Phishing 2026: nowe triki, na które nadal łapią się pracownicy i jak je blokować

Phishing w 2026: czego naprawdę szuka atakujący

Osoba odpowiedzialna za bezpieczeństwo w firmie chce przede wszystkim dwóch rzeczy: wiedzieć, na jakie techniki phishingu pracownicy faktycznie się łapią w 2026 roku oraz jak zbudować zestaw praktyk, narzędzi i procedur, który realnie ograniczy skuteczność takich ataków. Kluczowe jest połączenie technologii (filtry, MFA, EDR) z procesami (obieg płatności, zgłaszanie incydentów) i zachowaniami ludzi (na co zwracają uwagę, a co ignorują).

Frazy związane z tematem: nowe techniki phishingu 2026, socjotechnika wobec pracowników, phishing w komunikatorach służbowych, deepfake w atakach BEC, MFA phishing i kradzież tokenów, symulacje phishingowe w firmie, błędy użytkowników w cyberbezpieczeństwie, konfiguracja filtrów antyphishing, incydenty phishingowe zgłaszanie i obsługa, checklista ochrony przed phishingiem.

Dlaczego phishing w 2026 wciąż działa lepiej niż malware

Phishing jako „droga na skróty” omijająca techniczne bariery

Klasyczne malware ma dziś pod górkę: systemy operacyjne są bardziej domyślnie utwardzone, EDR (Endpoint Detection and Response) jest powszechniejszy, a sandboxy wychwytują wiele złośliwych plików zanim trafią na endpoint. Phishing 2026 działa lepiej, bo nie próbuje bić się z technologią na poziomie kodu – wchodzi wyżej, na poziom decyzji człowieka i procesów.

Atakujący wykorzystują fakt, że pracownik ma prawo wykonywać określone operacje: logować się do VPN, zatwierdzać faktury, wysyłać pliki klientom, akceptować zaproszenia w Teams. Zamiast pisać nowego exploita na przeglądarkę, taniej jest skłonić człowieka, aby:

• wpisał swoje hasło na fałszywym formularzu logowania,
• zatwierdził złośliwą aplikację w O365/Google Workspace,
• zmienił numer rachunku na fakturze, bo „tak kazał prezes”.

Techniczne bariery przestają mieć znaczenie w momencie, gdy atak opiera się na legalnej funkcjonalności systemu (np. autoryzacja płatności, logowanie SSO), a nie na błędach w kodzie czy konfiguracji. To właśnie dlatego phishing generuje większy zwrot z inwestycji dla przestępców niż klasyczne infekcje złośliwym oprogramowaniem.

AI, personalizacja i automatyzacja: phishing jako „usługa”

Po 2024 roku komunikaty phishingowe przestały brzmieć jak łamany, automatycznie tłumaczony tekst. Generatywna AI umożliwia atakującym tworzenie:

• wiadomości w perfekcyjnej polszczyźnie, dopasowanych do branży (IT, medyczna, budowlana),
• personalizowanych scenariuszy w oparciu o publiczne dane: LinkedIn, oferty pracy, ogłoszenia o przetargach, newsy branżowe,
• masowych kampanii spear-phishing – pozornie sprzeczność, ale dzięki automatyzacji można masowo personalizować treści.

AI generuje nie tylko treść maila. Tworzy też fałszywe strony logowania, treści na landing page, a nawet scenariusze rozmów telefonicznych (vishing) z uwzględnieniem typowych odpowiedzi pracowników. Dla ofiary wygląda to jak korespondencja przygotowana przez prawnika, HR czy dział IT, a nie jak spam.

Zmęczenie bezpieczeństwem i biurowy „autopilot”

Pracownicy są zasypywani powiadomieniami, alertami i „ważnymi komunikatami”: pop-upy z aktualizacjami, komunikaty z systemów HR, CRM, mailowe „przypomnienia o haśle”, powiadomienia MFA. Efekt jest prosty: security fatigue, czyli zmęczenie bezpieczeństwem. Gdy wszystko krzyczy „ważne”, mózg przełącza się na tryb automatyczny.

Ten autopilot objawia się m.in. tym, że ludzie:

• klikają „Akceptuj” w oknach dialogowych bez czytania treści,
• logują się do „systemu HR” z maila, zamiast wejść tam z zakładek w przeglądarce,
• przepisują kody z aplikacji MFA, bo „zawsze tak robią, gdy wyskoczy powiadomienie”.

Socjotechnika w phishingu 2026 dokładnie w to uderza: maile i komunikaty są tak zaprojektowane, by wyglądały jak normalne, codzienne zadania biurowe. Zero czerwonych flag typu wielkie kwoty przelewów czy egzotyczne domeny. Wszystko ma wyglądać na rutynę – wtedy obrona oparta wyłącznie na „zdrowym rozsądku” przestaje działać.

Skuteczność phishingu zależy od procesów, a nie tylko technologii

Nawet najlepsze filtry antyphishingowe nie zatrzymają ataku, który jest zgodny z procesem biznesowym. Jeżeli w firmie:

• zmiana numeru konta dostawcy odbywa się wyłącznie mailem,
• przelewy powyżej określonej kwoty mogą być autoryzowane przez jedną osobę,
• zaproszenia do nowych systemów SaaS są wysyłane z wielu różnych domen, bez standardu,

to atakujący nie musi forsować technologii – wystarczy, że wejdzie w lukę procesową. Dlatego skuteczność phishingu 2026 mierzy się nie tylko jakością filtrów, ale tym, jak zaprojektowane są procedury: kto może co zatwierdzić, jakie kanały są „oficjalne”, jak wygląda weryfikacja przy zmianie krytycznych danych (rachunków, uprawnień, dostępu).

Phishing 2026 – krótkie podstawy, aby mówić precyzyjnie

Czym phishing różni się od spear-phishingu, vishingu i smishingu

Warto rozdzielić kilka pojęć, bo od nich zależy dobór zabezpieczeń:

• Phishing – ogólny, zwykle masowy atak, najczęściej mailowy, gdzie ta sama treść trafia do wielu odbiorców. Przykład: mailing „Twoje konto bankowe zostanie zablokowane, zaloguj się tu >>”.
• Spear-phishing – ukierunkowany phishing na konkretne osoby lub grupy (np. dział finansów). Wiadomość jest spersonalizowana, może zawierać nazwisko, nazwę projektu, szczegóły dotyczące firmy.
• Vishing (voice phishing) – wykorzystuje telefon lub komunikację głosową (również VoIP/Teams). Napastnik podszywa się pod bank, IT, prezesa, dostawcę.
• Smishing (SMS phishing) – phishing przez SMS/MMS lub komunikatory zbliżone funkcjonalnie do SMS (np. RCS), często z linkiem do fałszywej strony.

Różnice są przede wszystkim w wektorze ataku (mail, telefon, SMS, komunikator) i w poziomie personalizacji. Masowy phishing atakuje szeroko i tanio, spear-phishing jest droższy, ale ma dużo wyższy współczynnik skuteczności – a to właśnie on jest groźny dla firm w 2026 roku.

Przykład kontrastu: masowy mailing z błędami stylu „Szanowny Panie/Szanowana Pani” vs. precyzyjny mail do głównej księgowej: „Pani Anno, w załączniku przesyłam aktualizację limitów płatności związanych z umową 2024/07-FIN. Zgodnie z ustaleniami z zeszłego tygodnia proszę o akceptację do końca dnia.”. Ten drugi dużo trudniej zignorować.

Główne cele atakujących w phishingu 2026

Nowe techniki phishingu 2026 nadal kręcą się wokół klasycznych celów, ale sposoby ich realizacji są bardziej wyrafinowane:

• Kradzież danych logowania – loginy i hasła do:
  • poczty służbowej (O365, Google Workspace),
  • VPN i systemów zdalnego dostępu,
  • systemów finansowych (ERP, księgowość, bankowość online),
  • paneli administracyjnych (CRM, systemy klientów).
• Przejęcie kont (account takeover) – połączone z omijaniem MFA, np. kradzież tokenów sesji, zatwierdzenie złośliwych aplikacji OAuth.
• Fraudy płatnicze – zmiana numerów rachunków, przyspieszenie płatności, fałszywe faktury, wyłudzenie zaliczek.
• Dostęp do danych klientów/pracowników – nie tylko dla samego wycieku, ale też do kolejnych ataków: podszywanie się pod was wobec waszych klientów, atak na łańcuch dostaw.

Coraz większą rolę odgrywa BEC (Business Email Compromise), czyli przejęcie lub wiarygodne podszywanie się pod biznesową skrzynkę pocztową, a także ataki na łańcuch dostaw. Jeśli napastnik przejmie konto pracownika u waszego dostawcy księgowego, może wysyłać do was „prawdziwe” faktury z „prawdziwego” adresu, tylko z podmienionym kontem bankowym.

Typowy „łańcuch zabójczy” phishingu w 2026

Phishing to nie pojedynczy mail, tylko ciąg działań – tzw. kill chain (łańcuch zabójczy). W uproszczeniu wygląda to tak:

1. Rekonesans – zbieranie informacji o firmie i pracownikach: LinkedIn, strona www, ogłoszenia o pracę, media społecznościowe, rejestry publiczne.
2. Przygotowanie infrastruktury – domeny podobne do firmowych, serwery phishing proxy, fałszywe portale logowania, konta w legalnych usługach chmurowych.
3. Pierwszy kontakt – mail, wiadomość w Teams, SMS, telefon. Najczęściej wygląda jak zwykła, niewinna prośba o zalogowanie się, pobranie pliku, potwierdzenie danych.
4. Przejęcie danych lub konta – ofiara wpisuje login/hasło, akceptuje aplikację OAuth, podaje dane karty, wprowadza numer konta do przelewu.
5. Eskalacja – po uzyskaniu dostępu atakujący:
   • przekierowuje pocztę ofiary,
   • tworzy reguły skrzynki (np. ukrywanie maili z banku lub od działu bezpieczeństwa),
   • testuje inne systemy z tymi samymi hasłami (re-use haseł).
6. Monetyzacja – wyłudzenie przelewów, sprzedaż danych, ransomware po wstępnej eskalacji uprawnień.

W praktyce dla zwykłego pracownika biurowego wygląda to jak kilka niewinnych kroków: logowanie do „nowego” portalu HR, potwierdzenie kodem SMS, wysłanie pliku klientowi. Problem w tym, że każdy z tych kroków odbywa się w cieniu podszywania się pod firmowe procesy.

Nowe triki w phishingu mailowym – co realnie pojawiło się po 2024

Maile generowane przez AI, bez literówek i z lokalnym kontekstem

Do 2024 roku jednym z głównych „sygnałów ostrzegawczych” były rażące błędy językowe, dziwne zwroty i brak zrozumienia lokalnego kontekstu. W phishingu 2026 ten sygnał w dużej mierze znika. Maile phishingowe:

• są pisane poprawną polszczyzną, często nawet lepszą niż ta stosowana wewnątrz firmy,
• uwzględniają aktualne tematy branżowe i prawne (np. zmiany w KSeF, nowe wymogi RODO, lokalne regulacje podatkowe),
• nawiązują do konkretnych wydarzeń firmowych: konferencje, rekrutacje, akwizycje, „wejście na nowy rynek”.

Przykład: jeżeli firma komunikuje publicznie wdrożenie Krajowego Systemu e-Faktur, atakujący generuje maile typu: „Zgodnie z najnowszymi wytycznymi KSeF prosimy o potwierdzenie danych kontrahenta. Bez aktualizacji do końca miesiąca faktury będą odrzucane automatycznie.” – z linkiem do fałszywego portalu.

AI pozwala też mieszać style komunikacji: mail od „prawnika” będzie miał inną strukturę zdań i słownictwo niż mail od „działu IT”. To sprawia, że tradycyjne „patrz na styl” staje się niewystarczające. Trzeba przesunąć uwagę pracowników na mechanizmy (np. skąd logujemy się do systemów, jak weryfikujemy prośby) zamiast na same słowa.

Ataki omijające filtry dzięki „living off the land”

Filtry antyspamowe i antyphishingowe znacznie się poprawiły, więc przestępcy zaczęli żywić się tym, co już jest w środowisku – to podejście określa się jako living off the land. Zamiast hostować złośliwe treści na podejrzanych serwerach, korzystają z:

• OneDrive, SharePoint, Google Drive, Dropbox,
• WeTransfer i podobnych serwisów do wymiany plików,
• formularzy Google Forms, Microsoft Forms, Typeform.

Mail wygląda wtedy całkowicie normalnie: „Dzień dobry, udostępniłem Pani plik w OneDrive, proszę o komentarz do końca dnia”. Link prowadzi do prawdziwego OneDrive, ale plik zawiera złośliwe makra albo formularz z linkiem do fałszywego logowania. Alternatywnie – link prowadzi do formularza typu Forms, który zbiera dane logowania lub informacje osobowe, podszywając się pod wewnętrzny proces.

Podszywanie się pod automaty systemowe i bezpieczeństwa

Coraz więcej komunikatów w firmach pochodzi z automatów: systemy ITSM, HR, DLP, EDR, systemy backupu, platformy e‑learningowe. Atakujący wykorzystują ten szum, tworząc maile, które wyglądają jak kolejny nudny komunikat systemowy. Różnica jest subtelna: drobnie zmieniony adres nadawcy, inny subdomenowy prefiks, brak podpisu DKIM, ale treść i szata graficzna są niemal identyczne.

Typowe przykłady takich maili:

• „[SECURITY GATEWAY] Wykryto nietypową aktywność. Aby zweryfikować swoją tożsamość, zaloguj się do Portalu Bezpieczeństwa »”
• „[BACKUP NOTIFICATION] Nie udało się wykonać kopii bezpieczeństwa Twoich plików. Kliknij, aby ręcznie zainicjować backup »”
• „[HR PORTAL] Aktualizacja regulaminu pracy – wymagane potwierdzenie zapoznania się do końca dnia”

Kluczowa zmiana w 2026 roku: takie maile są generowane na bazie prawdziwych szablonów, wyciągniętych z przejętych skrzynek innych firm lub z wycieków. Z perspektywy pracownika wyglądają więc jak „jeszcze jeden standardowy komunikat”, a nie „dziwny mail z banku”.

Skuteczna obrona wymaga spięcia dwóch poziomów:

• Standaryzacji nadawców i domen – wszystkie automaty systemowe muszą wysyłać z jednoznacznie rozpoznawalnych domen (np. it-notify.firma.pl, hr.firma.pl) z konsekwentną konfiguracją SPF/DKIM/DMARC,
• prostej zasady dla użytkowników: jeśli komunikat mówi „zaloguj się”, robisz to wyłącznie przez znany portal (ręcznie wpisany adres / zakładka w przeglądarce), nigdy przez link w mailu – nawet jeśli mail wygląda idealnie.

„Soft phishing”: drobne prośby budujące zaufanie

Po 2024 roku popularny staje się model ataku etapowego, gdzie pierwszy mail nie zawiera złośliwego linku ani załącznika. Jest „niegroźny”, służy tylko do nawiązania relacji i zbudowania kontekstu.

Scenariusz wygląda tak:

1. Mail 1: krótka, sensowna prośba – np. o potwierdzenie, czy dana osoba jest właściwym kontaktem w sprawie umowy / zamówienia.
2. Mail 2–3: wymiana kilku wiadomości, często bez żadnych linków. Napastnik zbiera informacje: styl komunikacji, procedury, nazwiska.
3. Mail N: dopiero tutaj pojawia się „prośba właściwa” – dostęp do dokumentów, szybsza płatność, weryfikacja logowania do nowego narzędzia.

Takie miękkie wejście obniża czujność. Użytkownik widzi normalną korespondencję, która „trwa już od jakiegoś czasu”, więc łatwiej ufa kolejnemu mailowi. Dla filtrów również jest to trudniejsze – pierwsze wiadomości nie zawierają niczego złośliwego, więc reputacja nadawcy rośnie.

Minimalizacja ryzyka w takim modelu nie opiera się na rozpoznaniu „podejrzanego maila”, tylko na sztywnych regułach dla akceptacji określonych akcji: zmiany rachunku bankowego, dodania nowego beneficjenta, udzielenia dostępów administracyjnych. Niezależnie od tego, jak długo trwa korespondencja, te akcje muszą przechodzić przez osobny, silniej kontrolowany kanał.

Wykorzystywanie wewnętrznych „newsletterów” i mailingów ogłoszeniowych

W 2026 roku większość organizacji korzysta z regularnych mailingów: HR informuje o benefitach, IT o przerwach serwisowych, marketing o sukcesach firmy. Atakujący podszywają się pod te „nudne” kanały, bo ludzie czytają je pobieżnie, a jednocześnie mają do nich zaufanie.

Charakterystyczne triki:

• podszywanie się pod ogłoszenia o benefitach („nowa karta sportowa, dopłaty do wakacji, pakiety medyczne”) – z linkiem do fałszywego portalu benefitowego,
• fałszywe ankiety satysfakcji („aby wziąć udział w loterii, podaj swój służbowy e‑mail i hasło, by potwierdzić tożsamość”),
• udawane webinary wewnętrzne („obowiązkowe szkolenie z cyberbezpieczeństwa” z linkiem do logowania przez zewnętrzną stronę).

Dla bezpieczeństwa kluczowa jest tu polityka „jednego oficjalnego portalu” dla określonej kategorii spraw: benefity – tylko przez wskazany adres i SSO, szkolenia – tylko przez LMS firmy, ankiety – tylko z określonej domeny, bez logowania hasłem. Jeśli każdy projekt HR korzysta z innego zewnętrznego dostawcy z różnymi domenami, socjotechnika ma idealne warunki do działania.

Phishing w komunikatorach i narzędziach współpracy – nowy „email”

Teams, Slack, Google Chat jako nowy wektor pierwszego kontaktu

W wielu firmach mail służy już głównie do komunikacji zewnętrznej, a wewnętrznie dominuje Teams/Slack/Google Chat. Dla atakujących to naturalny nowy „inbox”, tym bardziej, że:

• komunikatory często mają słabsze mechanizmy filtrowania treści niż poczta,
• budują wrażenie „bezpiecznego wnętrza” – użytkownicy zakładają, że każdy w tym kanale jest zweryfikowany,
• łatwiej tam o szybkie, nieformalnie zaakceptowane decyzje („wrzuć mi tu dane karty, żebym kupił licencję”).

Typowe ataki w komunikatorach:

• wiadomości od „nowego pracownika” (pretekst: stażysta, konsultant zewnętrzny) proszące o dostęp do dokumentów lub przekierowanie do „offboarding checklist” z linkiem,
• fałszywe zaproszenia do aplikacji integrowanych z komunikatorem (boty HR, narzędzia do planowania, integracje z CRM),
• wiadomości DM (direct message) rzekomo od IT: „Masz alert bezpieczeństwa, kliknij tutaj, żeby zsynchronizować konto SSO”.

Przejęte konta i pivotowanie po kanałach

Gdy atakujący przejmie konto mailowe lub SSO, bardzo szybko przenosi się do komunikatorów. Tam robi kilka rzeczy:

• przegląda historię kanałów prywatnych i grupowych,
• identyfikuje procesy biznesowe, gdzie decyzje zapadają „na czacie” (np. zatwierdzanie faktur, ustalenia z działem sprzedaży),
• buduje zaufanie, odpowiadając na stare wątki w stylu „wracając do tej sprawy…”.

W praktyce potrafi to wyglądać tak: przejęte konto CFO na Teams/Slack pisze na kanale „Finanse”: „Hej, czy ktoś może szybko zatwierdzić podniesienie limitu na tę kartę, bo mamy okno zakupowe u dostawcy?”. Reszta zespołu widzi znaną nazwę, historię rozmów, część osób zna tę osobę osobiście. Prawie nikt nie kwestionuje takiej prośby.

Obrona techniczna to m.in.:

• wymuszanie MFA także dla komunikatorów (w tym aplikacje desktopowe i mobilne),
• włączenie logowania i alertów anomalii dla narzędzi współpracy (nietypowe lokalizacje, nowe urządzenia, logowania z Tor/VPN komercyjnych),
• wprowadzenie zasad „no go” na czatach: bez przesyłania numerów kart, haseł jednorazowych, skanów dokumentów, poufnych danych klientów.

Fałszywe zaproszenia do spotkań i współdzielonych dokumentów

Atakujący korzystają też z „kalendarzowego” aspektu narzędzi współpracy. Fałszywe zaproszenia do spotkań w Teams/Zoom/Meet zawierają:

• linki do fałszywych lobby (strony podszywające się pod stronę logowania do spotkania),
• załączone „agendy spotkań” z makrami,
• linki do dokumentów w pseudo‑SharePointach (podobne adresy, inne domeny).

Równolegle rośnie liczba nadużyć przy współdzieleniu dokumentów: zamiast klasycznego maila ofiara dostaje powiadomienie: „X udostępnił Ci dokument <nazwa_projektu> w SharePoint”. Kliknięcie prowadzi jednak do proxy, które przechwytuje logowanie OIDC/SAML, a następnie przekazuje sesję napastnikowi.

Silne zabezpieczenie to połączenie:

• podpisywania linków (np. Short URL z firmowej domeny, generowane tylko usprawnionym narzędziem),
• wizualnego oznaczania zaufanych aplikacji (przygotowane przez IT kafelki / zakładki w panelu głównym),
• szkoleń z prostą zasadą: jeśli system prosi o logowanie w oknie, które nie wygląda jak standardowy SSO firmy – przerywasz.

Deepfake i zaawansowana socjotechnika w atakach BEC

Od prostych maili „na prezesa” do wielokanałowych symulacji

Klasyczny „prezes dzwoni i każe pilnie przelać pieniądze” wciąż się zdarza, ale po 2024 roku ataki BEC (Business Email Compromise) stają się dużo bardziej wielowarstwowe. Atakujący:

• przejmuje lub podszywa się pod skrzynkę zarządu / dyrektora,
• przygotowuje spójny scenariusz rozmów mailowych, czatowych i telefonicznych,
• używa deepfake audio lub wideo, żeby potwierdzić tożsamość podczas krytycznej decyzji.

Przykład z praktyki: dział finansów dostaje mail z konta dyrektora (prawdziwe przejęte konto, zalogowane z nietypowego IP, ale wciąż „legalne” w systemach). W mailu jest zapowiedź dużej, poufnej transakcji M&A i zapowiedziane, że „za godzinę zadzwoni koordynator z banku, żeby dopiąć formalności”. Po godzinie jest telefon na Teams – obraz niskiej jakości, ale widać sylwetkę, głos brzmi jak „z banku”. Krótka rozmowa, nacisk na poufność, tempo, presja czasu. W tle może się pojawić nawet wygenerowany głos „prezesa” z krótkim potwierdzeniem.

Deepfake audio/wideo – jak wygląda w 2026

Narzędzia do generowania głosu i obrazu dojrzały na tyle, że:

• krótkie nagrania (kilka minut wystąpienia prezesa z YouTube) wystarczą, by odtworzyć głos z odpowiednią intonacją,
• można generować „voice mask” w czasie rzeczywistym w aplikacjach VoIP/Teams/Zoom,
• proste avatar‑video (głowa + ramiona) są generowane automatycznie na podstawie kilku zdjęć.

To nie jest jeszcze poziom filmowych efektów specjalnych, ale do rozmowy przez służbowy komunikator wystarczy. Szczególnie gdy rozmowa jest krótka, z zakłóceniami łącza, „pośpiechem” i pretekstem typu „jestem w taksówce, zaraz wchodzę na spotkanie, potwierdź tylko przelew”.

Kluczowe zasady obrony organizacji nie opierają się więc na „rozpoznaniu fałszywego głosu”, ale na twardych procedurach:

• określony limit kwot, powyżej którego wymagana jest podwójna weryfikacja (np. inna osoba + inny kanał),
• zakaz inicjowania kritcznych przelewów / zmiany rachunków tylko na podstawie rozmowy głosowej, bez śladu w systemie finansowo‑księgowym,
• wprowadzenie hasła kontrolnego do poufnych rozmów – prostego kodu lub frazy, znanego tylko ograniczonej grupie i zmienianego okresowo (nieprzesyłanego przez mail/Teams).

Preteksty dopasowane do kalendarza firmy

Socjotechnika w 2026 wykorzystuje nie tylko publiczne dane o firmie, lecz także:

• przecieki z kalendarzy (np. nieprawidłowo udostępnione eventy),
• informacje od podwykonawców i partnerów (czasem pozyskane z wcześniejszych włamań),
• analizę rytmu pracy – koniec miesiąca, zamknięcia kwartalne, audyty, planowane wdrożenia.

Przykładowo, jeśli atakujący widzi w kalendarzu CFO spotkania typu „Closing Q4 results” lub „Meeting with auditors”, łatwiej mu zbudować wiarygodny scenariusz: poufny projekt, presja czasu, „pilne uzupełnienie dokumentacji dla audytora”. Wysyła maile i dzwoni dokładnie wtedy, gdy zespół finansów jest przeciążony.

Redukcja ryzyka wymaga minimalizacji „wycieku metadanych”: ograniczenia publicznych kalendarzy, przeglądu uprawnień do zasobów współdzielonych oraz przemyślenia, jakie informacje procesowe lądują w otwartych kanałach. Zbyt dokładne publiczne opisy projektów i kamieni milowych to gotowy scenariusz dla socjotechnika.

Jak atakujący omijają MFA w 2026

Phishing proxy i kradzież tokenów sesji

Najbardziej rozwiniętą techniką jest dziś użycie phishing proxy – serwera, który pośredniczy między ofiarą a prawdziwą stroną logowania. Użytkownik widzi prawidłowy adres (czasem z użyciem mechanizmów typu URL rewriting), prawidłowy certyfikat TLS i normalny formularz logowania. Atakujący:

Jak działa przechwytywanie sesji w praktyce

W momencie logowania proxy zapisuje wszystko:

• login i hasło użytkownika,
• kod MFA (OTP, potwierdzenie push),
• nagłówki HTTP, w tym cookie sesyjne i tokeny (np. JWT) zwracane po udanym logowaniu.

Po stronie ofiary logowanie kończy się sukcesem – widzi swój panel O365, CRM czy panel HR. Równolegle napastnik bierze token sesji i “wstrzykuje” go do swojej przeglądarki (np. przez narzędzia deweloperskie lub skrypty), uzyskując pełny dostęp bez konieczności podawania hasła i bez kolejnego MFA.

Zaawansowane zestawy phishing‑proxy w 2026 dodają kilka funkcji:

• auto‑replay sesji – automatyczne logowanie napastnika na konto ofiary, gdy tylko pojawi się ważny token,
• automatyczne „przeklikiwanie” MFA – obsługa dodatkowych ekranów, np. wyboru konta, potwierdzeń zgód,
• moduły do filtracji skrzynki (np. wyszukiwanie „invoice”, „payment”, „wire transfer”) zaraz po wejściu na konto.

Ominięcie MFA opartego na powiadomieniach push

MFA „push” (powiadomienie w aplikacji: „Czy to Ty się logujesz?”) jest wygodne, ale od kilku lat intensywnie nadużywane. Schemat w 2026 jest dobrze wyszlifowany:

• atakujący ma hasło ofiary (wyciek, brute‑force, zadawniony phishing),
• uruchamia serię logowań do usługi SSO / O365 / VPN, generując powiadomienia push,
• łączy to z socjotechniką – np. mail „od IT” o planowanym przełączeniu na nową platformę logowania.

W praktyce ofiara, zmęczona powiadomieniami, w końcu klika „Akceptuj”, szczególnie jeśli na kanale „IT‑Announcements” widziała komunikat o migracji systemu.

Skuteczna obrona nie polega na szkoleniu w stylu „nie akceptuj niespodziewanych powiadomień”, tylko na zmianie mechanizmu:

• Number matching – użytkownik na telefonie musi przepisać kod wyświetlany na ekranie logowania (atakujący go nie zna),
• bind do urządzenia – logowanie wymaga posiadania zarejestrowanego klucza sprzętowego lub „zaufanego” urządzenia (FIDO2, WebAuthn),
• limity i alerty: blokowanie konta lub wymuszenie zmiany hasła po serii odrzuconych powiadomień push.

SIM‑swap i klonowanie numerów w 2026

Klasyczny SIM‑swap (przepisanie numeru ofiary na nową kartę SIM u operatora) nadal występuje, ale coraz częściej zastępują go warianty „soft”:

• VoIP look‑alike – atakujący kupuje numer o bardzo podobnym wzorcu, wykorzystywany w 2FA głosowym,
• proxy SMS – złośliwe aplikacje mobilne przechwytują przychodzące SMS i przekazują kody napastnikowi,
• przejęcie panelu operatora (konto klienta online) i zdalne przekierowanie wiadomości/połączeń.

Same SMS‑y jako drugi czynnik są już de facto traktowane jako mechanizm „legacy”. Jeśli nadal są używane do krytycznych systemów (bankowość korporacyjna, VPN zarządu), minimalny pakiet wymagań to:

• oddzielny numer do 2FA, niepublikowany nigdzie (ani w stopce maila, ani w stopce na stronie www),
• blokada zdalnych zmian w panelu operatora – zmiana SIM lub przekierowanie tylko po wizycie osobistej / silnym KYC,
• monitoring bilingów i logów – wykrywanie nagłych zmian lokalizacji połączeń / SMS.

Token stealing z urządzeń i przeglądarek

Coraz większy udział mają ataki, które w ogóle nie próbują łamać MFA w czasie logowania. Zamiast tego:

• infekują endpoint (laptop, stacja robocza) lekkim malware kradnącym przeglądarkowe cookie,
• wyciągają tokeny refresh z katalogów przeglądarki (Chrome, Edge, Brave),
• używają narzędzi typu „session ripper” do pakowania ich w formie łatwej do użycia w innej przeglądarce.

Po stronie SOC wiele takich przypadków wygląda jak „zwykłe” logowanie z legalnego urządzenia – bo w praktyce to wciąż ta sama sesja, przeniesiona poza kontrolę użytkownika.

Ograniczenie skuteczności takich ataków sprowadza się do kilku twardych zasad technicznych:

• krótki TTL tokenów (czas życia sesji) dla aplikacji wrażliwych – nawet jeśli token wycieknie, jego użyteczność będzie ograniczona,
• wymuszanie powtórnego MFA przy krytycznych akcjach (zmiana konta bankowego dostawcy, dodanie nowego administratora),
• segmentacja urządzeń: oddzielenie stacji „wysokiego ryzyka” (np. dział marketingu, gdzie instalowane są różne narzędzia) od stacji z dostępem do systemów finansowych.

„Consent phishing” – atak na uprawnienia aplikacji

Rok 2026 to dojrzałość ataków na poziomie OAuth/OIDC. Zamiast kraść hasła, napastnik wysyła link, który prowadzi do prawdziwej strony logowania Microsoft/Google, ale po autoryzacji użytkownik nadaje prawa złośliwej aplikacji.

Charakterystyczne elementy:

• link wygląda jak zaproszenie do nowej aplikacji firmowej („Nowy system rozliczania delegacji”, „Dashboard sprzedaży”),
• po kliknięciu pojawia się znajome okno SSO (często bez pytania o hasło, bo użytkownik już ma sesję),
• ekran zgody („Ta aplikacja chce: czytać Twoje maile, uzyskiwać dostęp do plików w OneDrive, wysyłać mail w Twoim imieniu”) jest klikany bezrefleksyjnie.

Po zaakceptowaniu zgody napastnik ma stały, API‑owy dostęp do zasobów użytkownika, często bez kolejnych MFA, dopóki tokeny refresh są ważne.

Kluczowe zabezpieczenia to:

• globalny zakaz samodzielnego nadawania zgód wysokiego poziomu (admin‑only consent) w tenantach O365/Google Workspace,
• whitelista dozwolonych aplikacji oraz rejestracja wszystkich aplikacji własnych z kontrolą zakresów (scopes),
• jasna polityka: pracownicy nie instalują niczego „SSO‑podobnego” bez zgody IT/bezpieczników.

Man‑in‑the‑Browser i modyfikacja treści

Phishing proxy to „man‑in‑the‑middle” na poziomie sieci. Jego kuzynem jest man‑in‑the‑browser (MitB) – złośliwe rozszerzenia lub wstrzyknięty kod JS, który:

• modyfikuje widok formularzy (np. podmienia numer konta bankowego),
• przechwytuje jednorazowe kody z wewnętrznych portali (np. soft‑tokeny),
• wprowadza niewielkie zmiany w danych, które użytkownik zatwierdza „na oko”.

Banki i fintechy wprowadzają tu mechanizmy typu transakcyjne MFA – kod autoryzacyjny zawiera skrót treści (kwota + odbiorca). W organizacjach wewnętrznych ten poziom dopiero raczkuje, ale da się zastosować analogiczne podejście:

• podwójne potwierdzenie krytycznych zmian danych (np. IBAN kontrahenta) przez osobę niezależną,
• weryfikacja kluczowych operacji na urządzeniu „out of band” (osobna aplikacja mobilna, której malware na stacji roboczej nie kontroluje),
• blokowanie niezatwierdzonych rozszerzeń przeglądarki na stacjach firmowych.

Ataki na resetowanie haseł i helpdesk

MFA nie pomaga, gdy napastnik skutecznie zresetuje konto z pomocą procesów organizacyjnych. Najczęstsze schematy w 2026 to:

• podszycie się pod pracownika na kanale telefonicznym i socjotechnika na helpdesku („zgubiłem telefon, potrzebuję szybko przełączyć MFA”),
• wykorzystanie słabo zabezpieczonych pytań pomocniczych (data urodzenia, nazwisko panieńskie) z danymi z OSINT,
• atak przez partnera – helpdesk outsourcowany do zewnętrznej firmy, gdzie procedury są luźniejsze.

Realistyczny przykład: dyrektor sprzedaży jest w podróży, ma problem z roamingiem. Napastnik, który wcześniej przeglądał jego social media, dzwoni na helpdesk: zna imię psa, nazwisko partnerki, nazwy projektów. W wielu organizacjach to wystarczało kiedyś jako „dodatkowe potwierdzenie”.

Bezpieczniejszy model to:

• brak telefonicznych resetów dla ról wrażliwych (finanse, admini, zarząd) – tylko fizyczna obecność lub potwierdzenie przez menedżera,
• wykorzystanie kanału out‑of‑band, który nie jest mailowy ani czatowy (np. dedykowana aplikacja z silnym uwierzytelnieniem),
• szkolenia helpdesku z „red flag” socjotechniki: presja czasu, odwoływanie się do autorytetu, groźby eskalacji do zarządu.

Łączenie kilku metod w jednej kampanii

W 2026 skuteczne kampanie rzadko opierają się na jednym trik’u. Typowy scenariusz obejmuje kombinację:

1. Phishing mailowy z linkiem do proxy → kradzież sesji / tokenów.
2. Wejście na konto O365/GSuite → analizowanie kalendarzy, Teams/Slack, plików.
3. Przygotowanie wiarygodnego pretekstu (projekt, audyt, przetarg) → atak BEC lub nakłanianie do instalacji “nowego” narzędzia.
4. Consent phishing lub instalacja złośliwej integracji → trwały dostęp API do danych.
5. Na koniec, w razie utraty dostępu, próba resetu konta przez helpdesk z użyciem zebranych informacji.

Dlatego pojedyncze „łatki” (nowy filtr antyspamowy, jedno szkolenie z phishingu) nie rozwiązują problemu. Dopiero spięcie kilku warstw – kontroli technicznych, twardych procedur biznesowych i sensownej edukacji użytkowników – zaczyna realnie ciąć skuteczność tych kampanii.

Najważniejsze wnioski

• Phishing w 2026 r. omija techniczne bariery (EDR, sandboxy, utwardzone systemy) i atakuje poziom decyzji człowieka oraz luki w procesach biznesowych, wykorzystując w pełni legalne funkcje systemów (SSO, autoryzacja płatności, zmiana rachunku).
• Generatywna AI radykalnie podniosła jakość kampanii: treści są w poprawnej polszczyźnie, dopasowane do branży i roli, oparte na danych z LinkedIn czy ogłoszeń, a do tego automatycznie generowane są spójne landing page’e i scenariusze rozmów telefonicznych (vishing).
• Security fatigue (zmęczenie bezpieczeństwem) sprawia, że pracownicy działają na „autopilocie”: klikają „Akceptuj”, logują się z linków w mailach, przepisują kody MFA, bo tak wygląda ich codzienna rutyna – napastnik dokładnie pod to projektuje komunikaty.
• Realna odporność na phishing zależy od tego, jak zdefiniowane są procesy: kto i jak może zmienić numer konta dostawcy, jakie kanały są uznane za oficjalne, jak wyglądają progi i zasady autoryzacji płatności, a nie tylko od jakości filtrów antyspamowych.
• Phishing przynosi przestępcom większy zwrot z inwestycji niż klasyczne malware, bo zamiast szukać podatności w kodzie, „wypożycza” uprawnienia użytkownika – pracownik sam loguje się, zatwierdza aplikację w O365/Google Workspace czy akceptuje przelew.