Narzędzia AI są wykorzystywane do phishingu na dużą skalę. Z najnowszego raportu Cisco Talos za Q1 2026 wynika, że phishing wspierany przez AI znów zyskuje na znaczeniu. Cyberprzestępcy rzadziej wykorzystują złożone podatności techniczne, a częściej sięgają po ataki wymierzone w użytkowników, które dzięki AI są łatwiejsze do przygotowania i skalowania.
– Obserwujemy fundamentalną zmianę w taktykach atakujących – odchodzą oni od złożonych exploitów typu zero-day i wracają do sprawdzonych, skalowalnych ataków ukierunkowanych na ludzi. Jeśli atakujący może w kilka minut stworzyć wiarygodną stronę do wyłudzania danych logowania przy użyciu platformy opartej na AI i kilku poleceń, wchodzimy w nową erę, w której tempo i skala ataków socjotechnicznych przewyższą wiele tradycyjnych mechanizmów obrony. Ma to bezpośrednie konsekwencje dla bezpieczeństwa przedsiębiorstw oraz szerszej debaty o roli AI w działaniach ofensywnych – mówi Marcin Klimowski, Cybersecurity Sales Specialist w Cisco Polska.
Pośród analizowanych incydentów znalazł się ten, w którym cyberprzestępcy wykorzystali platformę Softr (narzędzie do tworzenia aplikacji webowych oparte na AI). Przy jego pomocy wygenerowali stronę phishingową ukierunkowaną na pracowników administracji publicznej, podszywającą się pod Microsoft Exchange i Outlook Web Access.
Strona została stworzona przy użyciu prostych promptów, bez pisania kodu, co znacząco ułatwiło działanie mniej doświadczonym cyberprzestępcom. Wykradzione dane trafiały do zewnętrznych, tymczasowych repozytoriów, takich jak Google Sheets, z automatycznymi powiadomieniami o nowych przechwyconych danych, również bez potrzeby programowania.
Powrót phishingu jako głównego wektora ataku
Ponowne wykorzystywanie phishingu do cyberataków to wyraźna zmiana w świecie cyberzagrożeń. Po masowym wykorzystywaniu luk w SharePoint (ToolShell) w 2025 roku, udział tego typu ataków spadł z 62 do zaledwie 18 proc. w pierwszym kwartale 2026 roku.
Phishing ostatni raz na pierwszym miejscu cyberzagrożeń obecny był w drugim kwartale 2025 r. Teraz ponownie zyskał dominującą pozycję. Wykorzystanie prawidłowych danych logowania zajęło drugie miejsce – 24 proc.
– Spadek wykorzystania ToolShell pokazuje, że szybkie łatanie podatności działa, ale atakujący nie rezygnują, po prostu zmieniają podejście. Zamiast wykorzystywać niezałatane systemy, skupiają się na ludziach. Dane z tego kwartału przypominają, że zabezpieczenia techniczne i te ukierunkowane na użytkowników muszą rozwijać się równolegle – komentuje sytuację Marcin Klimowski.
Incydenty typu pre-ransomware stanowiły jedynie 18 proc. przypadków. To znaczący spadek w porównaniu z poprzednim rokiem, gdy było to 50 proc.
Talos podkreśla jednak, że duże operacje ransomware-as-a-service, takie jak Qilin czy Akira, nadal pozostają aktywne, a ich serwisy publikujące wykradzione dane są regularnie aktualizowane. W jednym z incydentów grupa Rhysida wykorzystała nietypowy backdoor (MeowBackConn) oraz błędy w konfiguracji, takie jak otwarte porty zarządzania i nadmierne uprawnienia kont, co pokazuje, że słabo zabezpieczona infrastruktura nadal stanowi poważne ryzyko.
Coraz częstsze wykorzystywanie słabości uwierzytelniania wieloskładnikowego
Często przy dbaniu o cyfrowe bezpieczeństwo mówi się o uwierzytelnianiu wieloskładnikowym.
Niestety 35 proc. incydentów dotyczy wykorzystania słabości uwierzytelniania wieloskładnikowego (MFA). Atakujący omijali MFA poprzez m.in.:
– rejestrowanie nowych urządzeń na wcześniej przejętych kontach;
– skonfigurowanie klienta Outlook tak, aby łączył się bezpośrednio z serwerem Exchange, całkowicie omijając MFA.
Dlatego samo wdrożenie MFA nie wystarcza. Organizacje powinny ograniczyć możliwość samodzielnej rejestracji urządzeń oraz wdrożyć scentralizowane i rygorystyczne polityki uwierzytelniania.
Administracja publiczna i ochrona zdrowia na celowniku
Administracja publiczna oraz ochrona zdrowia to najczęściej atakowane sektory. Każdy z nich odpowiadał za 24 proc. incydentów. To już trzeci kwartał z rzędu, w którym administracja publiczna znajduje się na pierwszym miejscu.
Organizacje te pozostają atrakcyjnymi celami ze względu na ograniczone budżety, starszą infrastrukturę, dostęp do wrażliwych danych oraz niską tolerancję na przestoje.
– Organizacje powinny inwestować w MFA odporne na phishing, ograniczać możliwość samodzielnej rejestracji urządzeń oraz traktować dane uwierzytelniające deweloperów i tokeny chmurowe z taką samą ostrożnością jak konta uprzywilejowane. Połączenie phishingu wspieranego przez AI i technik omijania MFA oznacza, że pojedyncze zabezpieczenie nie wystarczy. Konieczna jest wielowarstwowa, proaktywna strategia obrony – podsumowuje Cybersecurity Sales Specialist w Cisco Polska.
Czytaj także:
