Jeszcze kilka lat temu wiele fałszywych wiadomości można było rozpoznać dość szybko. Dziwny język, błędy ortograficzne, nieudolne tłumaczenie, podejrzany adres nadawcy, krzykliwy komunikat i prośba o natychmiastowe kliknięcie.
Dziś to już nie jest takie proste.
Cyberprzestępcy korzystają z automatyzacji i narzędzi opartych na sztucznej inteligencji, aby pisać wiadomości lepszym językiem, szybciej przygotowywać kampanie i dopasowywać treść do konkretnej osoby lub firmy. Microsoft w raporcie Digital Defense Report 2025 zwraca uwagę, że atakujący rozwijają techniki omijania zabezpieczeń, w tym AI-automated phishing oraz wieloetapowe łańcuchy ataku.
Dla firm oznacza to jedno: nie wystarczy już powiedzieć pracownikom „uważajcie na podejrzane maile”. Trzeba zbudować takie środowisko pracy, w którym pojedyncze kliknięcie nie kończy się przejęciem konta, wyciekiem danych albo fałszywym przelewem.
Czym właściwie jest phishing z użyciem AI?
Phishing to próba wyłudzenia danych, pieniędzy albo dostępu do systemu przez podszycie się pod kogoś zaufanego. Może to być bank, kurier, urząd, kontrahent, dostawca usługi, Microsoft 365, Google, firma hostingowa, księgowość albo nawet przełożony.
Sztuczna inteligencja nie zmienia celu phishingu. Zmienia jakość i skalę.
Dzięki AI przestępca może szybciej przygotować wiadomość, która brzmi naturalnie, jest poprawna językowo i wygląda jak zwykła korespondencja biznesowa. Może też stworzyć kilka wersji tej samej wiadomości: inną dla księgowości, inną dla handlowca, inną dla właściciela firmy.
Cloudflare w podsumowaniu roku 2025 wskazuje, że narzędzia generatywnej AI ułatwiają tworzenie ukierunkowanych złośliwych wiadomości, które wiarygodnie podszywają się pod znane marki lub prawdziwych nadawców, np. członków zarządu. W tym samym raporcie Cloudflare podał, że średnio 5,6% analizowanych wiadomości e-mail było złośliwych, a najczęstszą kategorią zagrożeń w złośliwych mailach były zwodnicze linki, obecne w 52% takich wiadomości.
Dlaczego fałszywe wiadomości są dziś bardziej wiarygodne?
Pierwszy powód jest prosty: język.
AI potrafi napisać wiadomość po polsku bez oczywistych błędów. Może zachować formalny ton, dopasować się do stylu biznesowego i unikać typowych sygnałów ostrzegawczych, na które przez lata uczono pracowników.
Drugi powód to personalizacja. Atakujący może wykorzystać publiczne informacje ze strony internetowej firmy, LinkedIna, ogłoszeń o pracę, KRS, stopki mailowej albo dokumentów PDF dostępnych online. W efekcie wiadomość może zawierać prawdziwe imię pracownika, nazwę działu, nazwisko przełożonego albo odniesienie do realnej usługi.
Trzeci powód to tempo. Kiedyś przygotowanie dobrego phishingu wymagało więcej pracy. Dziś wiele elementów można zautomatyzować: treść maila, warianty językowe, temat wiadomości, krótką odpowiedź w korespondencji, a nawet fałszywą stronę logowania.
Czwarty powód to przejście poza sam e-mail. CERT-EU w raporcie za 2025 rok zwrócił uwagę, że socjotechnika coraz częściej wykracza poza klasycznego maila. Wzrosło znaczenie takich metod jak voice phishing, ataki typu Adversary-in-the-Middle, ClickFix czy nadużycia kodów urządzeń, a atakujący coraz częściej wykorzystują AI do klonowania głosu, personalizacji treści phishingowych i tworzenia deepfake’ów.
Jak może wyglądać taki atak w firmie?
Wyobraźmy sobie prosty scenariusz.
Do księgowości trafia e-mail od „kontrahenta”. Wiadomość jest napisana poprawnie, spokojnym językiem i nawiązuje do prawdziwej współpracy. W załączniku znajduje się rzekoma faktura, a w treści prośba o pilne sprawdzenie numeru rachunku.
Albo inny przykład.
Pracownik dostaje wiadomość wyglądającą jak komunikat z Microsoft 365. Nadawca informuje, że skrzynka pocztowa wymaga ponownego uwierzytelnienia. Link prowadzi do strony łudząco podobnej do panelu logowania. Pracownik wpisuje login, hasło i kod MFA. Atakujący próbuje przejąć sesję albo wykorzystać dane w czasie rzeczywistym.
Jeszcze inny scenariusz dotyczy właściciela firmy. Otrzymuje krótkiego maila od osoby podszywającej się pod pracownika: „Jestem na spotkaniu, nie mogę teraz rozmawiać. Proszę opłać tę fakturę, temat jest pilny”. Wiadomość nie musi być długa. Wystarczy, że trafi w odpowiedni moment.
Najgroźniejsze jest to, że takie ataki nie zawsze wyglądają jak „atak”. Często wyglądają jak codzienna praca biurowa.
Phishing nie kończy się na kliknięciu
Wielu użytkowników myśli, że phishing oznacza tylko kliknięcie w zły link. W rzeczywistości kliknięcie jest często dopiero początkiem.
Po kliknięciu atakujący może próbować:
- wyłudzić login i hasło,
- przejąć kod MFA,
- nakłonić do pobrania pliku,
- uruchomić złośliwy skrypt,
- przekierować płatność na inny numer konta,
- zdobyć dostęp do poczty,
- ustawić przekazywanie wiadomości na zewnętrzny adres,
- zebrać informacje do kolejnego, bardziej precyzyjnego ataku.
Właśnie dlatego phishing jest tak niebezpieczny dla firm. Nie musi od razu szyfrować komputerów ani wyłączać serwerów. Czasem wystarczy przejąć skrzynkę e-mail i cierpliwie obserwować korespondencję.
Ministerstwo Cyfryzacji podało, że tylko w 2025 roku CERT Polska obsłużył 260 tys. zgłoszeń incydentów, zablokował ponad 140 mln prób wejścia na niebezpieczne strony i wprowadził 250 tys. szkodliwych domen na Listę Ostrzeżeń. To pokazuje, jak duża jest skala fałszywych stron i prób wyłudzeń w polskiej cyberprzestrzeni.
Dlaczego pracownik może dać się nabrać?
To ważne pytanie, bo w firmach wciąż zbyt często sprowadza się phishing do „braku ostrożności”. To niesprawiedliwe i mało praktyczne podejście.
Dobrze przygotowany phishing wykorzystuje pośpiech, rutynę i zaufanie. Pracownik nie analizuje każdej wiadomości jak śledczy. Ma swoje zadania, terminy, klientów, telefony i zaległości. Jeśli fałszywa wiadomość trafia w odpowiedni kontekst, może wyglądać zupełnie normalnie.
AI dodatkowo zmniejsza liczbę prostych sygnałów ostrzegawczych. Wiadomość może być poprawna językowo. Może mieć naturalny ton. Może nie zawierać przesadnych błędów. Może nawet brzmieć tak, jak zwykły mail od kontrahenta.
Dlatego ochrona przed phishingiem nie może opierać się wyłącznie na czujności człowieka. Człowiek jest ważny, ale potrzebuje wsparcia procedur, konfiguracji poczty, MFA, monitoringu i jasnych zasad.
Na co pracownik powinien zwracać uwagę?
Nie każdy fałszywy mail da się rozpoznać od razu, ale są sygnały, które powinny zapalić czerwoną lampkę.
Podejrzana jest każda wiadomość, która wymusza pośpiech: „dzisiaj”, „natychmiast”, „ostatnie ostrzeżenie”, „konto zostanie zablokowane”, „przelew musi wyjść teraz”.
Ostrożność powinna wzbudzić prośba o zalogowanie się przez link z maila, szczególnie do poczty, banku, Microsoft 365, Google Workspace, panelu hostingu albo systemu księgowego.
Niebezpieczna może być nagła zmiana numeru rachunku bankowego, nawet jeśli wiadomość pochodzi z prawdziwie wyglądającego adresu.
Ryzykowne są też załączniki, których nikt się nie spodziewał: archiwa ZIP, pliki HTML, dokumenty z prośbą o włączenie makr, nietypowe faktury lub „potwierdzenia płatności”.
Warto też sprawdzać domenę nadawcy. Różnica jednej litery może oznaczać podszycie. Przykładowo firma może mieć domenę example.pl, a oszust użyje examp1e.pl albo podobnego wariantu.
Jak firma może się zabezpieczyć?
Najważniejsze jest podejście warstwowe. Nie ma jednego ustawienia, które rozwiąże cały problem. Dobra ochrona poczty firmowej składa się z kilku elementów.
Pierwszy element to konfiguracja poczty. Firma powinna mieć poprawnie ustawione mechanizmy SPF, DKIM i DMARC. Pomagają one ograniczać podszywanie się pod domenę i poprawiają wiarygodność firmowej poczty. Nie zatrzymają każdego phishingu, ale są podstawą profesjonalnej konfiguracji.
Drugi element to ochrona skrzynek. Filtry antyspamowe, antyphishingowe i analiza linków są dziś koniecznością, szczególnie w firmach korzystających z Microsoft 365 lub Google Workspace.
Trzeci element to MFA. Samo hasło nie wystarcza. Dla poczty, VPN, paneli administracyjnych i kont administratorów uwierzytelnianie wieloskładnikowe powinno być standardem.
Czwarty element to mocniejsze metody logowania. Microsoft opisuje passkeys FIDO2 jako poświadczenia zapewniające silne, odporne na phishing uwierzytelnianie. W środowiskach Microsoft Entra można wymuszać logowanie passkey/FIDO2 dla wrażliwych zasobów przez odpowiednie zasady dostępu.
Google również wskazuje, że klucze bezpieczeństwa są najsilniejszą formą weryfikacji dwuetapowej i chronią przed zagrożeniami phishingowymi, a SMS-y jako metoda 2SV są mniej zalecane, ponieważ zależą od sieci operatorów i mogą zostać przechwycone.
Piąty element to procedury płatności. Zmiana numeru konta bankowego nie powinna być akceptowana wyłącznie na podstawie maila. Najlepsza praktyka to potwierdzenie innym kanałem, najlepiej telefonicznie, ale na znany wcześniej numer, a nie numer podany w podejrzanej wiadomości.
Szósty element to monitoring. Warto obserwować nietypowe logowania, nowe reguły przekazywania poczty, logowania z nietypowych lokalizacji, nagłe pobieranie dużej liczby plików i nieudane próby dostępu.
Siódmy element to szkolenia, ale prowadzone praktycznie. Nie chodzi o jednorazową prezentację raz w roku. Lepiej działa regularne przypominanie, omawianie realnych przykładów i prosta procedura zgłaszania podejrzanych wiadomości.
Prosta zasada dla pracowników
W firmie warto wprowadzić jedną prostą zasadę:
Jeśli wiadomość dotyczy pieniędzy, hasła, logowania, danych klienta albo pilnej zmiany w procesie — zatrzymaj się i zweryfikuj ją drugim kanałem.
To nie musi spowalniać pracy. W praktyce jeden telefon może zapobiec utracie pieniędzy, przejęciu poczty albo wyciekowi danych.
Krótka lista kontrolna dla firmy
Warto sprawdzić:
- czy firmowa poczta ma poprawnie skonfigurowane SPF, DKIM i DMARC,
- czy wszystkie konta pocztowe mają włączone MFA,
- czy administratorzy korzystają z mocniejszych metod logowania,
- czy firma monitoruje nietypowe logowania,
- czy pracownicy wiedzą, komu zgłosić podejrzany e-mail,
- czy zmiana numeru rachunku bankowego wymaga dodatkowego potwierdzenia,
- czy konta byłych pracowników są usuwane lub blokowane,
- czy w firmie istnieje procedura reakcji po kliknięciu w podejrzany link.
Jeżeli na kilka z tych pytań odpowiedź brzmi „nie wiem”, to dobry moment, aby wykonać przegląd bezpieczeństwa poczty i kont użytkowników.
Najważniejsze wnioski
Phishing z użyciem AI jest groźny nie dlatego, że jest „magiczny”, ale dlatego, że jest bardziej wiarygodny, szybszy i łatwiejszy do skalowania.
Fałszywe wiadomości coraz częściej są poprawne językowo, dopasowane do kontekstu i pozbawione oczywistych błędów.
Najbardziej narażone są poczta firmowa, konta administratorów, księgowość, osoby zatwierdzające płatności i użytkownicy mający dostęp do danych klientów.
Samo szkolenie pracowników nie wystarczy. Potrzebne są także zabezpieczenia techniczne: MFA, filtrowanie poczty, monitoring logowań, dobre ustawienia domeny i jasne procedury.
Najlepszą ochroną jest połączenie technologii z rozsądną organizacją pracy.