Większość poważnych incydentów bezpieczeństwa w firmach nie zaczyna się od genialnego włamania do serwerów. Zaczyna się od jednego maila, który ktoś otworzył w pośpiechu między spotkaniami. Phishing to dziś najtańszy i najskuteczniejszy sposób, w jaki przestępcy dostają się do firmowych danych, kont i pieniędzy, bo zamiast łamać zabezpieczenia, po prostu proszą pracownika, żeby sam otworzył im drzwi. W tym artykule pokażemy na konkretnych przykładach, jak działa phishing w firmie, po czym poznać podejrzaną wiadomość oraz, co równie ważne, co zrobić w pierwszych minutach po tym, jak ktoś już kliknął.

Czym jest phishing i dlaczego firmy są celem nr 1

Phishing to forma oszustwa, w której napastnik podszywa się pod zaufaną osobę lub instytucję: bank, kuriera, dostawcę oprogramowania, a coraz częściej pod współpracownika czy prezesa, żeby nakłonić ofiarę do wykonania konkretnej czynności. Najczęściej chodzi o kliknięcie w link prowadzący do fałszywej strony, podanie loginu i hasła, otwarcie zainfekowanego załącznika albo wykonanie przelewu.

Mechanizm działa, bo nie atakuje technologii, tylko człowieka. To klasyczna socjotechnika: zamiast szukać luki w systemie, przestępca wykorzystuje pośpiech, zaufanie, rutynę i respekt wobec przełożonych. Dlatego firmy są celem numer jeden. W organizacji jest wielu pracowników, każdy z dostępem do jakichś zasobów, a wystarczy, że pomyli się jeden z nich. Dział IT może mieć wzorowo skonfigurowane backupy, antywirusy i procedury, a i tak jedno nieostrożne kliknięcie potrafi uruchomić cały łańcuch zdarzeń: od kradzieży danych klientów, przez przejęcie skrzynki pocztowej, aż po atak ransomware.

Rodzaje phishingu, na które narażona jest Twoja firma

Phishing dawno przestał być masową wysyłką „nigeryjskich spadków”. W firmowym kontekście spotkasz kilka znacznie groźniejszych odmian.

Spear phishing i „oszustwo na prezesa” (BEC)

O ile zwykły phishing to sieć zarzucona na tysiące osób, o tyle spear phishing to wędka z przynętą dopasowaną do jednej, konkretnej ofiary. Napastnik najpierw zbiera informacje z LinkedIn, strony firmowej i wcześniejszych wycieków danych, a potem pisze wiadomość, która brzmi wiarygodnie, bo zna imiona, stanowiska i kontekst.

Szczególnie kosztowną odmianą jest tzw. oszustwo na prezesa (BEC, Business Email Compromise). Pracownik księgowości dostaje maila, który wygląda, jakby pochodził od członka zarządu: „Jestem na spotkaniu, potrzebuję pilnie opłacić fakturę dla nowego kontrahenta, prześlij przelew dziś do końca dnia”. Presja czasu, autorytet nadawcy i pozorna rutynowość zadania sprawiają, że pieniądze trafiają na konto przestępcy, zanim ktokolwiek zdąży zadzwonić i zweryfikować polecenie.

Smishing, czyli phishing przez SMS

Smishing to phishing przeniesiony na SMS-y i komunikatory. Krótka wiadomość o „niedopłacie do paczki na 1,80 zł”, „zablokowanym koncie” albo „dopłacie do rachunku za prąd” prowadzi do strony łudząco podobnej do prawdziwej. W firmie smishing często celuje w pracowników terenowych i handlowców, którzy klikają w pośpiechu na telefonie, gdzie trudniej dostrzec podejrzany adres niż na ekranie komputera.

Quishing, czyli fałszywe kody QR

Coraz popularniejszy w 2026 roku wariant to quishing, czyli phishing ukryty w kodzie QR. Kod może trafić na maila, na wydrukowaną „fakturę”, a nawet na naklejkę przyklejoną na prawdziwym parkomacie czy plakacie. Zeskanowanie telefonem prowadzi na fałszywą stronę płatności lub logowania. Quishing jest groźny, bo omija część filtrów pocztowych (kod to obrazek, nie link) i przenosi atak na prywatny telefon pracownika, poza zasięg firmowych zabezpieczeń.

Vishing i deepfake głosowy

Vishing to oszustwo przez telefon. Ktoś dzwoni, podając się za „dział IT”, „bank” albo „audytora”, i wyłudza dane lub nakłania do instalacji programu do zdalnego dostępu. W 2026 roku doszedł do tego nowy, niepokojący element: deepfake głosowy. Mając kilkadziesiąt sekund nagrania (na przykład z webinaru albo poczty głosowej), przestępca potrafi wygenerować głos brzmiący jak prezes czy dyrektor finansowy i zadzwonić z „pilnym poleceniem”. To ten sam mechanizm, który w dobrym wydaniu napędza firmowe głosowe asystenty AI, tyle że obrócony przeciwko organizacji.

Phishing w 2026: dlaczego maile od AI są groźniejsze

Przez lata najprostszą radą było: „uważaj na literówki i łamaną polszczyznę”. Ta rada się zdezaktualizowała. Dzisiejszy phishing jest pisany przez modele językowe, więc maile są bezbłędne, naturalne i spersonalizowane. Zniknęły charakterystyczne błędy, dziwne tłumaczenia i ogólnikowe powitania, po których kiedyś łatwo było rozpoznać oszustwo.

Sztuczna inteligencja zmieniła phishing na trzech poziomach. Po pierwsze, skala: przestępca może w kilka minut wygenerować setki wariantów wiadomości dopasowanych do branży i stanowiska. Po drugie, personalizacja: model potrafi połączyć dane z LinkedIn, ze strony firmy i z wcześniejszych wycieków w wiarygodny scenariusz. Po trzecie, wielokanałowość: ten sam atak może przyjść mailem, SMS-em i telefonem z podrobionym głosem, wzajemnie się uwiarygadniając. Więcej o tym, jak AI zmienia obie strony barykady, piszemy w artykule jak sztuczna inteligencja zmienia cyberbezpieczeństwo.

Wniosek jest prosty: nie da się już rozpoznawać phishingu „na oko” po jakości języka. Trzeba patrzeć na sygnały, które są niezależne od tego, jak ładnie napisano wiadomość.

Jak rozpoznać phishing: 8 czerwonych flag

Niezależnie od kanału i odmiany, większość ataków zdradza się kilkoma powtarzalnymi sygnałami. Warto, by każdy pracownik znał tę listę na pamięć.

1. Adres nadawcy nie zgadza się z treścią. Nazwa wyświetlana brzmi znajomo, ale prawdziwy adres e-mail to losowy ciąg znaków albo domena z drobną literówką (na przykład dataile.pl zamiast dataone.pl). Zawsze sprawdzaj pełny adres, nie tylko nazwę.
2. Presja czasu i straszenie. „Konto zostanie zablokowane w ciągu 24 godzin”, „ostatnie ostrzeżenie”, „pilne, zanim wyjdę ze spotkania”. Sztuczny pośpiech ma wyłączyć myślenie i skłonić do szybkiego działania.
3. Link, który prowadzi gdzie indziej, niż wskazuje. Najedź kursorem na link (bez klikania) i sprawdź, dokąd faktycznie prowadzi. Na telefonie przytrzymaj palec na linku, by zobaczyć adres. Skróty URL i dziwne domeny to ostrzeżenie.
4. Nieoczekiwany załącznik. Faktura, której nie zamawiałeś, „CV”, „potwierdzenie przelewu” w formacie, który prosi o włączenie makr, to klasyczny nośnik złośliwego oprogramowania.
5. Prośba o dane logowania lub płatność. Żadna prawdziwa instytucja nie poprosi mailem o podanie hasła, pełnego numeru karty czy kodu z SMS-a. Prośba o przelew „od zarządu” zawsze wymaga weryfikacji innym kanałem.
6. Niespójność szczegółów. Logo lekko inne niż zwykle, stopka bez prawdziwych danych firmy, mieszanka języków, ton nieco inny niż w dotychczasowej korespondencji.
7. Ogólne lub nienaturalnie spersonalizowane powitanie. Zarówno bezosobowe „Szanowny Kliencie”, jak i podejrzanie dokładne „Cześć Aniu, w sprawie projektu X” mogą być sygnałem. To drugie szczególnie wtedy, gdy przychodzi z nieoczekiwanego kontekstu.
8. Nietypowy kanał lub pora. Prezes, który nigdy nie pisze SMS-ów, nagle prosi SMS-em o pilną przysługę. Kontrahent wysyłający nowy numer konta tuż przed terminem płatności. Zmiana zwyczajowego kanału to moment na czujność.

Pracownik kliknął: co zrobić w pierwszych 15 minutach

Załóżmy najgorsze: ktoś już kliknął, podał dane albo otworzył załącznik. W tym momencie liczy się czas, a nie szukanie winnych. Im szybciej zadziałacie, tym mniejsza szkoda. Oto checklista pierwszej pomocy:

1. Odetnij urządzenie od sieci. Wyłącz Wi-Fi i odłącz kabel. To ogranicza rozprzestrzenianie się złośliwego oprogramowania i blokuje zdalny dostęp napastnika. Nie wyłączaj komputera, bo może być potrzebny do analizy.
2. Natychmiast zgłoś incydent do działu IT lub dostawcy usług IT. Bez wstydu i zwłoki. Wczesne zgłoszenie to najważniejszy czynnik ograniczający straty.
3. Zmień hasła z innego, bezpiecznego urządzenia. Zacznij od konta, którego dotyczył atak (poczta, system firmowy), a potem od wszystkich miejsc, gdzie używano tego samego hasła.
4. Włącz lub zweryfikuj uwierzytelnianie wieloskładnikowe (MFA). Nawet jeśli hasło wyciekło, MFA może powstrzymać przejęcie konta.
5. Uruchom pełne skanowanie antywirusowe lub EDR na zainfekowanym urządzeniu i sprawdź, czy nie pojawiły się nowe reguły przekierowania poczty lub nieznane logowania.
6. Monitoruj konta finansowe i pocztowe przez kolejne dni, szczególnie pod kątem nieautoryzowanych przelewów i wiadomości wysłanych „w Twoim imieniu”.

Gdzie zgłosić phishing

W Polsce podejrzane wiadomości warto zgłosić do CERT Polska. Fałszywe SMS-y można przesłać bezpłatnie na numer 8080, a incydenty mailowe zgłosić przez formularz na stronie CERT Polska (incydent.cert.pl). Jeśli doszło do straty finansowej lub kradzieży danych, zgłoś sprawę także na policję, a w przypadku danych osobowych rozważ obowiązki wynikające z RODO. Zgłoszenie nie tylko pomaga Tobie. Pozwala zablokować kampanię, zanim trafi do kolejnych firm.

Jak zabezpieczyć firmę przed phishingiem na stałe

Reagowanie po fakcie jest konieczne, ale prawdziwa odporność bierze się z połączenia technologii i ludzi. Same narzędzia nie wystarczą, jeśli pracownicy nie wiedzą, na co patrzeć, i odwrotnie.

Warstwa techniczna:

• filtrowanie poczty i ochrona przed podszywaniem (SPF, DKIM, DMARC), by ograniczyć podrabianie firmowej domeny,
• uwierzytelnianie wieloskładnikowe (MFA) na wszystkich kontach, bo to jedno z najskuteczniejszych pojedynczych zabezpieczeń,
• ochrona urządzeń końcowych klasy EDR/XDR, która wychwytuje podejrzane działania nawet po kliknięciu,
• filtrowanie DNS i blokowanie znanych złośliwych domen,
• regularne aktualizacje i ograniczanie uprawnień do niezbędnego minimum.

Warstwa ludzka:

• cykliczne szkolenia z cyberbezpieczeństwa dla pracowników, oparte na realnych przykładach, a nie na suchych regułkach,
• kontrolowane symulacje phishingu, które bezpiecznie pokazują, kto i na co się nabiera, oraz pozwalają uczyć się bez realnych konsekwencji,
• jasna, prosta procedura zgłaszania podejrzanych wiadomości („w razie wątpliwości zgłoś, nie klikaj”),
• zasada weryfikacji „drugim kanałem” przy każdej prośbie o przelew lub zmianę numeru konta.

Warto połączyć ten temat z szerszym przeglądem zabezpieczeń. Pomocny będzie nasz artykuł o audycie bezpieczeństwa IT i ukrytych lukach w biurze oraz teksty o pokrewnych zagrożeniach: spoofingu, fałszywych wiadomościach Meta i ochronie przed ransomware.

Nie czekaj, aż ktoś kliknie

Phishing jest tani dla przestępców i kosztowny dla firm, ale odporność da się zbudować. Połączenie dobrze skonfigurowanych zabezpieczeń, jasnych procedur i regularnie szkolonych pracowników sprawia, że pojedyncze kliknięcie przestaje być katastrofą.

Jeśli chcesz sprawdzić, jak Twoja firma poradziłaby sobie z realnym atakiem, Dataone pomoże przeprowadzić audyt odporności na phishing, wdrożyć zabezpieczenia i przeszkolić zespół. Skontaktuj się z nami i zamień najsłabsze ogniwo w pierwszą linię obrony.