13 lip 2026
Zagrożenia i Ataki

Vishing z AI: jak oszuści kradną konta Microsoft 365 przez telefon

Cyberprzestępcy używają vishingu i sztucznej inteligencji do przejmowania kont Microsoft 365.

Redakcja · 13 lipca 2026
Wooden Scrabble tiles arranged to spell 'Phishing', illustrating online security concepts.
Fot. Ann H / Pexels · Pexels License

Vishing to rodzaj ataku, w którym oszuści dzwonią do pracowników, podając się za pracowników działu IT, aby przejąć ich konta Microsoft 365 — wykorzystując manipulację psychologiczną zamiast tradycyjnych metod hakerskich.

W ostatnich dniach eksperci z Okty i Help Net Security ostrzegają przed falą vishingu wymierzoną w użytkowników Microsoft 365. Cyberprzestępcy połączyli to stare narzędzie ataku — telefon — z nowoczesnymi technologiami, w tym sztuczną inteligencją i fałszywymi procedurami passkey. Rezultat? Coraz więcej przejętych kont firmowych i żądań okupu.

Jak przebiega atak vishingowy na Microsoft 365?

Scenariusz ataku jest prosty, ale skuteczny. Oszust dzwoni do pracownika i podaje się za przedstawiciela działu IT. Informuje, że nadszedł czas na skonfigurowanie nowego klucza dostępu (passkey) do firmowego konta Microsoft 365. Ofiara jest proszona o wejście na konkretną stronę internetową — którą atakujący podaje w rozmowie.

Strona wygląda jak oficjalny panel logowania Microsoft Entra ID. W rzeczywistości to spreparowana witryna phishingowa, która przechwytuje dane logowania i kody uwierzytelniające. Wszystko odbywa się na oczach ofiary, która myśli, że wykonuje standardową procedurę bezpieczeństwa.

Specjaliści z Help Net Security opisują to jako “teatr zbudowany po to, by zająć ofiarę, podczas gdy atakujący finalizuje przejęcie”. Ofiara jest prowadzona za rękę przez fałszywy proces konfiguracji, a w międzyczasie hakerzy wykorzystują technikę adversary-in-the-middle (AiTM) do przechwycenia sesji i uzyskania tokena dostępu.

Grupa Pink i metoda ekstorsji

Grupa ekstorsyjna o nazwie Pink jest jedną z głównych aktorów przeprowadzających te ataki. Po przejęciu konta nie tylko czytają firmową korespondencję i podszywają się pod pracowników — żądają również okupu za odblokowanie konta. Ataki są wymierzone przede wszystkim w pracowników firm korzystających z Microsoft 365, zarówno w sektorze prywatnym, jak i publicznym.

Przejęcie konta oznacza dostęp do całej firmowej komunikacji, możliwość wykradzenia poufnych danych i potencjalne rozprzestrzenienie się ataku na inne osoby w organizacji.

Forg365 — platforma phishingu z AI

Nowa platforma phishing-as-a-service o nazwie Forg365, opisana przez BleepingComputer, idzie o krok dalej. Wykorzystuje sztuczną inteligencję do generowania wiarygodnych treści — fałszywych wiadomości e-mail i stron logowania, które idealnie naśladują komunikację Microsoftu.

AI potrafi dostosować język i układ strony do konkretnej firmy, co sprawia, że nawet doświadczeni pracownicy mogą dać się nabrać. Platforma łączy dwie techniki ataku:

Adversary-in-the-Middle (AiTM)

Haker pośredniczy między ofiarą a serwerem Microsoftu, przechwytując sesję i tokeny dostępu w trakcie logowania.

Device Code Phishing

Ofiara jest proszona o wpisanie kodu wyświetlonego na fałszywej stronie do oficjalnego okna logowania Microsoftu. W ten sposób hakerzy uzyskują token dostępu bez konieczności kradzieży hasła.

Cały proces jest zautomatyzowany i może być przeprowadzony w kilka minut. Platforma Forg365 jest dostępna jako usługa dla innych cyberprzestępców, co sprawia, że atak staje się jeszcze bardziej skalowany.

Dlaczego vishing jest trudny do obrony?

Eksperci z Okty podkreślają, że vishing staje się coraz popularniejszy, ponieważ atakujący omijają w ten sposób wiele zabezpieczeń technicznych. Ofiara sama akceptuje prośbę o podanie kodu czy kliknięcie w link — nie ma potrzeby przełamywania firewalli, antywirusów czy innych systemów ochrony sieciowej.

To jest kluczowa różnica między vishingiem a tradycyjnymi atakami cybernetycznymi. Zabezpieczenia techniczne są bezużyteczne, gdy atakujący manipuluje człowiekiem.

Jak się bronić przed vishingiem na Microsoft 365?

Oto kilka praktycznych zasad, które mogą uchronić Ciebie i Twoją organizację:

Nigdy nie udostępniaj kodów na telefon. Jeśli ktoś dzwoni i prosi o kod uwierzytelniający, to na pewno oszust. Microsoft nigdy nie będzie prosić o takie kody przez telefon.

Sprawdzaj numery telefonów. Jeśli otrzymasz telefon z prośbą o aktualizację zabezpieczeń, zawsze przerwij połączenie i zadzwoń na oficjalny numer działu IT Twojej firmy.

Weryfikuj linki przed kliknięciem. Nawet jeśli link wygląda oficjalnie, najedź na niego myszką (na komputerze) lub długo naciśnij (na telefonie), aby zobaczyć rzeczywisty adres URL.

Uważaj na fałszywe strony logowania. Oficjalna strona Microsoft to login.microsoftonline.com lub login.microsoft.com. Każda inna domena to potencjalny phishing.

Zawsze wejdź bezpośrednio. Zamiast klikać w link z e-maila lub wpisywać adres z pamięci, zawsze wejdź na stronę Microsoftu bezpośrednio z przeglądarki, wpisując adres w pasek adresu.

Edukacja pracowników. Przeprowadzaj regularne szkolenia z cyberbezpieczeństwa, zwłaszcza dotyczące vishingu i phishingu. Pracownicy to pierwsza linia obrony.

Co to oznacza dla użytkowników Microsoft 365?

Nowa fala vishingu na Microsoft 365 to sygnał, że cyberprzestępcy coraz chętniej sięgają po telefon jako narzędzie ataku. W dobie AI i zautomatyzowanych platform phishingowych każdy telefon z prośbą o “aktualizację zabezpieczeń” powinien wzbudzić czujność.

Dla organizacji oznacza to konieczność wdrożenia wielowarstwowej obrony: zarówno technicznych (uwierzytelnianie wieloskładnikowe, monitorowanie anomalii), jak i edukacyjnych (szkolenia pracowników). Dla indywidualnych użytkowników — pamiętaj, że lepiej przerwać rozmowę i sprawdzić poprzez oficjalny kanał, niż stracić dostęp do konta i ryzyka wykradzenia danych.

Grupa Pink i inne grupy ekstorsyjne będą kontynuować te ataki, dopóki będą skuteczne. Twoja czujność i wiedza to najlepsze narzędzie obrony.

Najczęstsze pytania

Co to jest vishing i jak różni się od phishingu?

Vishing to atak przeprowadzany przez telefon, w którym oszust podaje się za pracownika IT lub innej zaufanej instytucji. Phishing to natomiast atak e-mailowy lub przez stronę internetową. Vishing jest bardziej osobisty i trudniej go zidentyfikować, bo wykorzystuje manipulację psychologiczną w rozmowie.

Jak działa passkey phishing w atakach na Microsoft 365?

Oszust dzwoni, podając się za IT, i mówi, że trzeba skonfigurować nowy klucz dostępu (passkey). Ofiara wchodzi na fałszywą stronę logowania, gdzie podaje dane. Hakerzy przechwytują sesję techniką adversary-in-the-middle (AiTM) i uzyskują dostęp do konta bez konieczności kradzieży hasła.

Co może zrobić haker po przejęciu konta Microsoft 365?

Haker może czytać firmową korespondencję, podszywać się pod pracownika w e-mailach, wykradać poufne dane, a także żądać okupu za odblokowanie konta. W przypadku grupy Pink ataki są celowo wymierzone w pracowników sektora prywatnego i publicznego.

Jak rozpoznać fałszywą stronę logowania Microsoft Entra ID?

Sprawdź URL — oficjalna strona to login.microsoftonline.com lub login.microsoft.com. Zwróć uwagę na błędy ortograficzne, dziwne formatowanie lub nieoficjalny wygląd. W razie wątpliwości zawsze wejdź bezpośrednio ze strony microsoft.com, a nie z linku z e-maila lub telefonu.

Czy AI może stworzyć wiarygodny fałszywy e-mail Microsoft?

Tak — platforma Forg365 wykorzystuje AI do generowania e-maili i stron logowania, które idealnie naśladują komunikację Microsoftu. AI potrafi dostosować język i układ do konkretnej firmy, co sprawia, że nawet doświadczeni pracownicy mogą się dać nabrać.

Na podstawie: WP. Tekst opracowany redakcyjnie.