category: “Cyberbezpieczeństwo” tags:

• “kampania-phishingowa”
• “symulacja-phishing”
• “phishing-test”
• “security-awareness”
• “nis2”
• “social-engineering-test”
• “dora”
• “rodo” relatedTerms:
• “phishing”
• “socjotechnika”
• “spear-phishing”
• “bec”
• “smishing”
• “vishing”
• “whaling-phishing”
• “red-team”
• “tabletop” wpSlug: “kampania-phishingowa” translationSlug: “kampania-phishingowa”

---

Kampania phishingowa (symulacja phishingu) — kompletny przewodnik (2026)

TL;DR — czym jest kampania phishingowa i po co ją prowadzić?

Kampania phishingowa (symulacja phishingowa) to autoryzowany, kontrolowany test bezpieczeństwa, w którym organizacja świadomie wysyła pracownikom wiadomości imitujące prawdziwy phishing — żeby zmierzyć podatność, wzmocnić świadomość i spełnić wymagania NIS2, DORA, RODO i ISO 27001:2022 A.6.3. Trzy najważniejsze fakty:

• Czym jest: ciągły program ćwiczeniowy (12+ kampanii rocznie), nie jednorazowy audyt. Różni się od prawdziwego phishingu autoryzacją zarządu, brakiem realnych konsekwencji finansowych i natychmiastowym just-in-time microlearning po kliknięciu.
• Jak działa: 4-fazowy cykl — planowanie (cel + audience + KPI) → realizacja (scenariusz + payload + waves) → monitoring (real-time dashboard) → raportowanie i remediation (training assignments + lessons learned).
• Dlaczego potrzebna: Verizon DBIR 2024 wskazuje phishing jako #1 wektor początkowego dostępu (36% naruszeń). Dojrzałe programy obniżają click rate z baseline ~14% do <5% po 12 miesiącach (KnowBe4 benchmark). NIS2 Art. 21, DORA Art. 13, RODO Art. 32 i ISO 27001 A.6.3 traktują awareness training jako wymóg minimalny.

Kampania phishingowa vs prawdziwy atak vs red team vs tabletop — porównanie

W praktyce te cztery aktywności są często mylone, mimo że różnią się intencją, scope i ramami prawnymi. Tabela porządkuje relację:

Cecha	Prawdziwy atak phishingowy	Kampania phishingowa (symulacja)	Kampania Red Team	Tabletop Exercise
Cel	Kradzież danych / pieniędzy / dostępu	Pomiar podatności + szkolenie	Test całej obrony (people + process + tech)	Przegląd procedur i decyzji bez akcji
Scope	Cała powierzchnia ataku	Email + opcjonalnie SMS/voice	Multi-vector (phishing + sieć + fizyczny)	Sala konferencyjna, scenariusz papierowy
Intencja	Wroga (kryminalna)	Edukacyjna + pomiarowa	Adversarial (z mandatu)	Edukacyjna + procesowa
Legalność	Nielegalna	Legalna (autoryzacja zarządu)	Legalna (rules of engagement)	Legalna (warsztat wewnętrzny)
Reporting flow	Atakujący → ofiara, brak feedback	Symulator → SOC → just-in-time training → quarterly board report	Red team lead → CISO → debrief	Facilitator → uczestnicy → action items
Narzędzia	Evilginx, Modlishka, EvilProxy, GoPhish (skradzione)	KnowBe4, Cofense, SoSafe, Microsoft Attack Simulator, GoPhish	Cobalt Strike, Mythic, Sliver, custom C2	Brak narzędzi technicznych
Konsekwencje dla pracownika	Realne (kradzież danych)	Brak (landing edukacyjny + microlearning)	Brak (ćwiczenie blue team)	Brak (warsztat)
Częstotliwość	Ciągła (atakujący decydują)	12+ kampanii rocznie	1-4× rocznie (kosztowne)	2-4× rocznie

Kampania phishingowa nie zastępuje red team engagement — to dwie różne aktywności, które uzupełniają się w dojrzałym programie cyberbezpieczeństwa. Tabletop exercise (zobacz tabletop) sprawdza procedury reakcji na incydenty, a kampania phishingowa mierzy podatność behawioralną pracowników.

Co to jest kampania phishingowa — definicja operacyjna

Kampania phishingowa to zaplanowany, autoryzowany cykl wysyłania do pracowników wiadomości imitujących prawdziwy phishing, prowadzony przez dział IT/security organizacji albo zewnętrznego dostawcę usług (np. nFlo). Wiadomości są dostarczane realnym kanałem komunikacji (email, SMS, telefon, kod QR), zawierają realistyczny pretekst (urgency hook, brand impersonation, sender spoofing), prowadzą do landing page kontrolowanej przez organizację (a nie atakującego) i są mierzone w czasie rzeczywistym (open, click, submit, report).

Trzy kluczowe różnice vs prawdziwy phishing:

1. Pisemna autoryzacja zarządu — przed launch kampanii musi istnieć rules of engagement zatwierdzony przez CEO, CISO, IT, HR i dział prawny. Bez tego ryzykujesz incydent kadrowy oraz roszczenia z tytułu RODO.
2. Brak realnych konsekwencji finansowych — landing page nie zbiera credentiali do credential harvestera, tylko pokazuje edukacyjny komunikat (“To była symulacja. Dlaczego to był phishing? — 1: niezgodny adres nadawcy, 2: presja czasu, 3: nietypowy URL”).
3. Just-in-time microlearning — kliknięcie wywołuje natychmiastowe szkolenie 60-120 sekund (video, interaktywny moduł, krótki quiz). Bez tego kampania mierzy podatność, ale jej nie redukuje.

Kampania phishingowa jest centralnym elementem security awareness program, opisanego standardem NIST SP 800-50 (Building an Information Technology Security Awareness Program) oraz ISO 27001:2022 A.6.3 (Information security awareness, education and training). Mapuje się też na MITRE ATT&CK TA0001 (Initial Access) i technikę T1566 (Phishing) — symulacja testuje obronę przed dokładnie tymi technikami.

Po co przeprowadzać kampanie phishingowe — pięć powodów strategicznych

(1) Baseline measurement. Bez kampanii nie wiesz, jak wielu pracowników kliknie w pierwszy lepszy fake invoice. Pierwsza kampania ustala baseline click rate, submit rate i report rate, który stanowi punkt odniesienia dla wszystkich późniejszych metryk. Średni baseline w branży (KnowBe4 2024): click rate ~14%, submit rate ~4.7%, report rate 5-15%.

(2) Training reinforcement. Klasyczne szkolenie security awareness raz w roku (compliance-check) ma znikomą skuteczność — knowledge decay następuje w ciągu 2-3 miesięcy. Kampania phishingowa wbudowana w cykl miesięczny działa jak spaced repetition: pracownik regularnie testowany utrzymuje czujność.

(3) NIS2 Art. 20 i Art. 21 awareness compliance. Dyrektywa NIS2 nakłada na podmioty kluczowe i ważne obowiązek wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa, w tym podstawowych praktyk cyber hygiene oraz szkoleń. Dowodem zgodności (zwłaszcza dla audytora) są udokumentowane wyniki kampanii phishingowych w czasie, pokazujące progres click rate i report rate.

(4) DORA Art. 13 ICT security awareness. Rozporządzenie DORA (od 17 stycznia 2025 dla sektora finansowego) wymaga ICT security awareness programmes oraz regularnego testing. Symulacje phishingowe są wprost wymieniane jako jeden z mechanizmów testowych. Dla TLPT (Threat-Led Penetration Testing) elementy social engineering, w tym kontrolowany phishing, są obowiązkowe.

(5) RODO Art. 32, ISO 27001:2022 A.6.3, KSC. RODO wymaga wdrożenia “odpowiednich środków technicznych i organizacyjnych” — UODO w sprawach skargowych regularnie pyta o dowody szkoleń i symulacji. ISO 27001:2022 control A.6.3 wymaga awareness, education and training — bez ciągłych kampanii nie da się go realnie wdrożyć. KSC (Ustawa o Krajowym Systemie Cyberbezpieczeństwa) nakłada podobne obowiązki na operatorów usług kluczowych.

4-fazowa metodologia kampanii phishingowej

Faza 1 — Planowanie

Wybór celu kampanii (jeden z trzech): baseline measurement (pierwsza kampania w organizacji, brak training before), training reinforcement (cykliczna kampania z eskalacją trudności), regulatory evidence (dokumentacja na potrzeby audytu NIS2/DORA/ISO 27001).

Definicja target audience: cała organizacja vs konkretny dział (finanse, HR, zarząd) vs konkretne role (system administrators, executives, customer-facing roles). Dla pierwszej kampanii rekomendacja: cała organizacja, generic template (bank/courier/Office 365).

Definicja KPI: pierwsza kampania mierzy baseline, kolejne — progress vs baseline. Target dojrzały: click rate <5%, submit rate <1.5%, report rate >50%.

Scenario design: wybór pretekstu (urgency / curiosity / authority / fear / reward), sender domain (typo squatting — nflo-pl.com zamiast nflo.pl), payload (credential harvester landing / mock attachment / data submission form), copy w PL.

Rules of engagement: pisemna autoryzacja CEO/CISO/IT/HR/legal, escalation procedure (co robić jeśli realny atak nastąpi równolegle), out-of-scope list (osoby na zwolnieniu, ciąża, urlop opiekuńczy), data retention policy zgodna z RODO.

Faza 2 — Realizacja

Konfiguracja platformy (KnowBe4 / Cofense / Microsoft Attack Simulator / GoPhish): import target list, wybór template, customization copy + brand assets, ustawienie landing page edukacyjnego, integracja z LMS dla microlearning.

Whitelisting w email security gateway: bez tego symulacja zostanie zablokowana przez Defender for Office 365 / Proofpoint / Mimecast. Wymaga koordynacji z IT.

Wave timing: peak hours (10:00-11:00 lub 14:00-15:00), business days (wt-czw, unikaj poniedziałków i piątków), distribution across 1-4 weeks (avoid mass-send w single window — łatwo zidentyfikować jako symulację).

Variable scenarios w tej samej kampanii: różne sender domains (bank / kurier / IT helpdesk / HR), różne urgency levels (low / medium / high), różne payloads (link / attachment / QR code).

Faza 3 — Monitoring

Real-time dashboard: emails sent / delivered / opened / clicked / submitted / reported. Identyfikacja anomalii w trakcie kampanii (np. wave nie dochodzi do działu — possible email gateway block).

Identyfikacja repeat clickers (pracownicy, którzy kliknęli w 2-3 poprzednich kampaniach) — flagowanie do dedicated coaching, nie disciplinary action.

Just-in-time microlearning: każde kliknięcie wywołuje immediate landing edukacyjny + 60-120 sekund video / interactive module. Pracownik nie czeka na monthly training session — uczy się w momencie błędu.

Integracja z SIEM: export eventów (sent / clicked / submitted / reported) do Splunk / Microsoft Sentinel / Elastic dla SOC correlation z prawdziwymi atakami w tym samym oknie czasowym.

Faza 4 — Raportowanie i remediation

Executive summary do zarządu (quarterly): aggregated metrics, comparison vs benchmark branżowy (KnowBe4 PhishER, Verizon DBIR), trend over time.

Departmental breakdown: per dział, nie per osoba (RODO + culture). Identyfikacja działów o najwyższym click rate jako priority dla dedicated training.

Training assignments: repeat clickers dostają extended training program (np. dodatkowe 4-godzinne sesje), manager involvement, follow-up po 30/60/90 dniach.

Lessons learned dla blue team: scenariusze, które przeszły przez email gateway pomimo whitelisting (rzadkie, ale możliwe), feedują do tuning email security policies.

Aktualizacja security awareness program — kolejna kampania bazuje na slabościach zidentyfikowanych w poprzedniej.

Typy kampanii phishingowych

W praktyce nFlo i większość dojrzałych platform (KnowBe4, Cofense, SoSafe) wyróżnia osiem głównych typów:

• Mass phishing simulation — generic templates, broad target. Pretexty: bank PIN, courier delivery (InPost, DPD, DHL), Office 365 password reset, Microsoft Teams notification. Click rate baseline: 12-18%.
• Spear phishing simulation — targeted, personalized. Pretexty: CEO impersonation skierowane do action officera, HR salary update do działu finansów, internal IT helpdesk do nowych pracowników. Click rate: 30-60% (vs generic 12-18%) — patrz spear phishing.
• BEC (Business Email Compromise) simulation — CFO/CEO impersonation, wire transfer fraud. Klucz: realistic email thread z poprzednią korespondencją + urgency + authority + secrecy. Patrz BEC.
• Whaling simulation — executive-targeted, tailored research-based. Pretexty: M&A confidential, lawsuit, board document. Mały volume (5-15 osób), wysoki effort per template. Patrz whaling phishing.
• SMS / Smishing simulation — delivery codes (InPost, DPD), banking alerts, BLIK code requests. Mobile blind spot — pracownicy mniej czujni na telefonie. Patrz smishing.
• Vishing simulation — callback request, IT support pretext, fake bank fraud alert. Coraz częściej z voice cloning (ElevenLabs i podobne) — symulacja realnego deepfake vishing. Patrz vishing.
• QR phishing / Quishing simulation — kod QR w email, parking ticket, restaurant menu. KnowBe4 zaraportował 51% wzrost YoY 2024. Omija większość email security gateways (kod QR jako obraz).
• Attachment-based simulation — Word/Excel macro, ISO/IMG container, HTML smuggling, OneNote payloads. Wymaga sandbox detonation w email gateway — bez tego symulacja nie pokaże realnej obrony.

Kluczowe metryki kampanii phishingowej — benchmarki 2026

Metryka	Definicja	Baseline (nowy program)	Target (po 12 mies.)	Benchmark źródło
Click Rate (CR)	% adresatów, którzy kliknęli link	~14%	<5%	Verizon DBIR 2024, KnowBe4
Submit Rate (SR)	% adresatów, którzy podali dane	~4.7%	<1.5%	KnowBe4 industry baseline
Report Rate (RR)	% adresatów, którzy zgłosili przyciskiem Report	5-15%	>50%	Cofense Annual Report 2024
Training Completion Rate	% przypisanych szkoleń ukończonych w terminie	~60%	>90%	SoSafe Human Risk Review
Dwell Time	Czas między doręczeniem a kliknięciem	<2 min	n/a (signal metric)	Microsoft Defender for Office 365
Repeat Clicker Rate	% pracowników z 3+ kliknięciami w roku	~5-8%	<1%	KnowBe4 PhishER
Time To First Click (TTFC)	Sekundy od delivery do pierwszego click	30-90 s	n/a (signal metric)	KnowBe4

Najczęstszy błąd interpretacyjny: organizacja patrzy tylko na CR. Report Rate jest często ważniejszy — wysokie RR przy umiarkowanie podwyższonym CR oznacza zdrową kulturę bezpieczeństwa (pracownicy klikają czasem, ale natychmiast zgłaszają). Niskie RR przy niskim CR oznacza nieczułość — pracownicy nie klikają, ale też nie zgłaszają, więc realny atak przejdzie niezauważony.

Główne narzędzia / platformy 2026

Pełny krajobraz vendorów (alfabetycznie, z modelem cenowym 2026):

• Cofense PhishMe — focus na reporting culture, integracja z Cofense Triage (SOAR), ~3-5 USD/user/miesiąc enterprise.
• GoPhish — open source, self-hosted, darmowe. Wymaga inhouse expertise. Idealne dla małych zespołów red team i pentesterów. Brak content szkoleniowego.
• Hoxhunt — finnish startup, gamification, growing fast. Najmocniejsza personalization w branży (ML-driven difficulty per user).
• Infosec IQ (Cengage) — solid mid-market option, broad content library.
• KnowBe4 — lider Magic Quadrant 2024-2025, 65 000+ klientów globally, największa biblioteka content (1000+ templates PL), ~2-4 USD/user/miesiąc enterprise.
• Lucy Security — Swiss, on-prem option dla podmiotów krytycznych (sektor publiczny, infrastruktura krytyczna), gdzie cloud platform jest blocker compliance.
• Microsoft Attack Simulator — natywny w Microsoft 365 Defender, included w licencji E5 (bez dodatkowego kosztu). Limitowane content vs KnowBe4, ale wystarczy dla organizacji już w Microsoft 365.
• Mimecast Awareness Training — post-akwizycja Ataata, integracja z Mimecast email security.
• Proofpoint Security Awareness Training (PSAT) — enterprise-grade, integracja z Proofpoint email security gateway i Proofpoint Targeted Attack Protection.
• SANS Securing The Human — premium content, drogi (~10-15 USD/user/miesiąc), executive-focused.
• SoSafe — German, GDPR-native, popularne w UE i Polsce. PL content na poziomie KnowBe4.
• Wizer Training — low-budget option, freemium model, dla małych firm bez budgetu na KnowBe4.

Macierz decyzyjna: organizacja w Microsoft 365 E5 → Microsoft Attack Simulator jako baseline + opcjonalnie KnowBe4 dla content depth. B2B regulowane (NIS2/DORA) → KnowBe4 lub SoSafe. Sektor finansowy z DORA → Proofpoint PSAT (już mają Proofpoint email security). Inhouse red team z budget zero → GoPhish.

Pułapki etyczne i prawne kampanii phishingowych

Autoryzacja zarządu jest non-negotiable. Mandate before launch musi być pisemny, zatwierdzony przez CEO, CISO, IT, HR i dział prawny. Bez tego ryzykujesz: incydent kadrowy (pracownik czuje się oszukany), skargę do UODO (RODO Art. 6 podstawa prawna przetwarzania), pozew o naruszenie dóbr osobistych.

Naming and shaming jest zakazane. Publikowanie listy pracowników, którzy kliknęli, jest podwójnie problematyczne: (1) narusza RODO (przetwarzanie danych w sposób niezgodny z celem zbierania), (2) zabija kulturę raportowania na lata — pracownicy boją się zgłaszać, bo widzą, że “wpadka” jest publicznie ukarana. Raportuj wyniki agregowane per dział, nie per osoba.

Treść scenario nie może być traumatyzująca. Zakaz: fake śmierć członka rodziny, fake child abduction, fake disciplinary action, fake choroba ciężka. Nie tylko etyczne — generują skargi i incydenty HR. Trzymaj się neutralnych pretekstów: bank, kurier, IT helpdesk, HR salary update, Office 365 password reset.

Comms strategy — kiedy ujawnić, że to test. Najlepsza praktyka: post-click via landing page edukacyjny. Pracownik klika → natychmiast widzi komunikat “To była symulacja. Dlaczego to był phishing? — 1: niezgodny adres nadawcy, 2: presja czasu, 3: nietypowy URL” + 60-120 sekund microlearning. Nigdy nie zostawiaj pracownika bez wyjaśnienia.

Dane behawioralne pracowników a RODO. Logi kampanii zawierają dane osobowe (kto kliknął, kiedy, ile razy). Podstawa prawna: prawnie uzasadniony interes (Art. 6.1.f RODO) z odpowiednią informacją w polityce prywatności pracowniczej. Data retention: typowo 12-24 miesiące. Konsultacja z DPO obligatoryjnie. Patrz: outsourcing inspektora danych osobowych.

Equal treatment — nie targetuj pojedynczej osoby/zespołu disciplinary. Kampania nie może być narzędziem do “złapania” konkretnego pracownika ani zespołu — to wprost narusza zasady etyczne i prawne (mobbing, dyskryminacja). Target audience musi być reprezentatywny.

Repeat clickers — nie kara, lecz coaching. Repeat clicker to sygnał, że program szkoleniowy nie działa dla danej osoby — a nie powód do disciplinary action. Wprowadź dedicated coaching, manager involvement, dłuższy training cycle. Disciplinary action tylko w skrajnych przypadkach (np. pracownik celowo bypassuje training).

Włączenie partnerów / third party — osobna zgoda. Jeśli kampania ma testować dostawców / partnerów / kontrahentów, wymaga osobnej zgody i osobnych rules of engagement.

Co kampania phishingowa NIE jest

NIE replacement dla email security gateway. Nawet najlepsze szkolenie pracowników nie zastąpi technicznych warstw obrony — Proofpoint, Mimecast, Microsoft Defender for Office 365 muszą działać równolegle. Symulacja mierzy “ostatnią linię obrony” (człowieka), ale wszystkie wcześniejsze warstwy są wciąż obowiązkowe.

NIE jednorazowy event. Single kampania raz w roku nie zmieni nawyków — knowledge decay nastąpi w 2-3 miesiące. Program ciągły wymaga 12+ kampanii rocznie minimum (monthly cadence preferable).

NIE pretext do disciplinary action. Patrz wyżej — repeat clickers wymagają coaching, nie kary.

NIE substitute dla red team engagement. Kampania phishingowa testuje wyłącznie human layer. Red team testuje całą obronę (people + process + tech) multi-vector. To dwie różne aktywności, które uzupełniają się.

NIE substitute dla tabletop exercise. Tabletop testuje procedury reakcji na incydenty (decision-making, escalation, communication). Symulacja phishingowa nie odpowiada na pytanie “co zrobimy, gdy realny phishing przejdzie”.

Best practices kampanii phishingowej 2026

• Continuous program — 12+ kampanii rocznie minimum, monthly cadence preferable. Bez tego knowledge decay zabija ROI.
• Variable scenarios — różne hooks (urgency / curiosity / authority / fear / reward), różne sender domains (bank / kurier / IT / HR / external), różne urgency levels.
• Difficulty escalation — start easy (generic bank template), ramp difficulty over time (spear phishing, BEC, deepfake vishing).
• Just-in-time training — immediate microlearning po click (60-120 sekund video, interactive module, quiz). Brak tego = pomiar bez nauki.
• Peer reporting culture — incentivize report button usage. Najmocniejsza praktyka: monthly leaderboard najlepszych reporterów (per dział, agregowany — nie naming and shaming klikających).
• Repeat clicker special tracks — dedicated coaching, manager involvement, follow-up 30/60/90 dni.
• Localized content — PL templates dla PL pracowników (krajowe banki, InPost, ZUS, US, Allegro), nie tłumaczenie z EN.
• Integration z SIEM — export events do Splunk / Microsoft Sentinel / Elastic dla SOC correlation z realnymi atakami.
• Benchmark vs industry — KnowBe4 PhishER benchmark, Verizon DBIR, Cofense Annual Report. Surowy CR bez kontekstu branży nic nie mówi.
• Executive dashboard quarterly — board reporting z trend over time, comparison vs benchmark, ROI calculation (cost avoided incident).
• Combine z incident reporting drills — sister: tabletop exercises, IR runbooks, SOC SOAR playbooks.

Trendy 2026 w kampaniach phishingowych

AI-generated personalized phishing. Generative AI (ChatGPT, Claude, Gemini) tworzy gramatycznie idealne phishingi w każdym języku, eliminując sygnał “łamanej polszczyzny”. Dojrzałe platformy (KnowBe4, SoSafe, Hoxhunt) już oferują AI-generated templates jako opcja symulacji.

QR phishing (Quishing) rise. KnowBe4 zaraportował 51% wzrost YoY 2024. Symulacja Quishing wymaga dodatkowej infrastruktury (kod QR jako obraz osadzony w email — omija większość email gateways).

MFA fatigue attack simulation. Push notification spam na mobile authenticator app aż do approval. Symulacja wymaga integracji z Azure AD / Okta / Duo Security.

Adversary-in-the-Middle (AiTM) simulation. Evilginx2-style — atakujący proxuje session token zamiast credentiali. Phishing-resistant MFA (FIDO2, passkeys) jest jedyną obroną. Symulacja edukuje o tym pracowników — patrz FIDO2 lub równoważny pillar.

Cloud-native phishing. Microsoft 365 OAuth consent phishing — atakujący prosi o zgody aplikacji (nie credentiale). Symulacja musi być w stanie zasymulować consent flow.

Cross-channel campaigns. Email + SMS + voice combo — zwiększony naciśnięcie, realistyczny scenariusz. Wymaga platform z multi-channel support (KnowBe4, SoSafe, Cofense).

Behavioral risk scoring. Per-user risk profile, dynamic difficulty per pracownik. Hoxhunt jest liderem w tej kategorii.

Privacy-preserving simulation. Federated learning, no central user data — wymóg dla podmiotów krytycznych (sektor publiczny, defense). Lucy Security jest jedynym vendor z mature offering.

Jak nFlo prowadzi kampanie phishingowe

W nFlo (200+ klientów, 500+ projektów, 98% retencja, <15 min reakcja SOC) kampania phishingowa jest realizowana w ramach usługi testy socjotechniczne jako część szerszego portfolio cyberbezpieczeństwa. W typowym engagement:

• Konsultacja wstępna — analiza dojrzałości awareness program klienta, identyfikacja celów (baseline / training reinforcement / regulatory evidence), wybór scope (cała organizacja / pilot dla konkretnego działu).
• Wybór platformy — w zależności od istniejącego stacku klienta (Microsoft 365 E5 → Attack Simulator + opcjonalnie KnowBe4; B2B regulowane → KnowBe4 lub SoSafe; sektor finansowy → Proofpoint PSAT).
• Lokalizacja content — PL templates dla PL pracowników (krajowe banki, InPost, ZUS, US, Allegro), nie tłumaczenie z EN.
• Realizacja kampanii — 4-fazowy cykl (planowanie → realizacja → monitoring → raportowanie), z eskalacją trudności w czasie.
• Integracja z SOC — export eventów do SIEM klienta (Splunk, Microsoft Sentinel, Elastic) lub do naszego SOC 24/7 (patrz SOC).
• Quarterly executive report — board-level dashboard z trend over time, comparison vs benchmark, ROI calculation.

Dla organizacji objętych NIS2 i DORA realizujemy też pełne wsparcie dokumentacyjne audytowe — kampania phishingowa jako dowód zgodności z Art. 21 (NIS2), Art. 13 (DORA), A.6.3 (ISO 27001:2022). W przypadku wymogu Threat-Led Penetration Testing (TLPT) zgodnie z DORA, kampania phishingowa jest jednym z mandatory elementów social engineering w ramach pełnego red team engagement.

FAQ — najczęstsze pytania o kampanie phishingowe

Co to jest kampania phishingowa w prostych słowach? Autoryzowany test bezpieczeństwa, w którym organizacja świadomie wysyła pracownikom wiadomości imitujące prawdziwy phishing — żeby zmierzyć podatność i nauczyć rozpoznawać podobne ataki. Różni się od prawdziwego phishingu autoryzacją zarządu, brakiem realnych konsekwencji finansowych i natychmiastowym just-in-time microlearning po kliknięciu.

Jakie są kluczowe metryki? Click Rate (target <5% po 12 mies.), Submit Rate (target <1.5%), Report Rate (target >50%), Training Completion Rate (target >90%). Metryki signal: Dwell Time, Repeat Clicker Rate, Time To First Click.

Jakie narzędzia używać w 2026? Enterprise: KnowBe4, Proofpoint PSAT, Cofense PhishMe, Mimecast. UE-native: SoSafe, Hoxhunt. Microsoft 365 native: Attack Simulator (included w E5). Open source: GoPhish. Wybór zależy od stacku, regulacji i lokalizacji content.

Czy są wymagane prawnie? Tak, pośrednio lub bezpośrednio: NIS2 Art. 20/21, DORA Art. 13, RODO Art. 32, ISO 27001:2022 A.6.3, KSC, KRI. Symulacje phishingowe są de facto standardem dowodowym dla audytora.

Jakich błędów unikać? Brak autoryzacji zarządu, naming and shaming, traumatyzujące scenariusze, traktowanie repeat clickers jako problem dyscyplinarny, tłumaczenie z EN, jednorazowy event raz w roku, brak integracji z SOC.

Powiązane terminy

• Phishing — szersza kategoria ataków, których kampania symuluje
• Socjotechnika — nadrzędna kategoria manipulacji
• Spear phishing — wariant ukierunkowany, symulowany w drugiej fazie programu
• BEC (Business Email Compromise) — najgroźniejsza forma, wymagająca dedykowanej symulacji
• Smishing — phishing SMS-owy, osobna kampania na kanale mobile
• Vishing — phishing głosowy, coraz częściej z voice cloning
• Whaling phishing — executive-targeted, najwyższa difficulty
• Red team — uzupełniający multi-vector test obrony
• Tabletop — komplementarny warsztat procedur reakcji

Sprawdź nasze usługi

Chcesz wdrożyć dojrzały program kampanii phishingowych w swojej organizacji?

• Testy socjotechniczne — symulacje phishing, smishing, vishing, quishing prowadzone przez nFlo
• SOC 24/7 — monitorowanie i reagowanie na incydenty phishingowe, integracja z kampaniami
• Audyty — audyt zgodności NIS2, DORA, ISO 27001 — kampania phishingowa jako dowód zgodności
• Outsourcing IOD/DPO — konsultacja RODO przy projektowaniu kampanii (podstawa prawna, retencja danych)

Kampania phishingowa w 2026 nie jest opcjonalnym dodatkiem do security awareness program — jest jego centralnym elementem operacyjnym i dowodem zgodności z NIS2, DORA, RODO i ISO 27001. Dojrzała organizacja prowadzi 12+ kampanii rocznie z eskalacją trudności, just-in-time microlearning, integracją z SOC i quarterly board reporting. nFlo wspiera 200+ klientów w projektowaniu, realizacji i utrzymaniu takich programów.