Kierownik IT w urzędzie miasta dzwoni do mnie w poniedziałek rano. Jeden z pracowników działu finansowego dostał komunikat o konieczności weryfikacji przeglądarki. Wyglądało to jak standardowe okno CAPTCHA — „Potwierdź, że nie jesteś robotem”. Pracownik wykonał wszystkie kroki z instrukcji na ekranie: otworzył okno „Uruchom”, wkleił polecenie, nacisnął Enter. W ciągu kilkunastu sekund na jego stacji roboczej zaczął działać trojan zdalnego dostępu. Żaden alert się nie pojawił. Żadne powiadomienie. System bezpieczeństwa nie zareagował — bo z jego perspektywy to uprawniony użytkownik świadomie uruchomił polecenie systemowe.
Ta historia powtarza się coraz częściej. Technika ClickFix — bo tak nazywa się ten mechanizm — to nie kolejny wariant phishingu, który rozwiążemy lepszym filtrem e-mail. To fundamentalna zmiana w sposobie, w jaki atakujący docierają do naszych organizacji. ESET w raporcie Threat Report H1 2025 odnotował wzrost wykryć ClickFix o 517% w ciągu sześciu miesięcy. Proofpoint w Human Factor Report z sierpnia 2025 potwierdził 400% wzrost rok do roku. Ten artykuł wyjaśnia, dlaczego ClickFix powinien znaleźć się na agendzie każdego zarządu, ile może kosztować organizację skuteczny atak i jakie konkretne kroki podjąć — nawet przy ograniczonym budżecie.
Czym jest ClickFix i dlaczego tradycyjne zabezpieczenia go nie widzą?
ClickFix to technika socjotechniczna, w której atakujący nakłaniają ofiarę do samodzielnego uruchomienia złośliwego polecenia na własnym komputerze. Nazwa pochodzi od scenariusza przynęty — użytkownik widzi komunikat sugerujący, że musi „naprawić” (fix) coś kliknięciem (click). W praktyce ofiara kopiuje polecenie do schowka systemowego i wkleja je w okno „Uruchom” systemu Windows. Z perspektywy systemu operacyjnego i wszystkich narzędzi bezpieczeństwa wygląda to identycznie jak świadoma akcja uprawnionego użytkownika.
W rozmowach z klientami często tłumaczę to prostą analogią. Wyobraź sobie, że Twoja firma ma najlepszy system alarmowy w budynku. Czujniki ruchu, kamery, zamki biometryczne. A teraz wyobraź sobie, że ktoś przekonał Twojego pracownika, żeby sam otworzył drzwi i zaprosił intruza do środka. Alarm nie zadziała — bo to uprawniona osoba otworzyła drzwi w normalny sposób. Dokładnie tak działa ClickFix w świecie cyfrowym.
Technika pojawiła się na początku 2024 roku, ale prawdziwa eksplozja nastąpiła w 2025. Według danych ESET z raportu Threat Report H1 2025 opublikowanego w czerwcu 2025, ClickFix odpowiada dziś za 8% wszystkich zablokowanych ataków — to drugi najpopularniejszy wektor ataku na świecie, zaraz po klasycznym phishingu. W sierpniu 2025 badacze bezpieczeństwa zidentyfikowali 13 695 unikalnych domen zarejestrowanych w jednej skoordynowanej kampanii ClickFix — to pokazuje skalę przemysłową, z jaką operują grupy przestępcze.
Co jeszcze bardziej niepokojące — ClickFix przestał być narzędziem wyłącznie cyberprzestępczym. Proofpoint udokumentował, że w ciągu 90 dni (październik 2024 — luty 2025) technikę zaadoptowały grupy powiązane z trzema państwami: rosyjska APT28, północnokoreańska Kimsuky i irański MuddyWater. Kiedy grupy wywiadowcze — dysponujące własnymi, zaawansowanymi narzędziami — sięgają po ClickFix, to jednoznaczny sygnał, jak skuteczna jest ta technika.
📚 Przeczytaj kompletny przewodnik: SOC: Security Operations Center - czym jest, jak działa, jak wybrać
Dlaczego klasyczne szkolenia antyphishingowe nie wystarczą na ClickFix?
Pytanie, które dostaję najczęściej od klientów: „Przecież robimy szkolenia z phishingu — czy to nas nie chroni?”. Odpowiedź jest trudna, ale muszę ją dawać uczciwie — nie, klasyczne szkolenia antyphishingowe nie chronią przed ClickFix. I nie dlatego, że są źle przeprowadzone. Dlatego, że adresują inny problem.
Tradycyjne szkolenia uczą pracowników trzech rzeczy: nie klikaj podejrzanych linków, nie otwieraj nieznanych załączników, sprawdzaj adres nadawcy. Te zasady są słuszne i nadal ważne. Ale w ataku ClickFix nie ma linku do kliknięcia. Nie ma załącznika do otwarcia. Użytkownik widzi komunikat systemowy — wyglądający jak CAPTCHA, aktualizacja przeglądarki lub weryfikacja zabezpieczeń — i sam wykonuje akcję, która uruchamia atak. Trzy podstawowe zasady, których go nauczono, po prostu nie mają zastosowania.
Badania akademickie z 2025 roku potwierdzają ten problem na szerszym poziomie. Zespół z University of Chicago i UC San Diego opublikował na konferencji Oakland 2025 analizę wykazującą, że coroczne szkolenia z cyberbezpieczeństwa nie wykazują istotnego statystycznie związku z redukcją podatności pracowników na phishing. Równoległy projekt badawczy na próbie 12 511 pracowników amerykańskiej firmy fintech doszedł do podobnego wniosku — interwencje szkoleniowe miały „pomijalne efekty” na wskaźniki kliknięć. Verizon w DBIR 2025 odnotował, że wskaźnik kliknięć w symulowanych atakach phishingowych od lat utknął na poziomie około 1,5% — to „behawioralny sufit”, poniżej którego standardowe szkolenia nie są w stanie zejść.
To nie znaczy, że szkolenia są bezwartościowe. Oznacza to, że potrzebują fundamentalnej aktualizacji. Zamiast uczyć wyłącznie „nie klikaj linków”, muszą zawierać nowy moduł: „żadna legalna strona internetowa nigdy nie poprosi Cię o otwarcie okna Uruchom i wklejenie polecenia”. Ta jedna zasada — zakodowana w świadomości każdego pracownika — eliminuje skuteczność przynęty ClickFix. Ale wymaga to zmiany podejścia dostawców szkoleń i wewnętrznych programów awareness, co w wielu organizacjach jeszcze nie nastąpiło.
Co słyszę od klientów, gdy rozmawiamy o ClickFix?
W mojej pracy Key Account Managera w nFlo rozmawiam z kierownikami IT, dyrektorami i osobami odpowiedzialnymi za bezpieczeństwo w kilkudziesięciu organizacjach. Reakcje na temat ClickFix układają się w kilka powtarzalnych wzorców — i każdy z nich mówi coś ważnego o stanie przygotowania polskich organizacji.
Pierwsza reakcja: „Nie wiedziałem, że coś takiego istnieje”. To najczęstsza odpowiedź w sektorze publicznym i wśród średnich firm. Kierownicy IT śledzą alerty o podatnościach, aktualizują systemy, dbają o firewalle — ale ClickFix nie pojawia się w typowych biuletynach bezpieczeństwa jako „podatność do załatania”. To atak na człowieka, nie na system. I wielu profesjonalistów IT po prostu jeszcze o nim nie słyszało w kontekście bezpośredniego zagrożenia dla swojej organizacji.
Druga reakcja: „Ale my mamy dobrego antywirusa”. To zrozumiałe przekonanie — organizacja zainwestowała w EDR, SIEM, filtry e-mail. Problem w tym, że ClickFix celowo omija każdą z tych warstw osobno. Użytkownik sam uruchamia polecenie, więc EDR widzi legalną akcję. Przynęta często nie przychodzi e-mailem, więc filtr e-mail jej nie widzi. Polecenie korzysta z natywnych narzędzi Windows (nslookup, PowerShell), więc nie ma pliku wykonywalnego do zeskanowania. Wyjaśnienie tego klientowi — bez straszenia, ale z konkretnymi faktami — to jedna z najważniejszych rozmów, jakie prowadzę.
Trzecia reakcja: „Ile to będzie kosztować?”. I tu dochodzimy do sedna. Bo pytanie nie brzmi „ile kosztuje ochrona”, tylko „ile kosztuje brak ochrony”. Klient z 50 pracownikami myśli, że nie jest celem. A dane mówią co innego — według KnowBe4 Phishing by Industry Benchmark Report 2025, 33,1% nieprzeszkolonych pracowników kliknie w symulowany atak phishingowy. W organizacji z 50 osobami to statystycznie 16–17 osób, które mogą uruchomić złośliwe polecenie.
Czwarta reakcja — najtrudniejsza: „U nas to się nie zdarzy”. To klasyczne przekonanie, które słyszę zwłaszcza w instytucjach publicznych. Odpowiadam zawsze tak samo: grupy państwowe APT28 i Kimsuky zaadoptowały ClickFix do ataków na administrację publiczną i think-tanki. Jeśli rosyjski wywiad wojskowy uznał tę technikę za wystarczająco skuteczną, to organizacja w Polsce — gdzie sektor publiczny jest jednym z głównych celów — nie może zakładać, że jest bezpieczna.
Ile naprawdę kosztuje organizację skuteczny atak socjotechniczny?
Wiele firm myśli o kosztach cyberataków w kategoriach abstrakcyjnych — „to problem dużych korporacji” albo „nas to nie dotyczy”. Ale dane z 2025 roku są bezwzględne i dotyczą organizacji każdej wielkości.
Zacznijmy od konkretnego przypadku. W kwietniu 2025 roku amerykańska firma DaVita — dostawca usług medycznych — padła ofiarą ataku ransomware grupy Interlock, który rozpoczął się od techniki ClickFix. Wynik: 2,7 miliona rekordów pacjentów wykradzionych, 13,5 miliona dolarów bezpośrednich kosztów w jednym kwartale. W maju 2025 roku sieć szpitali Kettering Health straciła 941 GB danych — 732 490 plików zawierających dane pacjentów, dokumenty finansowe, numery identyfikacyjne. Koszty nie zostały publicznie ujawnione, ale żądania okupu grupy Interlock sięgają od setek tysięcy do milionów dolarów za incydent.
IBM w raporcie Cost of Data Breach 2025 podaje, że średni globalny koszt naruszenia danych wynosi 4,44 miliona dolarów. W Stanach Zjednoczonych — 10,22 miliona dolarów, co jest historycznym rekordem. Naruszenia zainicjowane przez phishing — a ClickFix jest ewolucją phishingu — kosztują średnio 4,8 miliona dolarów. Raport Unit 42 Global Incident Response Report 2025 precyzuje, że 86% zbadanych cyberataków spowodowało bezpośredni wpływ na działalność biznesową.
Dla średnich firm w Polsce kwoty mogą być niższe w wartościach bezwzględnych, ale proporcjonalnie równie destrukcyjne. Średni koszt naruszenia danych w firmie z sektora MŚP mieści się w przedziale 120 000 — 1 240 000 dolarów. Dla firmy z rocznym przychodem 10 milionów złotych to może oznaczać od kilku do kilkudziesięciu procent rocznego obrotu. Dodajmy do tego koszty pośrednie: utratę zaufania klientów, kary regulacyjne (o czym za chwilę w kontekście NIS2), przestoje operacyjne, koszty prawne, reputacyjne.
Fiszka: Koszty ataku ClickFix w liczbach — DaVita, kwiecień 2025: 13,5 mln USD bezpośrednich kosztów po ataku Interlock/ClickFix — IBM 2025: średni koszt naruszenia danych zainicjowanego phishingiem = 4,8 mln USD — Unit 42 2025: 86% ataków powoduje bezpośredni wpływ na biznes — MŚP: średni koszt naruszenia = 120 000 – 1 240 000 USD — Mediana czasu od otrzymania phishingu do kliknięcia: poniżej 60 sekund (Verizon DBIR 2025)
Jak ClickFix wpływa na sektor publiczny i średnie organizacje?
W rozmowach z klientami z sektora publicznego widzę powtarzający się schemat: jeden, dwóch informatyków na cały urząd. Ograniczony budżet, setki pracowników, przestarzałe systemy, brak dedykowanego stanowiska ds. bezpieczeństwa. To środowisko, w którym ClickFix jest szczególnie niebezpieczny — i szczególnie skuteczny.
Sektor publiczny stanowi 50% portfolio klientów nFlo, więc te problemy znam z pierwszej ręki. Pracownik urzędu gminy nie jest specjalistą IT. Kiedy widzi komunikat „Twoja przeglądarka wymaga weryfikacji — wykonaj poniższe kroki”, nie ma narzędzi mentalnych ani proceduralnych, żeby rozpoznać zagrożenie. Nie dlatego, że jest nieostrożny — dlatego, że nikt go nie nauczył, że taki scenariusz istnieje. Jego szkolenie z cyberbezpieczeństwa — jeśli w ogóle się odbyło — dotyczyło rozpoznawania podejrzanych e-maili, nie fałszywych komunikatów systemowych wymagających uruchomienia polecenia w oknie „Uruchom”.
W średnich firmach sytuacja jest zbliżona, choć z innymi akcentami. Firma z 50–200 pracownikami zazwyczaj ma dział IT, ale nie ma zespołu SOC. Ma antywirusa, może EDR — ale nie ma nikogo, kto na bieżąco analizuje logi i szuka anomalii behawioralnych. ClickFix w takiej organizacji może działać niezauważony przez dni lub tygodnie — bo nie ma kto sprawdzić, czy użytkownik z działu księgowości naprawdę powinien uruchamiać nslookup o 9:15 rano.
Dodatkowy problem sektora publicznego to procedury zakupowe. Nawet jeśli kierownik IT zidentyfikuje zagrożenie i wie, jakie rozwiązanie jest potrzebne, proces przetargowy może trwać miesiące. W tym czasie organizacja pozostaje narażona. Wiele urzędów funkcjonuje w paradoksie — wymogi regulacyjne (KRI, w przyszłości NIS2) wymagają ochrony, ale procedury zakupowe uniemożliwiają szybką reakcję na nowe zagrożenia.
Raport Unit 42 z 2025 roku potwierdza ten trend: socjotechnika była głównym wektorem wejścia w 36% wszystkich zbadanych incydentów, a jedna trzecia z nich wykorzystywała techniki inne niż klasyczny phishing — w tym fałszywe komunikaty systemowe i manipulację help deskiem. To dokładnie profil ClickFix.
Czy NIS2 i KRI wymagają ochrony przed technikami takimi jak ClickFix?
Pytanie, które słyszę coraz częściej od klientów z sektora publicznego i firm, które zaczynają podlegać nowym regulacjom: „Czy muszę się tym zajmować, bo tak mówi prawo?”. Odpowiedź jest jednoznaczna — tak.
Dyrektywa NIS2 w artykule 20 wprost nakłada na państwa członkowskie obowiązek wymagania od podmiotów kluczowych i ważnych, aby kadra zarządzająca przeszła szkolenia z cyberbezpieczeństwa i aby podobne szkolenia były regularnie oferowane pracownikom. Zakres obejmuje między innymi rozpoznawanie phishingu, socjotechniki, podejrzanych linków i prób CEO fraud. Szkolenia muszą obejmować wszystkie poziomy organizacyjne — od pracowników obsługujących klientów po członków zarządu.
Kary za nieprzestrzeganie NIS2 są znaczące. Dla podmiotów kluczowych — do 10 milionów euro lub 2% globalnego rocznego obrotu (ta kwota, która jest wyższa). Dla podmiotów ważnych — do 7 milionów euro lub 1,4% obrotu. W Polsce dodatkowo — kara do 100 milionów złotych, jeśli naruszenia powodują bezpośrednie i poważne zagrożenie dla bezpieczeństwa narodowego, porządku publicznego lub życia ludzkiego. I — co szczególnie istotne — osobista odpowiedzialność kadry zarządzającej, łącznie z możliwością zakazu pełnienia funkcji kierowniczych.
W kontekście KRI (Krajowe Ramy Interoperacyjności) — rozporządzenie, które już obowiązuje w sektorze publicznym — wymagania dotyczące bezpieczeństwa informacji obejmują zarządzanie ryzykiem, szkolenia pracowników i wdrażanie odpowiednich zabezpieczeń technicznych i organizacyjnych. Atak typu ClickFix, który wykorzystuje brak świadomości pracowników, wprost wpisuje się w kategorię ryzyka, które organizacja powinna zidentyfikować i zaadresować.
Mówię klientom wprost: compliance to nie jest cel sam w sobie, ale jest skutecznym argumentem w rozmowie z zarządem o budżecie. Kiedy kierownik IT przychodzi do burmistrza i mówi „potrzebujemy szkoleń z nowego typu socjotechniki”, odpowiedź może być „nie mamy na to pieniędzy”. Ale kiedy mówi „przepisy wymagają od nas szkoleń z cyberbezpieczeństwa, a brak ich realizacji naraża nas na karę do 10 milionów euro i osobistą odpowiedzialność kierownictwa” — rozmowa przebiega inaczej.
Jaki jest realny zwrot z inwestycji w ochronę przed socjotechniką?
Wielu klientów pyta mnie: „Ile to kosztuje?” zanim zapyta „ile możemy stracić?”. Dlatego zawsze zaczynam od ekonomii — bo decyzje budżetowe w organizacjach podejmuje się na podstawie liczb, nie na podstawie strachu.
Koszt profesjonalnego programu security awareness training na rynku mieści się w przedziale 12–36 dolarów na użytkownika rocznie (stan na marzec 2026), w zależności od platformy i zakresu. Dla organizacji z 200 pracownikami to wydatek rzędu 10 000 — 30 000 złotych rocznie. Porównajmy to z medianą kosztu naruszenia danych — 4,44 miliona dolarów globalnie według IBM, a nawet w wariancie minimalnym dla MŚP — 120 000 dolarów. Jedno skuteczne naruszenie kosztuje więcej niż dekada ciągłych szkoleń.
Dane KnowBe4 z maja 2025 roku pokazują, że dobrze prowadzony program szkoleń redukuje podatność pracowników na phishing o 86% w ciągu 12 miesięcy. Organizacje z kompleksowymi programami awareness redukują koszty związane z naruszeniami średnio o 1,5 miliona dolarów. ROI z inwestycji w szkolenia security awareness wynosi od 3x do 7x — czyli za każdy zainwestowany dolar organizacja chroni od 3 do 7 dolarów wartości.
Ale samo szkolenie to nie wszystko. Szkolenie musi być uzupełnione o testy socjotechniczne — kontrolowane symulacje, które sprawdzają, jak pracownicy reagują na realne scenariusze, w tym ClickFix. Bez testów nie wiesz, czy szkolenie zadziałało. Bez testów nie masz danych do raportowania przed zarządem. Bez testów compliance jest papierowy — a regulator, w razie incydentu, będzie pytał nie tylko „czy szkoliliście?”, ale „czy sprawdzaliście skuteczność szkoleń?”.
W praktyce rekomendowany model to: szkolenia kwartalne (e-learning + moduł o nowych zagrożeniach, w tym ClickFix) plus testy socjotechniczne dwa razy w roku (symulacje phishingowe i scenariusze ClickFix). Koszt takiego programu dla organizacji 100-osobowej to rząd wielkości 20 000 — 50 000 złotych rocznie — ułamek potencjalnych strat.
Fiszka: Ekonomia ochrony przed ClickFix — Koszt szkolenia: 12–36 USD/użytkownika/rok (ok. 50–150 PLN) — ROI: 3x–7x zainwestowanej kwoty — Redukcja podatności: 86% po 12 miesiącach (KnowBe4 2025) — Redukcja kosztów naruszeń: średnio 1,5 mln USD w organizacjach ze szkoleniami — Dla 200-osobowej firmy: 10 000–30 000 PLN/rok vs potencjalna strata 500 000+ PLN z jednego incydentu
Jak rozmawiać z zarządem o zagrożeniu, którego nie widać w logach?
Największe wyzwanie, z którym mierzą się kierownicy IT, to przekonanie zarządu do inwestycji w ochronę przed czymś, co jeszcze się nie wydarzyło. ClickFix dodatkowo komplikuje tę rozmowę — bo to nie jest podatność, którą można pokazać w skanowaniu, ani alert w SIEM-ie, który można zademonstrować na dashboardzie.
W rozmowach z klientami wypracowałem podejście, które działa. Nie zaczynam od straszenia. Nie pokazuję artykułów o „apokaliptycznych zagrożeniach”. Zaczynam od trzech pytań do zarządu:
Pierwsze pytanie: „Gdyby jutro pracownik działu księgowości przypadkiem wpuścił intruza do naszego systemu, jak szybko byśmy się o tym dowiedzieli?”. Mediana czasu od kompromitacji do wykrycia — czyli tzw. dwell time — wynosi 7 dni według Unit 42 (2025). Przez tydzień atakujący może eksplorować sieć, wykradać dane, przygotowywać ransomware.
Drugie pytanie: „Ile kosztowałby nas tydzień przestoju operacyjnego?”. To pytanie zmienia abstrakcyjne zagrożenie w konkretną liczbę. Każda organizacja potrafi policzyć, ile traci dziennie na przestoju systemów.
Trzecie pytanie: „Czy nasze obecne szkolenia obejmują scenariusz, w którym pracownik sam uruchamia złośliwy kod, przekonany że naprawia problem z przeglądarką?”. W 95% przypadków odpowiedź brzmi „nie”. I to jest moment, w którym zarząd zaczyna słuchać — bo widzi konkretną lukę, nie abstrakcyjne zagrożenie.
Kluczowe w tej rozmowie jest unikanie pozycji „straszącego sprzedawcy”. Nie chodzi o to, żeby zarząd się bał. Chodzi o to, żeby podjął świadomą decyzję. Nie chodzi o straszenie, chodzi o świadomą decyzję — to zdanie powtarzam klientom jak mantrę. Zarząd, który rozumie ryzyko i świadomie decyduje o poziomie akceptacji, jest w znacznie lepszej pozycji niż zarząd, który nie wie o zagrożeniu.
Jakie minimalne kroki ochronne powinien podjąć każdy kierownik IT?
Nie każda organizacja może natychmiast wdrożyć zaawansowane systemy detekcji behawioralnej i DNS security. Ale każda — niezależnie od budżetu i wielkości — może podjąć konkretne kroki, które znacząco redukują ryzyko ClickFix. Rozmawiam o tym z klientami regularnie i mam sprawdzony zestaw rekomendacji, posegregowany od najprostszych do najbardziej zaawansowanych.
Krok pierwszy — natychmiastowy i bezkosztowy: wyślij do wszystkich pracowników prostą, jasną informację: „Żadna legalna strona internetowa nigdy nie poprosi Cię o otwarcie okna Uruchom (Windows+R) i wklejenie polecenia. Jeśli zobaczysz taki komunikat — zamknij przeglądarkę i zgłoś to do działu IT”. Jedna wiadomość e-mail, jeden plakat w kuchni, jedno zdanie na odprawie. To najprostsza i jedna z najskuteczniejszych kontroli.
Krok drugi — niskokosztowy, wymaga GPO: wyłącz okno „Uruchom” (Run dialog) dla użytkowników, którzy nie potrzebują go w codziennej pracy. Polityka grupowa „Remove Run menu from Start Menu” skutecznie eliminuje główny wektor ClickFix. Pracownicy działu finansowego, HR, sekretariatu nie potrzebują okna „Uruchom”. Administratorzy i helpdesk — tak, ale dla nich można wdrożyć monitoring.
Krok trzeci — wymaga konfiguracji sieci: zablokuj ruch DNS (port 53) do serwerów spoza listy dozwolonych resolverów organizacyjnych. Najnowszy wariant ClickFix — z DNS staging, opisany przez Microsoft w lutym 2026 — wykorzystuje zapytania DNS do zewnętrznych serwerów jako kanał dostarczania złośliwego kodu. Prosta reguła firewallowa eliminuje ten wektor. Koszt: czas administratora na konfigurację.
Krok czwarty — wymaga decyzji budżetowej: ogranicz wykonywanie PowerShell na stacjach roboczych użytkowników końcowych. Tryb Constrained Language Mode lub reguły AppLocker — to zamyka jeden z najczęstszych kanałów drugiego etapu ataku. Pracownicy z działu księgowości nie potrzebują uruchamiać skryptów PowerShell.
Krok piąty — inwestycja w ludzi: wdroż regularne szkolenia security awareness z modułem obejmującym scenariusze ClickFix, uzupełnione o testy socjotechniczne minimum dwa razy w roku. To jedyny sposób, żeby zmierzyć, czy organizacja jest naprawdę przygotowana — a nie tylko formalnie zgodna z wymogami.
Jak wygląda plan wdrożenia obrony przed ClickFix w organizacjach o różnym poziomie dojrzałości?
Na podstawie rozmów z dziesiątkami klientów — od jednoosobowych działów IT w urzędach po kilkudziesięcioosobowe zespoły bezpieczeństwa w korporacjach — opracowałem praktyczny model, który pomaga organizacjom ocenić swój poziom dojrzałości i zaplanować kolejne kroki. Nie każda organizacja musi — ani może — wdrożyć wszystko naraz.
| Poziom | Profil organizacji | Działanie | Koszt orientacyjny (stan na marzec 2026) | Czas wdrożenia |
|---|---|---|---|---|
| 1 — Podstawowy | Każda organizacja, niezależnie od budżetu | Komunikat do pracowników + wyłączenie okna „Uruchom” przez GPO | 0 PLN (czas administratora) | 1–2 dni |
| 1 — Podstawowy | j.w. | Blokada DNS do serwerów spoza listy dozwolonych | 0 PLN (konfiguracja firewall) | 1 dzień |
| 2 — Rozszerzony | Organizacje 50+ pracowników | Szkolenia e-learning z modułem ClickFix (kwartalnie) | 5 000–15 000 PLN/rok | 2–4 tygodnie |
| 2 — Rozszerzony | j.w. | Ograniczenie PowerShell (Constrained Language Mode) | 0 PLN (konfiguracja GPO) | 3–5 dni (testowanie) |
| 2 — Rozszerzony | j.w. | Testy socjotechniczne 2x/rok | 8 000–25 000 PLN/rok | Cyklicznie |
| 3 — Zaawansowany | Organizacje z zespołem IT 5+ osób | Command-line auditing + reguły korelacji SIEM | 10 000–30 000 PLN (wdrożenie) | 2–4 tygodnie |
| 3 — Zaawansowany | j.w. | Pełne logowanie odpowiedzi DNS z analizą anomalii | 15 000–40 000 PLN/rok | 4–8 tygodni |
| 4 — Dojrzały | Organizacje z dedykowanym SOC | Browser isolation z kontrolą clipboard | 50 000+ PLN/rok | 2–3 miesiące |
| 4 — Dojrzały | j.w. | DNS security z passive DNS i threat intelligence | 30 000–80 000 PLN/rok | 4–8 tygodni |
Kluczowa obserwacja: poziom 1 jest dostępny dla każdej organizacji — w tym urzędów gmin z jednym informatykiem i zerowym budżetem na nowe narzędzia. Wyłączenie okna „Uruchom” i zablokowanie nieautoryzowanego ruchu DNS to dwie czynności, które można wykonać w ciągu jednego dnia roboczego i które eliminują rdzeń mechanizmu ClickFix. To nie jest idealne rozwiązanie — ale to solidna podstawa, od której można budować dalej.
Jak zmierzyć skuteczność obrony przed socjotechniką?
Wiele organizacji wdraża szkolenia i kontrole techniczne, ale nie mierzy ich skuteczności. Z perspektywy zarządu — i regulatora — to poważny problem. Nie wystarczy powiedzieć „szkoliliśmy pracowników”. Trzeba udowodnić, że szkolenie przyniosło efekt.
Pierwszy wskaźnik — i najbardziej bezpośredni — to wynik testów socjotechnicznych. Profesjonalny test symuluje realne scenariusze ClickFix: pracownik dostaje przynętę (e-mail lub redirect na spreparowaną stronę), widzi fałszywy komunikat z instrukcją i albo wykonuje złośliwe polecenie, albo rozpoznaje zagrożenie i zgłasza je. Wskaźnik „kliknięć” (w przypadku ClickFix — „wykonań”) w pierwszym teście daje baseline. KnowBe4 w raporcie Phishing by Industry Benchmark 2025 podaje, że średni baseline dla nieprzeszkolonych pracowników wynosi 33,1%. W sektorze ochrony zdrowia — nawet 41,9%.
Drugi wskaźnik — tempo zgłaszania. Ile czasu upływa od momentu, gdy pracownik zobaczy podejrzany komunikat, do momentu, gdy zgłosi to do działu IT? W dobrze przygotowanych organizacjach to minuty. W nieprzygotowanych — incydent nie jest zgłaszany w ogóle, bo pracownik nie wie, że coś się stało.
Trzeci wskaźnik — trend w czasie. Nie interesuje nas pojedynczy pomiar, ale trajektoria. Po pierwszym szkoleniu i teście — ponowny test za 3 miesiące. Dobrze prowadzony program powinien pokazać spadek wskaźnika podatności o 40% w ciągu 90 dni i o 86% w ciągu 12 miesięcy (benchmark KnowBe4). Jeśli wskaźnik nie spada — szkolenie wymaga modyfikacji.
Czwarty wskaźnik — pokrycie regulacyjne. Czy szkolenia obejmują wszystkie wymagane scenariusze (phishing, socjotechnika, CEO fraud, fałszywe komunikaty systemowe)? Czy obejmują wszystkie poziomy organizacyjne, łącznie z zarządem? Czy są udokumentowane w sposób, który pozwoli wykazać zgodność podczas audytu NIS2 lub kontroli KRI?
Przygotowuję klientom raport po każdym teście socjotechnicznym — z trendami, benchmarkami branżowymi i konkretnymi rekomendacjami. Nie po to, żeby wskazywać palcem na „winnych”, ale żeby dać zarządowi narzędzie do podejmowania świadomych decyzji o dalszych inwestycjach w bezpieczeństwo.
Jak nFlo pomaga organizacjom przygotować się na nową erę socjotechniki?
W nFlo podchodzimy do ochrony przed socjotechniką — w tym ClickFix — jako do procesu, nie jednorazowego projektu. Pracuję z klientami, dla których bezpieczeństwo jest codziennym wyzwaniem operacyjnym, nie abstrakcyjnym wymogiem regulacyjnym. Dlatego nasze podejście łączy trzy elementy: edukację, testowanie i wsparcie techniczne.
W zakresie testów socjotechnicznych projektujemy scenariusze odzwierciedlające realne techniki — w tym warianty ClickFix z fałszywymi komunikatami CAPTCHA i instrukcjami uruchomienia polecenia systemowego. Testujemy, jak pracownicy reagują, mierzymy wskaźniki i dostarczamy raport z konkretnymi rekomendacjami. Nie interesują nas statystyki dla statystyk — interesuje nas, czy organizacja jest bezpieczniejsza po teście niż przed nim.
Analiza architektury bezpieczeństwa, którą przeprowadzamy, uwzględnia warstwę DNS jako potencjalny wektor ataku. Weryfikujemy, czy organizacja wymusza korzystanie z wewnętrznych resolverów, czy loguje odpowiedzi DNS, czy reguły firewallowe blokują nieautoryzowany ruch DNS i czy systemy SIEM korelują zdarzenia DNS z aktywnością endpointową. Dla wielu klientów ta analiza ujawnia luki, o których nie wiedzieli — bo DNS jest jednym z najczęściej pomijanych elementów w architekturze bezpieczeństwa.
W ramach zarządzania incydentami reagujemy w czasie poniżej 15 minut. W przypadku ClickFix — gdzie kompromitacja następuje w sekundach — szybkość reakcji może oznaczać różnicę między izolacją pojedynczej stacji roboczej a lateralnym ruchem atakującego przez całą sieć. Doświadczenie z ponad 500 zrealizowanych projektów bezpieczeństwa pozwala nam szybko identyfikować wzorce behawioralne charakterystyczne dla nowych technik ataku.
Ale przede wszystkim — jestem dostępny dla klientów jako doradca. Kiedy kierownik IT w urzędzie słyszy o ClickFix i nie wie, od czego zacząć, może do mnie zadzwonić. Omówimy sytuację, ocenimy ryzyko i zaplanujemy konkretne kroki — dopasowane do jego budżetu, zespołu i poziomu dojrzałości organizacji. Bo cyberbezpieczeństwo to nie produkt na półce. To partnerstwo.
Podsumowanie
- ClickFix jako technika socjotechniczna — atakujący nakłaniają ofiarę do samodzielnego uruchomienia złośliwego polecenia w oknie „Uruchom” systemu Windows, co z perspektywy systemów bezpieczeństwa wygląda jak legalna akcja uprawnionego użytkownika.
- Eksplozja skali w 2025 roku — ESET odnotował wzrost wykryć ClickFix o 517% w ciągu sześciu miesięcy, a Proofpoint potwierdził 400% wzrost rok do roku; technikę zaadoptowały grupy państwowe APT28, Kimsuky i MuddyWater.
- Nieskuteczność klasycznych szkoleń — tradycyjne szkolenia antyphishingowe nie adresują scenariusza ClickFix, ponieważ atak nie wykorzystuje podejrzanych linków ani załączników, lecz fałszywe komunikaty systemowe wymagające uruchomienia polecenia.
- Realne koszty biznesowe — atak ClickFix na firmę DaVita w kwietniu 2025 kosztował 13,5 mln USD bezpośrednich strat; IBM szacuje średni koszt naruszenia zainicjowanego phishingiem na 4,8 mln USD.
- Wymogi regulacyjne NIS2 i KRI — art. 20 NIS2 wprost nakłada obowiązek szkoleń z rozpoznawania socjotechniki; kary sięgają 10 mln euro lub 2% obrotu, z osobistą odpowiedzialnością kadry zarządzającej.
- Bezkosztowe kroki ochronne — wyłączenie okna „Uruchom” przez GPO dla użytkowników non-admin, zablokowanie ruchu DNS do nieautoryzowanych serwerów i poinformowanie pracowników, że żadna legalna strona nie prosi o wklejanie poleceń w Win+R.
- ROI ze szkoleń security awareness — dobrze prowadzony program redukuje podatność pracowników o 86% w ciągu 12 miesięcy, a zwrot z inwestycji wynosi od 3x do 7x zainwestowanej kwoty.
Najczęściej zadawane pytania
Czy ClickFix dotyczy tylko systemu Windows?
Wariant opisany przez Microsoft w lutym 2026 celuje w Windows, wykorzystując okno „Uruchom” (Win+R) i narzędzia takie jak nslookup i PowerShell. Ale warianty ClickFix dla macOS (wykorzystujące Terminal) i Linux zostały zaobserwowane w kampaniach z 2025 roku. Mechanizm socjotechniczny — nakłonienie użytkownika do uruchomienia polecenia — działa niezależnie od systemu operacyjnego.
Czy mała organizacja (poniżej 50 pracowników) jest zagrożona?
Tak. Grupy przestępcze prowadzą kampanie masowe — w sierpniu 2025 zidentyfikowano 13 695 domen ClickFix w jednej operacji. Nie celują w konkretne firmy, tylko w każdego, kto trafi na spreparowaną stronę. Wielkość organizacji nie chroni — chroni świadomość pracowników i odpowiednia konfiguracja systemów.
Ile trwa wdrożenie podstawowej ochrony przed ClickFix?
Poziom 1 (komunikat do pracowników + wyłączenie okna „Uruchom” + blokada DNS) — 1–2 dni. Poziom 2 (szkolenia + ograniczenie PowerShell) — 2–4 tygodnie. Poziom 3 (monitoring + reguły SIEM) — 4–8 tygodni. Kluczowe jest, żeby zacząć od poziomu 1 natychmiast, a kolejne poziomy wdrażać stopniowo.
Czy testy socjotechniczne nie zdemotywują pracowników?
To częsta obawa. W praktyce — dobrze przeprowadzone testy mają efekt edukacyjny, nie karny. Nie wskazujemy palcem na osoby, które „dały się złapać”. Pokazujemy organizacji, gdzie są luki, i pomagamy je zamknąć. Pracownicy, którzy przeszli test socjotechniczny, są znacznie bardziej wyczuleni na realne zagrożenia — nawet jeśli za pierwszym razem ulegli przynęcie.
Jak ClickFix wpisuje się w wymagania NIS2?
NIS2 (artykuł 20) nakłada obowiązek regularnych szkoleń z cyberbezpieczeństwa obejmujących między innymi rozpoznawanie socjotechniki. ClickFix to technika socjotechniczna — brak szkolenia obejmującego ten scenariusz może być uznany za lukę w wypełnianiu obowiązków regulacyjnych. Kary za niezgodność sięgają 10 milionów euro lub 2% globalnego obrotu, z osobistą odpowiedzialnością kadry zarządzającej.
Od czego zacząć, jeśli mam ograniczony budżet?
Od trzech bezkosztowych kroków: (1) poinformuj pracowników, że żadna strona nie prosi o wklejanie poleceń w okno „Uruchom”, (2) wyłącz okno „Uruchom” przez GPO dla użytkowników non-admin, (3) zablokuj ruch DNS do serwerów spoza listy organizacyjnych resolverów. To eliminuje rdzeń mechanizmu ClickFix i nie wymaga żadnych zakupów.
Potrzebujesz wsparcia? Zespół nFlo pomoże zabezpieczyć Twoją organizację:
Tematy powiązane
Zobacz również:
