofiarami rozmowy przez tygodnie, a nawet miesiące, budując poczucie zaufania.
• Ataki romansowe i inwestycyjne nowej generacji – zamiast jednorazowego oszustwa, AI będzie w stanie tworzyć realistyczne, spójne „osobowości”, które utrzymują relację z ofiarą, manipulując jej emocjami i finansami w długim okresie.

3. Automatyzacja i hiperpersonalizacja

• Phishing w czasie rzeczywistym – AI analizująca zachowania ofiary na bieżąco (np. w social mediach) może tworzyć wiadomości dopasowane do aktualnych wydarzeń w jej życiu.
• Hiperpersonalizacja – połączenie AI z analizą big data i OSINT sprawi, że każdy atak będzie wyglądał jak unikatowa, wiarygodna interakcja.
• Dynamiczne deepfake’i – w przyszłości deepfake nie będzie statycznym nagraniem, lecz interaktywną postacią, reagującą w czasie rzeczywistym na rozmówcę.

4. Skalowanie ataków

• Ataki masowe bez utraty jakości – AI umożliwi prowadzenie milionów spersonalizowanych kampanii równocześnie, z indywidualnym dopasowaniem języka, tonu i kontekstu.
• Botnety AI – zautomatyzowane sieci będą mogły przeprowadzać wieloetapowe kampanie phishingowe w sposób niemal całkowicie autonomiczny.

5. Wyzwania dla obrony

• Granica między realnym a sztucznym będzie coraz trudniejsza do uchwycenia – ofiary mogą nie być w stanie odróżnić autentycznych interakcji od kreacji AI.
• Rosnąca skala manipulacji psychologicznej – długotrwałe oddziaływanie emocjonalne może być nawet groźniejsze niż jednorazowe wyłudzenie.
• Potrzeba nowych regulacji i etyki AI – prawo i normy społeczne będą musiały nadążyć za technologią, aby chronić obywateli w cyfrowych przestrzeniach przyszłości.

------------------------

Michał Mamica – praktyk w dziedzinie cyberbezpieczeństwa z 5-letnim doświadczeniem w obszarze SOC, threat intelligence i zarządzania podatnościami. W swojej karierze zawodowej między innymi zajmował się ochroną infrastruktury krytycznej, pracując w agencji rządowej, a obecnie jest głównym specjalistą bezpieczeństwa w banku. Autor kursów online oraz artykułów edukacyjnych łączących cyberbezpieczeństwo ze sztuczną inteligencją. Po godzinach miłośnik architektury klasycznej, w szczególności rezydencjonalnej.

Źródło: CHILLIZET