Spadek wolumenu phishingu o 20% nie oznacza mniejszego zagrożenia dla firm

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Phishing pozostaje jednym z najgroźniejszych i najczęściej wykorzystywanych wektorów początkowego dostępu w cyberatakach. Choć globalny wolumen kampanii phishingowych spada, nie oznacza to automatycznie poprawy bezpieczeństwa. Przestępcy coraz częściej rezygnują z masowych, niskiej jakości kampanii na rzecz bardziej precyzyjnych operacji, które są trudniejsze do wykrycia i skuteczniejsze w przełamywaniu zabezpieczeń.

W praktyce oznacza to zmianę modelu działania: mniej wiadomości, ale lepiej przygotowanych, bardziej wiarygodnych i częściej wymierzonych w konkretne osoby, działy lub procesy biznesowe.

W skrócie

W 2025 roku globalny wolumen phishingu spadł drugi rok z rzędu, o około 20%.
Spadek liczby kampanii nie przełożył się na spadek ryzyka dla organizacji.
Atakujący inwestują w phishing ukierunkowany, generatywną AI i legalną infrastrukturę chmurową.
Coraz częściej celem nie jest samo hasło, lecz przejęcie sesji, tokenów i obejście MFA.
Rosnące wykorzystanie szyfrowania TLS utrudnia wykrywanie zagrożeń przez starsze systemy ochronne.

Kontekst / historia

Przez wiele lat phishing bazował głównie na modelu „spray-and-pray”, czyli masowym rozsyłaniu prostych wiadomości do jak najszerszej grupy odbiorców. Tego typu kampanie były tanie, łatwe do skalowania i wystarczająco skuteczne, by generować stałe zyski dla cyberprzestępców.

Obecnie rynek zagrożeń przeszedł jednak istotną zmianę ekonomiki ataku. Zamiast zwiększać liczbę wiadomości, grupy przestępcze koncentrują się na podnoszeniu skuteczności pojedynczych kampanii. To podejście jest zbieżne z trendami obserwowanymi także w oszustwach BEC oraz operacjach ransomware, gdzie liczy się rozpoznanie ofiary, precyzja i wysoki zwrot z pojedynczego incydentu.

Zmiana ta jest szczególnie widoczna w branżach opartych na zaufaniu, obsłudze klienta, fakturowaniu, odnowieniach usług i współpracy z partnerami zewnętrznymi. To właśnie tam dobrze przygotowana wiadomość phishingowa może najłatwiej wtopić się w codzienny ruch biznesowy.

Analiza techniczna

Najważniejsza zmiana techniczna polega na przejściu z modelu ilościowego na jakościowy. Atakujący wykorzystują generatywną AI do tworzenia wiadomości poprawnych językowo, spójnych stylistycznie i dopasowanych do kontekstu ofiary. Dzięki temu znikają dawne sygnały ostrzegawcze, takie jak oczywiste błędy gramatyczne, sztuczna składnia czy nielogiczna treść.

Nowoczesne kampanie phishingowe korzystają również z gotowych zestawów narzędzi, które ułatwiają budowę fałszywych stron logowania, kopiowanie identyfikacji wizualnej znanych marek i automatyzację działań po stronie atakującego. Coraz częściej nie chodzi już wyłącznie o kradzież hasła. Celem bywa przechwycenie aktywnej sesji użytkownika, tokenów uwierzytelniających lub obejście mechanizmów MFA w czasie rzeczywistym.

Szczególnie niebezpieczne jest to dla środowisk SaaS, firmowej poczty elektronicznej, platform współpracy i paneli administracyjnych. Jedno skuteczne przejęcie tożsamości może otworzyć drogę do dalszej eskalacji uprawnień, kradzieży danych lub nadużyć finansowych.

Kolejnym istotnym trendem jest dominacja ruchu szyfrowanego. Zdecydowana większość współczesnych kampanii phishingowych działa z wykorzystaniem TLS, co ogranicza skuteczność systemów bezpieczeństwa, które nie analizują zawartości ruchu HTTPS. Bez odpowiedniej widoczności wiele złośliwych elementów może pozostać niewidocznych dla klasycznych bram bezpieczeństwa.

Zmienia się także sama infrastruktura ataków. Cyberprzestępcy coraz częściej hostują strony, pliki i elementy kampanii w legalnych środowiskach chmurowych. Takie podejście zwiększa dostępność infrastruktury, obniża koszty uruchomienia i utrudnia obronę, ponieważ blokowanie całych zakresów adresowych dużych dostawców chmury może powodować zakłócenia w legalnym ruchu biznesowym.

Konsekwencje / ryzyko

Dla organizacji kluczowy wniosek jest prosty: mniejsza liczba kampanii phishingowych nie oznacza niższego poziomu zagrożenia. Wręcz przeciwnie, lepiej przygotowane ataki mogą prowadzić do skuteczniejszego kompromitowania kont, przejmowania sesji i oszustw finansowych.

Najbardziej narażone są firmy intensywnie korzystające z usług chmurowych, zdalnego dostępu oraz federacji tożsamości. Udany phishing może skutkować przejęciem skrzynki pocztowej, wyciekiem danych, manipulacją procesami zakupowymi, oszustwami płatniczymi, a nawet zapewnieniem operatorom ransomware początkowego dostępu do środowiska organizacji.

Wysoka liczba zgłoszeń i rosnące straty finansowe związane z phishingiem pokazują, że biznesowy wpływ tego typu incydentów pozostaje bardzo poważny. Statystyki ilościowe nie powinny więc usypiać czujności zespołów bezpieczeństwa.

Rekomendacje

Organizacje powinny dostosować swoje strategie obrony do nowej generacji phishingu ukierunkowanego. Ochrona oparta wyłącznie na filtracji reputacyjnej i prostych wskaźnikach nie jest już wystarczająca.

Wdrożyć inspekcję ruchu szyfrowanego tam, gdzie jest to zgodne z wymaganiami prawnymi i operacyjnymi.
Stosować model wielowarstwowy łączący analizę URL, treści, zachowania użytkownika, kontekstu sesji i ryzyka tożsamości.
Wzmacniać bezpieczeństwo tożsamości poprzez phishing-resistant MFA, monitorowanie anomalii logowania i ochronę sesji.
Ograniczać uprawnienia zgodnie z zasadą najmniejszych uprawnień oraz kontrolować tokeny dostępu.
Aktualizować szkolenia użytkowników, aby obejmowały nowoczesne, wiarygodnie wyglądające przynęty związane z płatnościami, dokumentami współdzielonymi i alertami bezpieczeństwa.
Rozwijać w SOC detekcję opartą na korelacji zdarzeń pocztowych i tożsamościowych, takich jak nietypowe logowania, nowe reguły pocztowe czy masowe pobrania danych z usług SaaS.

Podsumowanie

Phishing nie traci znaczenia — zmienia jedynie swoją formę. Spadek wolumenu kampanii należy interpretować jako przejście do bardziej opłacalnych, precyzyjnych i trudniejszych do wykrycia ataków, a nie jako osłabienie zagrożenia.

Generatywna AI, przejmowanie sesji, szyfrowany ruch i nadużywanie legalnej infrastruktury chmurowej zwiększają skuteczność działań przestępców. Dla firm oznacza to konieczność odejścia od prostych wskaźników ilościowych na rzecz poprawy widoczności, bezpieczeństwa tożsamości i szybkiego wykrywania nadużyć po stronie użytkownika oraz sesji.

Źródła

https://www.darkreading.com/cybersecurity-analytics/phishing-volume-down-20-risk-rising
https://ir.zscaler.com/news-releases/news-release-details/zscaler-research-finds-cybercrime-economics-are-shifting-ai
https://www.fbi.gov/news/press-releases/fbi-releases-annual-internet-crime-report
https://www.fbi.gov/news/press-releases/cryptocurrency-and-ai-scams-bilk-americans-of-billions
https://www.fbi.gov/file-repository/2025_ic3report.pdf