Przejdź do treści
Breachroad
Wróć do bloga
Phishing

Phishing w 2026 roku: dlaczego szkolenia to za mało

Phishing wciąż odpowiada za większość udanych włamań. Wyjaśniamy, dlaczego sama edukacja pracowników nie wystarcza i co dodać do obrony.

KR
Karol Rapacz
28 maja 2026 · 11 min czytania
Phishing w 2026 roku: dlaczego szkolenia to za mało

Phishing pozostaje najczęstszym sposobem uzyskania pierwszego dostępu do firmowej sieci. Nie dlatego, że jest technicznie wyrafinowany, lecz dlatego, że celuje w najtrudniejszy do załatania element — człowieka. Standardową odpowiedzią są szkolenia, ale traktowanie ich jako jedynej obrony to poważny błąd. Skalę widać w danych: w raporcie CERT Polska za 2025 rok phishing odpowiadał za 78 391 incydentów — około 30% wszystkich zgłoszeń.

Dlaczego sama edukacja zawodzi

Szkolenia podnoszą czujność, ale nie eliminują ryzyka. Wystarczy, że na sto osób jedna kliknie w odpowiednim momencie — gdy jest zmęczona, w pośpiechu, a wiadomość trafnie podszywa się pod znanego kontrahenta. Współczesne kampanie są dopracowane: poprawna polszczyzna, prawdziwe logotypy, kontekst zaczerpnięty z mediów społecznościowych, a coraz częściej treść generowana przez modele językowe.

Założenie, że da się wyszkolić ludzi do stuprocentowej skuteczności, jest nierealne. Lepsze pytanie brzmi: co się stanie, gdy ktoś jednak kliknie? Dobrze zaprojektowana obrona zakłada, że do tego dojdzie, i ogranicza skutki.

Warstwa techniczna, która działa niezależnie od czujności

MFA to absolutna podstawa. Jeśli pracownik poda hasło na fałszywej stronie, ale konto chroni drugi składnik, atakujący i tak nie zaloguje się od razu. Warto pamiętać, że nie każde MFA jest równie odporne — kody SMS można przechwycić, a powiadomienia push są podatne na MFA fatigue. Najsilniejszą ochronę dają klucze sprzętowe i passkeye oparte na standardzie FIDO2, odporne na phishing z założenia.

Filtrowanie poczty i uwierzytelnianie nadawców. Poprawnie skonfigurowane mechanizmy SPF, DKIM i DMARC utrudniają podszywanie się pod Twoją domenę i pod zaufanych nadawców. Oznaczanie wiadomości pochodzących spoza organizacji to prosty, a skuteczny sygnał ostrzegawczy.

Ograniczenie skutków przejęcia konta. Zasada minimalnych uprawnień sprawia, że przejęte konto szeregowego pracownika nie daje dostępu do całej infrastruktury. Monitorowanie nietypowych logowań (nowa lokalizacja, niemożliwa podróż) pozwala szybko wykryć nadużycie.

Nowa generacja ataków: AI, quishing i phishing „adversary-in-the-middle”

Klasyczne porady („szukaj literówek”, „sprawdź nadawcę”) przestają wystarczać, bo zmieniła się technologia po stronie atakujących:

  • Treści generowane przez AI. Modele językowe piszą bezbłędną, spersonalizowaną polszczyznę i potrafią naśladować styl konkretnej osoby na podstawie jej publicznych wypowiedzi. Rozpoznawanie phishingu „po języku” jest coraz mniej skuteczne.
  • Adversary-in-the-middle (AiTM). Nowoczesne zestawy phishingowe (np. typu Evilginx) nie podrabiają strony logowania — pośredniczą w prawdziwym logowaniu i przechwytują sesję razem z kodem MFA. Dlatego kody SMS i aplikacje z powiadomieniami push nie chronią przed tym scenariuszem; klucze FIDO2 i passkeye — tak.
  • Quishing. Kody QR w mailach i na wydrukach omijają filtry poczty, bo złośliwy adres URL jest ukryty w obrazku, a ofiara otwiera go na prywatnym telefonie, poza firmowym monitoringiem. Pisaliśmy o tym szerzej w analizie phishingu przez kody QR.
  • Phishing głosowy i deepfake. Coraz częściej kampanie mailowe są wzmacniane telefonem „z działu IT” albo głosem klonowanym z nagrań — szczególnie przy oszustwach na prezesa (BEC).

Wniosek praktyczny: projektując obronę, zakładaj, że wiadomość będzie bezbłędna, strona logowania prawdziwa z wyglądu, a „drugi kanał” (telefon) również może być częścią ataku.

Jak zaprojektować program obrony krok po kroku

Dojrzała ochrona przed phishingiem to program, nie jednorazowy projekt. Sensowna kolejność wdrożenia:

  1. Fundament techniczny (tydzień 1–4): DMARC w trybie monitorowania → kwarantanna → odrzucanie; oznaczanie poczty zewnętrznej; blokowanie doręczeń z domen zarejestrowanych w ostatnich dniach.
  2. Uwierzytelnianie odporne na phishing (miesiąc 1–3): passkeye lub klucze sprzętowe dla administratorów, zarządu i księgowości, docelowo dla wszystkich. Wyłączenie starszych protokołów (IMAP/POP3 z hasłem) i logowania bez MFA.
  3. Ścieżka zgłaszania (miesiąc 1): przycisk „zgłoś phishing” w kliencie poczty, automatyczne potwierdzenie dla zgłaszającego i informacja zwrotna, co się stało ze zgłoszeniem.
  4. Pomiar (kwartalnie): kontrolowana kampania phishingowa mierząca nie tylko kliknięcia, ale przede wszystkim odsetek i czas zgłoszeń.
  5. Reagowanie (stale): playbook na przejęte konto — wymuszenie wylogowania sesji, reset poświadczeń, przegląd reguł skrzynki (atakujący często dodają regułę przekierowującą pocztę na zewnątrz).

Kontrolowane kampanie phishingowe

Najlepszym sposobem na ocenę realnej odporności organizacji jest przeprowadzenie kontrolowanej, autoryzowanej kampanii phishingowej. Nie chodzi o „przyłapanie” pracowników, lecz o twarde dane: jaki odsetek osób kliknęło, ilu podało dane, jak szybko ktokolwiek zgłosił podejrzaną wiadomość.

Ten ostatni wskaźnik — czas i odsetek zgłoszeń — jest często ważniejszy niż liczba kliknięć. Organizacja, w której pracownicy szybko zgłaszają podejrzane wiadomości, daje zespołowi bezpieczeństwa szansę na reakcję, zanim atak się rozwinie.

Proces zgłaszania, który nie karze

Jeśli pracownik boi się przyznać do kliknięcia, dowiesz się o incydencie najpóźniej — gdy będzie już za późno. Kluczowe jest stworzenie kultury, w której zgłoszenie pomyłki jest nagradzane, a nie piętnowane, oraz udostępnienie prostego, jednoklikowego sposobu raportowania podejrzanych wiadomości.

Podsumowanie

Phishing to problem, którego nie rozwiąże ani sama technologia, ani sama edukacja. Skuteczna obrona łączy trzy warstwy: odporne na phishing MFA, techniczne zabezpieczenia poczty oraz świadomych pracowników mających łatwą ścieżkę zgłaszania. Jeśli chcesz poznać realną odporność swojej firmy, zapytaj o kontrolowaną kampanię phishingową — przeprowadzimy ją etycznie i przekażemy konkretne wnioski.

Najczęstsze pytania (FAQ)

Jaki odsetek kliknięć w symulowanej kampanii jest „normalny”? W pierwszych kampaniach typowy wynik to 10–30% kliknięć, zależnie od scenariusza. Ważniejszy jest trend i wskaźnik zgłoszeń: dojrzałe organizacje osiągają ponad 50% zgłoszeń w ciągu pierwszej godziny. Pojedyncza liczba bez kontekstu scenariusza mówi niewiele — dlatego porównuj wyniki między własnymi kampaniami, nie z internetowymi benchmarkami.

Czy MFA przez SMS jest lepsze niż brak MFA? Tak, zdecydowanie — blokuje masowe ataki wykorzystujące same hasła. Ale przy atakach ukierunkowanych (AiTM, SIM swapping) nie stanowi bariery. Strategia: SMS jako minimum dla wszystkich, passkeye/FIDO2 dla kont uprzywilejowanych i finansowych już teraz, docelowo dla całej organizacji.

Jak często prowadzić symulowane kampanie? Kwartalnie, ze zmiennymi scenariuszami i grupami docelowymi. Częstsze kampanie powodują zmęczenie i efekt „zgadywania”, rzadsze nie budują nawyku. Po każdej kampanii kluczowa jest komunikacja wyników — bez wskazywania winnych, za to z pokazaniem, jak wyglądał atak.

Co zrobić w pierwszej kolejności, gdy pracownik podał hasło na fałszywej stronie? Natychmiast: unieważnić wszystkie aktywne sesje konta, zresetować hasło, sprawdzić reguły skrzynki pocztowej i logowania z ostatnich godzin, a jeśli konto ma dostęp do systemów krytycznych — przejrzeć aktywność w tych systemach. Dopiero potem analiza, jak wiadomość przeszła przez filtry.

Czy małe firmy też potrzebują DMARC? Tak — również dlatego, że bez DMARC ktoś może podszywać się pod Twoją domenę wobec Twoich klientów i kontrahentów. Konfiguracja dla małej organizacji to zwykle kilka godzin pracy, a chroni markę, nie tylko skrzynki. W ramach audytu bezpieczeństwa sprawdzamy ją standardowo.

Udostępnij artykuł

Usługi Umów konsultację