16 lip 2026
Zagrożenia i Ataki

AI w phishingu i deepfake'ach. Nowe zagrożenia dla firm

Sztuczna inteligencja stała się bronią cyberprzestępców. Poznaj, jak AI zmienia taktykę ataków phishingowych, deepfake'ów i CEO fraud. Raport 2025 rządu.

Redakcja · 16 lipca 2026
Cyber security concept shown on grunge-style background highlights the importance of digital protection.
Fot. Ann H / Pexels · Pexels License

Sztuczna inteligencja generatywna stała się głównym narzędziem cyberprzestępców i zmieniła reguły gry dla każdej firmy w łańcuchu dostaw. Rządowe sprawozdanie z 2025 roku po raz pierwszy dokumentuje ten przełom wprost — AI jest teraz “mnożnikiem siły” dla atakujących.

Oszustwa komputerowe biją rekordy dzięki AI

Oszustwa komputerowe stanowiły aż 97 proc. wszystkich incydentów obsłużonych przez CSIRT NASK w 2025 roku, czyli ponad 253 tys. zgłoszeń. Całkowita liczba sygnałów od obywateli wyniosła 658 tys. Za tym dramatycznym wzrostem stoi przede wszystkim jedno narzędzie: generatywna sztuczna inteligencja.

Modele językowe są dziś powszechnie wykorzystywane do automatycznego generowania wysoce spersonalizowanych, bezbłędnych językowo wiadomości phishingowych. Są one trudne lub niemożliwe do odróżnienia od autentycznej korespondencji biznesowej. Znikają charakterystyczne błędy gramatyczne i składniowe, które przez lata były najprostszym sygnałem ostrzegawczym dla pracowników. Ta zmiana ma fundamentalne znaczenie — pracownicy nie mogą już polegać na tradycyjnych wskaźnikach, które wcześniej wyłapywały oszustwa.

Deepfake’i i CEO fraud — nowy wymiar zagrożenia

Równolegle technologia deepfake — syntetyczne nagrania audio i wideo — służy do podszywania się pod osoby publiczne, urzędników i kadrę zarządzającą firm. W branży logistycznej i transportu zagrożenie jest szczególnie poważne.

Oszustwo określane jako “CEO fraud” polega na tym, że atakujący podszywa się pod prezesa lub dyrektora finansowego, zlecając pilny przelew, zmianę danych bankowych lub ujawnienie wrażliwych informacji. W środowisku, gdzie decyzje finansowe podejmowane są szybko, a komunikacja z wieloma partnerami toczy się jednocześnie, taka taktyka okazuje się niezwykle efektywna.

Jak AI wspomaga cały proces ataku

Sztuczna inteligencja nie ogranicza się do tworzenia wiadomości. AI przyspiesza również etap przygotowawczy ataków:

  • Automatyzuje rekonesans infrastruktury — skanuje sieci w poszukiwaniu podatności
  • Identyfikuje słabe punkty — znajduje błędnie skonfigurowane usługi chmurowe i nieaktualizowane oprogramowanie
  • Wspomaga pisanie złośliwych skryptów — generuje kod omijający systemy detekcji
  • Tłumaczy kampanie socjotechniczne — dostosowuje ataki do różnych języków i krajów

CSIRT GOV zidentyfikował konkretny przypadek użycia interfejsów AI do generowania komend omijających automatyczne reguły detekcji na zainfekowanej stacji roboczej.

Migracja komunikacji na Signal i WhatsApp — nowa taktyka

Jeden z najistotniejszych trendów opisanych w sprawozdaniu dotyczy kanałów komunikacji i ma bezpośrednie przełożenie na codzienne funkcjonowanie firm.

CSIRT GOV zidentyfikował rosnącą liczbę kampanii socjotechnicznych, w których adwersarze nakłaniają ofiary do przeniesienia komunikacji z poczty służbowej na prywatne, szyfrowane komunikatory — Signal lub WhatsApp. Mechanizm jest prosty:

  • Korporacyjna poczta elektroniczna podlega filtrom antyspamowym, systemom monitorowania i zasadom bezpieczeństwa
  • Prywatny komunikator już nie
  • W grupach pracowniczych na komunikatorach przetwarzane są dane wartościowe: ustalenia operacyjne, dane kontrahentów, informacje o trasach i ładunkach, dane finansowe

Zdobycie dostępu do takiej grupy lub skuteczne podszywanie się pod jednego z jej uczestników otwiera atakującemu szeroki dostęp do wrażliwych informacji organizacyjnych.

Skala zjawiska była na tyle poważna, że pełnomocnik rządu ds. cyberbezpieczeństwa wydał w 2025 roku dwa osobne komunikaty ostrzegawcze — w maju i we wrześniu — dotyczące kampanii phishingowych wymierzonych w użytkowników Signal w Polsce. Mechanizm polegał na podszywaniu się pod oficjalne konto Signal i wyłudzaniu kodów weryfikacyjnych w celu przejęcia kont.

Ataki na łańcuch dostaw — nowa strategia

Dobrze zabezpieczone podmioty kluczowe stają się coraz trudniejszymi celami bezpośrednich ataków. W odpowiedzi cyberprzestępcy kierują się w stronę słabiej chronionych kontraktorów i zewnętrznych dostawców usług IT.

Kompromitacja pojedynczego dostawcy lub serwisanta daje dostęp do środowisk informatycznych wielu instytucji rządowych i operatorów infrastruktury krytycznej jednocześnie. CSIRT GOV potwierdza intensyfikację tego trendu: w 2025 roku zidentyfikowano ataki skoncentrowane na urządzeniach brzegowych infrastruktury zewnętrznych serwisantów — stacjach roboczych pracowników firm obsługujących podmioty krytyczne.

Równolegle CSIRT MON wskazuje, że dostawcy usług chmurowych stają się szczególnie atrakcyjnymi celami z uwagi na efekt skali. Jedna skuteczna kompromitacja usługi chmurowej może zapewnić dostęp do danych i systemów wielu organizacji klienckich jednocześnie.

MŚP w centrum uwagi cyberprzestępców

Małe i średnie przedsiębiorstwa były dotychczas uznawane za cele niższego priorytetu. W 2025 roku ta kalkulacja uległa zmianie — są one coraz częściej rozpoznawane jako wartościowe wektory ataku, zarówno dla bezpośredniego zysku finansowego, jak i jako droga do strategicznego dostępu do większych organizacji w łańcuchu wartości.

Przyczyna jest operacyjna: małe organizacje dysponują:

  • Mniejszymi zasobami na ochronę
  • Ograniczonym dedykowanym personelem bezpieczeństwa
  • Przestarzałym oprogramowaniem i sprzętem
  • Nieadekwatnymi procedurami tworzenia kopii zapasowych
  • Niewystarczającymi szkoleniami z zakresu świadomości bezpieczeństwa

Zautomatyzowane narzędzia skanujące sprawdzają internet w poszukiwaniu firm korzystających ze słabych lub domyślnych haseł, błędnie skonfigurowanych usług chmurowych i nieaktualizowanego oprogramowania. Wyniki są katalogowane i sprzedawane na forach przestępczych, tworząc “trwały krajobraz zagrożeń, w którym małe organizacje napotykają niemal ciągłą presję ataków”.

Cybercrime-as-a-Service — usługi dla każdego

Gwałtowny wzrost liczby i skuteczności ataków nie wynika wyłącznie z AI. Równoległym czynnikiem jest dojrzałość modelu Cybercrime-as-a-Service (CaaS) — ekosystemu, w którym specjalistyczne narzędzia przestępcze są dostępne jako usługi subskrypcyjne dla podmiotów bez zaawansowanych kompetencji technicznych.

W ramach tego ekosystemu funkcjonują:

  • Ransomware-as-a-Service — gotowe zestawy do przeprowadzenia ataku szyfrującego
  • Phishing-as-a-Service — gotowe kampanie wyłudzające dane
  • Brokerzy dostępu początkowego (IAB) — podmioty, które uzyskują nieautoryzowany wejście do systemów firm, a następnie sprzedają ten dostęp innym grupom przestępczym po relatywnie niskich cenach na nielegalnych forach

Model ten radykalnie obniżył barierę wejścia dla cyberprzestępców. Nie trzeba już być zaawansowanym hakerem — wystarczy subskrypcja.

Co to oznacza dla Ciebie i Twojej firmy

Transformacja krajobrazu zagrożeń cyberbezpieczeństwa ma kilka kluczowych implikacji:

Dla pracowników: tradycyjne sygnały ostrzegawcze (błędy gramatyczne w wiadomościach) już nie działają. Musisz być bardziej czujny wobec każdej wiadomości wymagającej podjęcia szybkiej decyzji finansowej lub ujawnienia wrażliwych danych.

Dla małych firm: jesteś teraz w centrum uwagi atakujących. Inwestycja w podstawowe bezpieczeństwo — aktualizacje oprogramowania, silne hasła, kopie zapasowe, szkolenia pracowników — nie jest opcjonalna.

Dla dużych organizacji: twój łańcuch dostaw jest słabszym ogniwem. Atakujący będą celować w dostawców, serwisantów i podwykonawców. Musisz weryfikować ich praktyki bezpieczeństwa.

Dla wszystkich: komunikacja na prywatnych komunikatorach to nie bezpieczeństwo — to zagrożenie. Poczta służbowa z filtrowaniem i monitorowaniem jest bezpieczniejsza niż Signal czy WhatsApp dla wrażliwych rozmów biznesowych.

Najczęstsze pytania

Jak sztuczna inteligencja zmienia ataki phishingowe?

AI generuje bezbłędnie napisane, spersonalizowane wiadomości phishingowe, które są nie do odróżnienia od autentycznej korespondencji biznesowej. Znikają błędy gramatyczne, które przez lata były najprostszym sygnałem ostrzegawczym dla pracowników.

Co to jest CEO fraud i jak go rozpoznać?

CEO fraud to oszustwo, w którym atakujący podszywa się pod prezesa lub dyrektora finansowego (czasem przy użyciu deepfake'ów), zlecając pilny przelew lub zmianę danych bankowych. Szczególnie groźne w firmach logistycznych, gdzie decyzje finansowe podejmowane są szybko.

Dlaczego cyberprzestępcy nakłaniają pracowników do Signal i WhatsApp?

Poczta służbowa podlega filtrom antyspamowym, monitorowaniu i zasadom bezpieczeństwa. Prywatne komunikatory takie jak Signal czy WhatsApp nie mają tych zabezpieczeń, co daje atakującym dostęp do wrażliwych danych operacyjnych i finansowych.

Które firmy są najbardziej zagrożone atakami AI?

Małe i średnie przedsiębiorstwa (MŚP) są coraz częściej celami ataków ze względu na ograniczone zasoby na ochronę, przestarzałe oprogramowanie, brak dedykowanego personelu bezpieczeństwa i niewystarczające szkolenia pracowników.

Co to jest Cybercrime-as-a-Service (CaaS)?

CaaS to ekosystem, w którym specjalistyczne narzędzia przestępcze (ransomware, phishing, dostęp do systemów) są dostępne jako usługi subskrypcyjne dla osób bez zaawansowanych kompetencji technicznych, co radykalnie obniżyło barierę wejścia dla cyberprzestępców.

Na podstawie: Trans.INFO. Tekst opracowany redakcyjnie.