Phishing
Phishing to rodzaj ataku socjotechnicznego, który ma na celu oszukanie ofiary i nakłonienie jej do ujawnienia poufnych informacji lub wykonania szkodliwych działań.
category: “Cyberbezpieczeństwo” tags:
- “phishing”
- “socjotechnika”
- “cyberatak”
- “bezpieczeństwo email”
- “oszustwo” relatedTerms:
- “socjotechnika”
- “malware”
- “ransomware”
- “vishing”
- “smishing” wpSlug: “phishing” translationSlug: “phishing”
Co to jest Phishing?
TL;DR — czy phishing to to samo co scam, vishing i smishing?
Nie — phishing to szersza kategoria, a vishing/smishing to jego warianty kanałowe. Wszystkie to ataki socjotechniczne, ale różnią się medium: phishing przez email, smishing przez SMS, vishing przez telefon, quishing przez kod QR, BEC przez przejętą skrzynkę firmową. W 2026 phishing jest #1 wektorem początkowego dostępu dla cyberataków (Verizon DBIR: 36% naruszeń). Ochrona wymaga warstw: phishing-resistant MFA (FIDO2), DMARC/DKIM/SPF, edukacja, EDR, Zero Trust.
Phishing vs vishing vs smishing vs quishing vs BEC — porównanie
| Wariant | Kanał | Główny pretekst | Skuteczność | Ochrona kluczowa |
|---|---|---|---|---|
| Phishing (email) | Bank, urząd, kurier, firma | 🔴 Bardzo wysoka (masowa) | DMARC, sandbox, edukacja | |
| Spear phishing | E-mail (cel) | Spersonalizowany | 🔴 Wysoka (75-90% CTR vs 10-30% masowy) | Executive training, anomaly detection |
| Whaling | C-level, M&A, sprawy prawne | 🟠 Średnia (małe wolumeny) | Out-of-band weryfikacja, escalation policy | |
| BEC (Business Email Compromise) | Przejęta skrzynka firmowa | Fałszywe przelewy, zmiana konta dostawcy | 🔴 Bardzo wysoka (137 tys. USD średnia strata) | DMARC enforcement, out-of-band confirmation |
| Smishing (SMS) | SMS | InPost, BLIK, bank | 🔴 Wysoka (mobile blind spot) | Mobile MDM, edukacja |
| Vishing (głos) | Telefon | IT support, bank, deepfake C-level | 🟠 Średnia, rośnie z AI voice cloning | Voice verification, callback protocols |
| Quishing (QR) | Kod QR | Restauracje, parking, parcel | 🟡 Emerging od 2023 | URL preview, ostrożność |
| Angler phishing | Social media | Fałszywe konto support marki | 🟡 Niskie volume, rośnie | Verified accounts, monitoring |
W praktyce kampanie często łączą kanały (email + SMS + telefon) dla wzmocnienia presji. Najgroźniejszy ekonomicznie wariant to BEC (FBI IC3 2024: 2,9 mld+ USD strat) — atakujący podszywa się pod CEO lub przejmuje prawdziwą skrzynkę i nakazuje fałszywe przelewy.
Co to jest Phishing?
**Phishing **to rodzaj ataku socjotechnicznego, który ma na celu oszukanie ofiary i nakłonienie jej do ujawnienia poufnych informacji lub wykonania szkodliwych działań.
Definicja phishingu
Phishing to technika oszustwa, w której atakujący podszywa się pod zaufaną osobę lub organizację, aby wyłudzić poufne dane, takie jak dane logowania, numery kart kredytowych czy inne wrażliwe informacje. Nazwa “phishing” pochodzi od angielskiego słowa “fishing” (łowienie), ponieważ atakujący “zarzuca przynętę”, czekając, aż ofiara “złapie haczyk”.
Jak działa phishing?
Typowy atak phishingowy przebiega następująco:
Atakujący tworzy fałszywą wiadomość lub stronę internetową, która wygląda jak legalna.
-
Ofiara otrzymuje wiadomość e-mail, SMS lub inną formę komunikacji, która wydaje się pochodzić z zaufanego źródła.
-
Wiadomość zawiera pilną prośbę lub atrakcyjną ofertę, skłaniającą ofiarę do działania.
-
Ofiara klika w link lub otwiera załącznik, co prowadzi do fałszywej strony lub instalacji złośliwego oprogramowania.
-
Ofiara nieświadomie udostępnia swoje dane lub wykonuje szkodliwe działania.
Rodzaje ataków phishingowych
-
Spear phishing: Ataki ukierunkowane na konkretne osoby lub organizacje.
-
Whaling: Ataki skierowane na kadrę kierowniczą wysokiego szczebla.
-
Smishing: Phishing za pomocą wiadomości SMS.
-
Vishing: Phishing z wykorzystaniem rozmów telefonicznych.
-
Clone phishing: Tworzenie kopii legalnych wiadomości z modyfikacją linków lub załączników.
Przykłady phishingu
-
Fałszywe e-maile od banków proszące o aktualizację danych logowania.
-
Wiadomości udające komunikaty od popularnych serwisów społecznościowych.
-
Fałszywe powiadomienia o wygranych lub nieoczekiwanych spadkach.
-
E-maile z rzekomymi fakturami zawierającymi złośliwe załączniki.
Różnice między phishingiem a innymi atakami socjotechnicznymi
-
Phishing polega głównie na masowym rozsyłaniu wiadomości, podczas gdy spear phishing jest bardziej ukierunkowany.
-
W przeciwieństwie do pharmingu, phishing wymaga aktywnego udziału ofiary (kliknięcia w link lub otwarcia załącznika).
-
Phishing różni się od pretextingu tym, że zazwyczaj nie wymaga długotrwałej interakcji z ofiarą.
Zagrożenia związane z phishingiem
-
Kradzież danych osobowych i finansowych
-
Utrata dostępu do kont i usług online
-
Infekcja złośliwym oprogramowaniem
-
Straty finansowe
-
Naruszenie bezpieczeństwa organizacji
Jak rozpoznać phishing?
-
Niespodziewane prośby o poufne informacje
-
Pilne wezwania do działania
-
Błędy językowe i gramatyczne w wiadomościach
-
Adresy URL różniące się od oryginalnych
-
Prośby o kliknięcie w podejrzane linki lub otwarcie załączników
Metody ochrony przed phishingiem
-
Edukacja użytkowników w zakresie rozpoznawania ataków phishingowych
-
Używanie oprogramowania antywirusowego i antyspamowego
-
Regularne aktualizacje systemów i aplikacji
-
Weryfikacja nadawców wiadomości i adresów URL
-
Unikanie klikania w podejrzane linki i otwierania nieoczekiwanych załączników
-
Stosowanie uwierzytelniania dwuskładnikowego
-
Regularne monitorowanie aktywności na kontach online
Trendy phishingowe 2025-2026
AI-powered phishing
Sztuczna inteligencja rewolucjonizuje ataki phishingowe:
- Perfekcyjne wiadomości: AI eliminuje błędy językowe i gramatyczne - tradycyjny wskaźnik phishingu
- Personalizacja na dużą skalę: Automatyczne dostosowanie treści do każdej ofiary (spear phishing masowy)
- Deepfake audio: Fałszywe połączenia od “szefa” zlecające przelewy (vishing z klonowaniem głosu)
- Chatboty phishingowe: Interaktywne oszustwa prowadzące “rozmowę” z ofiarą
- Dynamiczne strony: AI dostosowuje stronę phishingową w czasie rzeczywistym
Business Email Compromise (BEC) 2.0
- CEO Fraud z deepfake: Wideo lub audio z klonowanym głosem prezesa
- Vendor Email Compromise: Przejęcie korespondencji z dostawcami
- Lateral BEC: Wykorzystanie przejętego konta do atakowania innych pracowników
Nowe wektory phishingu
| Wektor | Trend 2025-2026 |
|---|---|
| QR phishing (Quishing) | Rosnący - kody QR w emailach, na parkingach, w restauracjach |
| Teams/Slack phishing | Phishing przez komunikatory firmowe |
| Phishing-as-a-Service | Gotowe zestawy phishingowe na subskrypcję |
| Browser-in-browser | Fałszywe okna logowania w przeglądarce |
| MFA fatigue | Spam powiadomień MFA aż do zatwierdzenia |
Statystyki phishingu
- 91% cyberataków zaczyna się od phishingu
- 97% użytkowników nie potrafi rozpoznać zaawansowanego phishingu
- 36% wycieków danych wynika z phishingu
- $4.91M średni koszt ataku phishingowego dla firmy (2024)
Powiązane terminy
- Socjotechnika - szersza kategoria ataków manipulacyjnych
- Vishing - phishing głosowy przez telefon
- Smishing - phishing przez SMS
- Malware - złośliwe oprogramowanie często dystrybuowane przez phishing
- Świadomość bezpieczeństwa - ochrona przed phishingiem przez edukację
Sprawdź nasze usługi
Chcesz chronić swoją organizację przed phishingiem? Sprawdź:
- Testy socjotechniczne - symulacje phishing i vishing
- Szkolenia Security Awareness - edukacja pracowników w rozpoznawaniu ataków
- SOC 24/7 - monitorowanie i reagowanie na incydenty phishingowe
Phishing pozostaje jednym z najpopularniejszych i najskuteczniejszych metod ataków cybernetycznych. W erze AI zagrożenie rośnie - sztuczna inteligencja pozwala tworzyć coraz bardziej przekonujące i spersonalizowane ataki. Świadomość zagrożeń, regularne szkolenia i stosowanie odpowiednich środków ostrożności są kluczowe dla ochrony przed tego typu atakami.
Najczęściej zadawane pytania
+ Co to jest phishing w prostych słowach?
Phishing to atak socjotechniczny, w którym przestępcy podszywają się pod zaufane podmioty — banki, pracodawców, urzędy, znane marki — żeby skłonić ofiary do ujawnienia poufnych informacji (haseł, numerów kart kredytowych, kodów MFA) lub wykonania szkodliwych działań (kliknięcia linku, otwarcia zainfekowanego załącznika, przelewu pieniędzy). Phishing jest najczęściej dostarczany e-mailem, ale istnieją warianty SMS-owe (smishing), telefoniczne (vishing), QR-kodowe (quishing) i social media. W 2026 phishing pozostaje #1 wektorem początkowego dostępu dla cyberataków na świecie — Verizon DBIR 2025 przypisuje 36% naruszeń phishingowi i socjotechnice.
+ Jakie są rodzaje phishingu?
7 najczęstszych: (1) **Phishing emailowy** — masowe kampanie podszywające się pod banki, firmy kurierskie, urzędy, (2) **Spear phishing** — sprofilowany atak na konkretną osobę (członek zarządu, dział finansów), (3) **Whaling** — spear phishing na C-level z fałszywymi pretekstami prawnymi/M&A, (4) **BEC (Business Email Compromise)** — atakujący przejmuje lub podszywa się pod firmowy email i nakazuje fałszywe przelewy (FBI: 50 mld USD strat 2014-2024), (5) **Smishing** — phishing SMS-owy (fałszywe dostawy InPost, alerty bankowe, oszustwa BLIK), (6) **Vishing** — phishing telefoniczny (fałszywy bank/IT support, często w koordynacji z email/SMS), (7) **Quishing** — phishing QR-kodowy emerging od 2023, omija skanery email.
+ Jak rozpoznać phishing?
7 sygnałów ostrzegawczych: (1) **Presja czasu** — 'Twoje konto zostanie zamknięte za 24h', 'zapłać teraz aby uniknąć aresztowania', (2) **Niezgodny adres nadawcy** — display name 'PayPal' ale email z `paypa1.com` lub literówki, (3) **Ogólne powitanie** — 'Drogi Kliencie' zamiast Twojego imienia, (4) **Podejrzane linki** — najedź przed kliknięciem, szukaj skróconych URL, adresów IP, niezwykłych domen (.xyz, .top, .ru), (5) **Niespodziewane załączniki** — zwłaszcza dokumenty Office prosząc o włączenie makr, ZIP, .exe/.lnk/.iso, (6) **Prośby o credentiale, kody MFA, pieniądze** przez email/SMS — legalne organizacje nigdy nie pytają, (7) **Błędy ortograficzne i gramatyczne** — choć AI-generated phishing 2024-2026 wyeliminował ten sygnał dla wyrafinowanych ataków. Gdy wątpisz, skontaktuj się z organizacją niezależnym kanałem.
+ Jak chronić firmę przed phishingiem?
Wielowarstwowa ochrona: (1) **Phishing-resistant MFA** — klucze sprzętowe FIDO2, passkeys, certificate-based; SMS-OTP i TOTP można sphishować przez real-time relay (Evilginx, Modlishka), (2) **Email security gateway** z sandbox detonation i impersonation detection (Defender for Office 365, Proofpoint, Mimecast), (3) **DMARC, DKIM, SPF** poprawnie skonfigurowane chronią przed spoofingiem własnej domeny, (4) **EDR/XDR** żeby złapać malware który prześliznie się przez filtry email, (5) **Edukacja użytkowników** z miesięcznymi phishingowymi symulacjami i metryką klikalności — top performerzy redukują CTR z 30% do <5%, (6) **Przycisk Report Phishing** w kliencie email (one-click), feeding back do SOC i email gateway, (7) **Zero Trust network access** żeby skompromitowane konto nie dosięgło wrażliwych systemów bez dodatkowego uwierzytelniania, (8) **Out-of-band confirmation** dla transakcji finansowych (zawsze zadzwoń do drugiej osoby na innym numerze, weryfikuj prośby o przelew).
+ Co zrobić po kliknięciu w phishing?
Działaj w pierwszych 30 minut: (1) **Odłącz od sieci** jeśli pobrałeś plik, (2) **Nie wpisuj credentiali** jeśli otwarta jest fałszywa strona logowania — zamknij zakładkę, (3) **Zmień hasła z czystego urządzenia** (nie z podejrzanego komputera) dla zaatakowanych kont; priorytet: email, bank, firmowe SSO, (4) **Włącz MFA** na każdym ważnym koncie jeśli jeszcze nie masz, (5) **Zgłoś do działu IT/security** natychmiast — mogą wycofać sesje, sprawdzić anomalne logowania, przeskanować urządzenie, (6) **Skontaktuj się z bankiem** jeśli wpisałeś dane karty lub bankowe — zablokuj kartę, monitoruj fraud, (7) **W korporacji**: zgłoś do skrzynki incident@..., załóż zgłoszenie w internal IR, powiadom managera. Im szybsze zgłoszenie, tym mniejsza blast radius — większość udanych phishingowych włamań została 'kliknięta' godziny przed jakimkolwiek zgłoszeniem.
+ Co to jest BEC (Business Email Compromise)?
BEC to najgroźniejsza forma phishingu, fokus na nakłanianiu firm do przelewów lub ujawnienia danych. Dwa warianty: (1) **Email account compromise** — atakujący kontroluje prawdziwą skrzynkę członka zarządu przez phishing lub password reuse, monitoruje wzorce, potem wysyła fałszywe prośby o przelew, (2) **CEO impersonation** — atakujący podszywa się pod email CEO (np. `ceo@compamy.com` zamiast `company.com`) i naciska na pracownika księgowości. Średnia strata BEC w 2025: 137 000 USD; FBI IC3 raport 2,9 mld+ USD strat BEC tylko w 2024. Ochrony: domain locking, DMARC enforcement, obowiązkowa weryfikacja out-of-band dla każdego przelewu powyżej progu (np. 50 tys. zł), szkolenia executive security, AI-based email anomaly detection.
+ Czy AI pogarsza problem phishingu?
Tak — AI znacząco obniżyło barierę dla wyrafinowanego phishingu. (1) **Generative AI** (ChatGPT, Claude, Gemini) pisze gramatycznie idealne phishingi w każdym języku, eliminując sygnał 'łamanej polszczyzny' który flagował wiele ataków. (2) **Voice cloning** (ElevenLabs i podobne) tworzy realistyczny vishing wykorzystując 30 sekund publicznego audio członka zarządu. (3) **Deepfake video** używany w BEC — 2024 sprawa w Hong Kongu: pracownik księgowości przelał 25 mln USD po deepfake'owym videocallu z 'CFO'. (4) **Automated personalization** scrapuje LinkedIn i strony korporacyjne na masową skalę, pozwalając robić spear phishing po cenie phishingu masowego. Ochrony: detekcja behawioralna (anomalne wzorce, nie język), out-of-band confirmation jako uniwersalna kontrola, executive-specific awareness training, voice/video verification protocols.