Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Krajobraz zagrożeń e-mailowych w 2026 roku wyraźnie przesuwa się w stronę kampanii opartych na linkach, zdalnie hostowanych stronach phishingowych oraz technikach utrudniających klasyczną analizę treści wiadomości. Szczególnie istotnym zjawiskiem stał się phishing wykorzystujący kody QR, który coraz częściej zastępuje tradycyjne załączniki ze złośliwym oprogramowaniem.
Atakujący chętnie sięgają po obrazy, dokumenty PDF, fałszywe testy CAPTCHA i narzędzia phishing-as-a-service, aby zwiększyć skuteczność kradzieży poświadczeń. Taki model działania pozwala im omijać część zabezpieczeń skoncentrowanych na analizie załączników i sygnaturach malware.
W skrócie
- W pierwszym kwartale 2026 roku liczba incydentów phishingowych z użyciem kodów QR wzrosła z 7,6 mln w styczniu do 18,7 mln w marcu.
- Dominującym formatem kampanii stał się phishing link-based, podczas gdy klasyczne dostarczanie malware przez załączniki spadło do niewielkiego udziału.
- Rosła skala kampanii wykorzystujących fałszywe strony CAPTCHA do zwiększania wiarygodności i omijania automatycznej detekcji.
- Osłabienie pojedynczych platform phishing-as-a-service nie zatrzymało trendu, lecz przyspieszyło rozproszenie infrastruktury między różnymi operatorami.
Kontekst / historia
Phishing e-mailowy od lat opierał się na dwóch głównych modelach: dostarczeniu złośliwego pliku albo przekierowaniu użytkownika do zewnętrznej infrastruktury kontrolowanej przez atakujących. W ostatnich kwartałach wyraźnie dominuje drugi wariant, ponieważ daje większą elastyczność, pozwala szybko modyfikować treść kampanii i utrudnia wykrycie na etapie dostarczenia wiadomości.
Dużą rolę odgrywa tu rozwój usług phishing-as-a-service, które obniżają próg wejścia dla mniej zaawansowanych przestępców. Platformy tego typu wspierają kampanie nastawione na przechwytywanie poświadczeń, sesji i tokenów uwierzytelniających, w tym także ataki typu adversary-in-the-middle ukierunkowane na obejście wybranych form MFA.
Jednocześnie działania wymierzone w konkretne platformy przestępcze nie eliminują samej techniki. Rynek phishingu stał się bardziej zdecentralizowany, a operatorzy łatwo przenoszą kampanie do nowych domen, nowych dostawców hostingu i alternatywnych zestawów narzędzi.
Analiza techniczna
Najsilniejszym trendem technicznym jest gwałtowny wzrost phishingu z użyciem kodów QR. Z punktu widzenia obrony to problem, ponieważ adres URL nie występuje w treści wiadomości wprost, lecz zostaje osadzony w formie graficznej. Ogranicza to skuteczność części tradycyjnych mechanizmów analizy treści, które bazują na widocznym tekście i reputacji linków.
Dodatkowym utrudnieniem jest to, że użytkownik po zeskanowaniu kodu często przechodzi na urządzenie mobilne. Takie urządzenie bywa słabiej monitorowane niż zarządzana stacja robocza, co utrudnia korelację zdarzeń, analizę incydentu oraz egzekwowanie polityk ochronnych.
W badanym okresie głównym nośnikiem kodów QR pozostawały pliki PDF. Ich udział wzrósł z 65% wszystkich ataków QR w styczniu do 70% w marcu. Wzrost dotyczył również dokumentów DOC i DOCX zawierających kody QR, choć ich udział procentowy w całej puli był mniejszy. Coraz częściej pojawiały się także kody QR osadzane bezpośrednio w treści wiadomości, bez użycia załącznika.
Drugim istotnym trendem były kampanie wykorzystujące fałszywe CAPTCHA. Taki mechanizm jednocześnie spowalnia systemy analizy automatycznej, zwiększa zaangażowanie ofiary i buduje pozory legalności. Po wykonaniu rzekomej weryfikacji użytkownik trafia zwykle do fałszywego panelu logowania, gdzie następuje przejęcie danych dostępowych.
W marcu 2026 roku liczba kampanii phishingowych chronionych CAPTCHA osiągnęła 11,9 mln, co było najwyższym poziomem w skali roku. Atakujący dynamicznie rotowali także formaty dostarczania, wykorzystując naprzemiennie HTML, SVG, PDF, DOC, DOCX oraz osadzone adresy URL, aby testować skuteczność wobec filtrów pocztowych i sandboxów.
Na poziomie operacyjnym przestępcy coraz wyraźniej koncentrują się na kradzieży poświadczeń. Pod koniec kwartału klasyczne kampanie malware stanowiły jedynie około 5–6% obserwowanych przypadków. Dla wielu grup znacznie bardziej opłacalne okazuje się przejęcie kont, sesji i dostępu do usług SaaS niż bezpośrednia infekcja stacji końcowej.
Konsekwencje / ryzyko
Dla organizacji oznacza to przesunięcie ryzyka z warstwy plików na warstwę tożsamości, sesji i dostępu do aplikacji chmurowych. Skuteczny phishing z kodem QR może ominąć część zabezpieczeń poczty, a następnie przenieść ofiarę na niezarządzane urządzenie mobilne, gdzie kontrola bezpieczeństwa jest ograniczona.
Fałszywe CAPTCHA zwiększają skuteczność socjotechniki, ponieważ użytkownik widzi element przypominający standardową procedurę bezpieczeństwa. W praktyce podnosi to prawdopodobieństwo ujawnienia hasła, tokenu sesyjnego albo wykonania kolejnych działań wymaganych przez atakującego.
Niepokojącym zjawiskiem jest również odporność ekosystemu phishingowego na zakłócenia. Nawet jeśli jedna platforma phishing-as-a-service zostaje osłabiona, kampanie szybko odradzają się w innej infrastrukturze. Dla zespołów SOC oznacza to konieczność monitorowania nie pojedynczych nazw narzędzi, lecz całych wzorców taktyk, technik i procedur.
Rekomendacje
Organizacje powinny rozszerzyć ochronę poczty o analizę obrazów i dokumentów pod kątem kodów QR oraz dekodowanie ukrytych adresów URL. Samo filtrowanie tekstu wiadomości nie jest już wystarczające, zwłaszcza w przypadku kampanii opartych na PDF-ach i osadzonych grafikach.
Kluczowe znaczenie ma wdrożenie phishing-resistant MFA, najlepiej opartego na metodach odpornych na przechwycenie sesji i ataki typu adversary-in-the-middle. Tradycyjne mechanizmy uwierzytelniania wieloskładnikowego, szczególnie bazujące na kodach jednorazowych, mogą być niewystarczające wobec nowoczesnych zestawów phishingowych.
- monitorować logowania z urządzeń mobilnych i nietypowych agentów użytkownika po interakcji z pocztą,
- wykrywać przejścia z wiadomości e-mail do stron pośrednich z fałszywą CAPTCHA,
- analizować lokalnie otwierane pliki HTML, SVG, PDF oraz dokumenty Office pod kątem przekierowań do zewnętrznych stron logowania,
- wzmacniać ochronę kont uprzywilejowanych i usług SaaS za pomocą conditional access oraz analizy ryzyka sesji,
- prowadzić szkolenia uwzględniające scenariusze z kodami QR, mobilnym phishingiem i fałszywą weryfikacją CAPTCHA.
Warto także zaktualizować playbooki reagowania na incydenty. W przypadku podejrzenia phishingu sama zmiana hasła może nie wystarczyć. Niezbędne może być unieważnienie aktywnych sesji, przegląd tokenów dostępu, kontrola reguł skrzynki pocztowej oraz analiza późniejszej aktywności w środowisku chmurowym.
Podsumowanie
Pierwszy kwartał 2026 roku potwierdził, że phishing e-mailowy staje się bardziej wizualny, bardziej mobilny i silniej ukierunkowany na przejęcie tożsamości niż na klasyczne infekowanie systemów. Kody QR, fałszywe CAPTCHA i rozproszona infrastruktura phishing-as-a-service tworzą model ataku, który skutecznie omija część tradycyjnych zabezpieczeń poczty.
Dla obrońców oznacza to konieczność przesunięcia priorytetów z samej analizy załączników na pełniejszą ochronę tożsamości, sesji, urządzeń mobilnych i ścieżek dostępu do usług chmurowych. To właśnie tam koncentruje się dziś realne ryzyko operacyjne i biznesowe.