Phishing spada ilościowo, ale rośnie jakościowo. Dlaczego ryzyko nadal wzrasta

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Phishing pozostaje jednym z najgroźniejszych i najczęściej wykorzystywanych wektorów wejścia w cyberatakach. Choć w ostatnich latach nominalna liczba kampanii phishingowych zaczęła spadać, nie oznacza to poprawy sytuacji bezpieczeństwa. Przeciwnie — obserwowany trend wskazuje, że cyberprzestępcy odchodzą od masowych, łatwych do wykrycia operacji na rzecz ataków bardziej selektywnych, lepiej przygotowanych i skuteczniejszych.

W praktyce zmienia się nie tyle skala zjawiska, ile jego charakter. Mniej wiadomości phishingowych nie musi oznaczać mniejszego zagrożenia, jeśli każda kampania jest dokładniej dopasowana do ofiary i ma większą szansę powodzenia.

W skrócie

W 2024 i 2025 roku globalny wolumen phishingu miał maleć, jednak eksperci podkreślają, że za spadkiem liczby kampanii stoi przede wszystkim zmiana taktyki przestępców. Zamiast szerokiego rozsyłania prostych wiadomości napastnicy coraz częściej stawiają na jakość, personalizację oraz wykorzystanie automatyzacji i narzędzi opartych na sztucznej inteligencji.

Mniej kampanii nie oznacza mniejszego ryzyka.
Rośnie znaczenie phishingu ukierunkowanego i wysokiej jakości przynęt.
AI ułatwia tworzenie wiarygodnych wiadomości i fałszywych stron.
Legalna infrastruktura chmurowa utrudnia wykrywanie i blokowanie ataków.
Skutki incydentów obejmują kradzież poświadczeń, BEC, ransomware i przejęcia sesji.

Kontekst / historia

Upowszechnienie narzędzi generatywnej AI wywołało obawy, że phishing zacznie rosnąć lawinowo. Taki scenariusz wydawał się prawdopodobny, ponieważ modele językowe znacząco obniżyły barierę wejścia w przygotowywanie poprawnych językowo wiadomości, lokalizowanie treści i szybkie dostosowywanie komunikacji do konkretnej branży, regionu czy odbiorcy.

W początkowej fazie faktycznie można było obserwować wzrost aktywności i większą dostępność zestawów phishingowych. Z czasem jednak grupy przestępcze zaczęły optymalizować model działania. Zamiast zwiększać sam wolumen, skoncentrowały się na skuteczności operacyjnej: lepszym rozpoznaniu ofiary, wyższej wiarygodności komunikacji i atakowaniu organizacji lub użytkowników o większej wartości.

To zjawisko przypomina ewolucję obserwowaną wcześniej w ransomware, gdzie model masowy ustępował miejsca precyzyjnym operacjom wymierzonym w podmioty zdolne do poniesienia znacznych strat finansowych.

Analiza techniczna

Najważniejsza zmiana dotyczy ekonomii ataku. Tradycyjny phishing opierał się na skali: ogromna liczba wiadomości miała zapewnić niewielki, ale wystarczający odsetek kliknięć i przejętych poświadczeń. Obecnie ważniejszy staje się współczynnik konwersji. Oznacza to lepsze dopasowanie treści do kontekstu biznesowego, większą dbałość o język i ton komunikacji oraz wykorzystywanie scenariuszy, które do złudzenia przypominają autentyczne procesy organizacyjne.

Sztuczna inteligencja działa tu jako wzmacniacz jakości. Pozwala szybko tworzyć wiarygodne wiadomości podszywające się pod działy HR, finanse, dostawców SaaS, firmy logistyczne czy partnerów handlowych. Ułatwia również generowanie wielu wersji tej samej kampanii dla różnych języków, regionów i pionów biznesowych, co obniża koszt przygotowania ataku ukierunkowanego.

Drugim kluczowym elementem jest infrastruktura. Coraz więcej kampanii korzysta z legalnych usług chmurowych zamiast z własnego zaplecza, które byłoby łatwiejsze do oznaczenia i zablokowania. Takie podejście daje atakującym większą dostępność usług, niższy koszt operacyjny oraz możliwość ukrycia ruchu wśród legalnego ruchu kierowanego do popularnych dostawców. Współdzielona infrastruktura dodatkowo osłabia skuteczność prostych blokad opartych wyłącznie na adresach IP lub reputacji hosta.

W analizach telemetrycznych widoczna jest również większa nierównowaga między branżami i regionami. Cyberprzestępcy alokują zasoby tam, gdzie widzą lepszy zwrot z inwestycji — szczególnie w środowiskach, w których ochrona tożsamości, poczty lub procesów autoryzacyjnych jest słabsza.

Konsekwencje / ryzyko

Spadek liczby kampanii może tworzyć fałszywe poczucie bezpieczeństwa. Dla zespołów SOC i działów cyberbezpieczeństwa coraz większym problemem nie jest już zalew prostych wiadomości, lecz pojedyncze, dopracowane kampanie, które skuteczniej omijają klasyczne filtry, listy reputacyjne i rutynowe szkolenia użytkowników.

Ryzyko jest szczególnie wysokie w kilku obszarach. Kradzież poświadczeń do usług chmurowych i platform SaaS może prowadzić do przejęcia kont uprzywilejowanych, eskalacji uprawnień i dalszych ataków typu business email compromise. Phishing coraz częściej stanowi także pierwszy etap bardziej złożonych incydentów, w tym ransomware, oszustw finansowych oraz przejęć aktywnych sesji uwierzytelnionych.

Dodatkowym problemem jest nadużywanie legalnej chmury. Organizacje nie mogą łatwo wdrażać agresywnych polityk blokowania bez ryzyka zakłócenia ruchu biznesowego, co zwiększa przewagę operacyjną napastników. W efekcie klasyczne metryki oparte wyłącznie na wolumenie wiadomości przestają być wystarczające do oceny rzeczywistego poziomu zagrożenia.

Rekomendacje

Organizacje powinny traktować phishing przede wszystkim jako problem związany z tożsamością, a nie wyłącznie z pocztą elektroniczną. Kluczowe znaczenie ma wdrożenie odpornego na phishing MFA, kontrola urządzeń, polityki warunkowego dostępu oraz ograniczanie ryzyka przejęcia sesji poprzez skracanie czasu życia tokenów i monitorowanie anomalii po uwierzytelnieniu.

W warstwie detekcji warto odchodzić od prostych reguł opartych na reputacji IP i domen. Coraz większą skuteczność zapewniają mechanizmy analizujące zachowanie użytkownika, nietypowe logowania, geolokalizację, fingerprint urządzenia, świeżo rejestrowane domeny oraz anomalie w przepływach OAuth.

Egzekwowanie DMARC, SPF i DKIM dla własnych domen.
Separacja kont uprzywilejowanych od codziennej pracy użytkowników.
Sandboxing oraz analiza dynamiczna załączników i stron docelowych.
Monitoring aplikacji SaaS oraz zgód nadawanych aplikacjom zewnętrznym.
Cykliczne ćwiczenia phishingowe oparte na realistycznych scenariuszach biznesowych.
Przygotowanie playbooków reagowania dla BEC, kradzieży poświadczeń i przejęcia sesji.
Usprawnienie procesu zgłaszania podejrzanych wiadomości przez użytkowników końcowych.

W nowoczesnym krajobrazie zagrożeń pojedyncze zgłoszenie od pracownika może mieć większą wartość niż analiza dużego wolumenu spamu, ponieważ kampanie są krótsze, bardziej precyzyjne i wymierzone w ograniczoną grupę osób.

Podsumowanie

Obecny rozwój phishingu pokazuje wyraźne odejście od modelu masowego na rzecz modelu precyzyjnego. Mniejsza liczba kampanii nie oznacza niższego ryzyka. Wręcz przeciwnie — lepsza jakość przynęt, wykorzystanie AI i nadużywanie legalnej infrastruktury chmurowej sprawiają, że ataki stają się trudniejsze do wykrycia i potencjalnie bardziej kosztowne dla ofiar.

Dla zespołów bezpieczeństwa kluczowe staje się dziś nie pytanie o to, ile phishingu dociera do organizacji, lecz jak skutecznie identyfikować te kampanie, które są najbardziej dopracowane i mają najwyższy potencjał powodzenia.

Źródła

Dark Reading, https://www.darkreading.com/cybersecurity-analytics/phishing-volume-down-20-risk-rising
Zscaler ThreatLabz 2026 Phishing Report, https://www.zscaler.com/resources/industry-reports/2026-phishing-report
FBI Internet Crime Report, https://www.fbi.gov