Co to jest phishing i jak działa w firmie?

Phishing to metoda wyłudzania dostępu, pieniędzy albo danych przez podszycie się pod zaufaną osobę, firmę lub usługę. W firmach nie jest to już tylko fałszywy e-mail z linkiem do podejrzanej strony. Coraz częściej phishing wygląda jak cały proces: wiadomość, strona logowania, SMS, kod QR, rozmowa telefoniczna, komunikator, fałszywy helpdesk, przejęcie sesji albo nadużycie legalnej platformy używanej na co dzień w pracy.

Najważniejsze jest zrozumienie, że phishing nie działa dlatego, że użytkownicy są naiwni. Działa, bo wykorzystuje zaufanie, pośpiech i rutynę. Pracownik dostaje faktury, powiadomienia z systemów firmowych, zaproszenia do dokumentów, SMS-y od kurierów, wiadomości z komunikatorów i telefony od osób podających się za wsparcie techniczne. Atakujący próbują wejść właśnie w ten codzienny rytm. Im bardziej wiadomość pasuje do zwykłej pracy, tym trudniej zatrzymać się przed kliknięciem, podaniem danych albo wykonaniem przelewu.

Co to jest phishing? Krótka definicja

Phishing to technika socjotechniczna, w której atakujący podszywa się pod zaufany podmiot, żeby nakłonić ofiarę do działania korzystnego dla napastnika. Tym działaniem może być kliknięcie w link, wpisanie hasła, zatwierdzenie logowania MFA, czyli uwierzytelniania wieloskładnikowego, wykonanie przelewu, podanie danych karty albo otwarcie załącznika ze złośliwym oprogramowaniem.

Nazwa phishing nawiązuje do angielskiego słowa fishing, czyli wędkowania. To dobre skojarzenie, bo atakujący przygotowuje przynętę i liczy, że ktoś zareaguje. W przeciwieństwie do ataku polegającego na siłowym łamaniu zabezpieczeń, phishing próbuje przekonać człowieka, żeby sam wykonał niebezpieczne działanie. Dlatego jest tak skuteczny: omija część technologii, uderzając w decyzję użytkownika.

Według MITRE ATT&CK phishing należy do technik wejścia początkowego, czyli sposobów uzyskania pierwszego dostępu do środowiska ofiary. CERT Polska regularnie pokazuje w swoich komunikatach i raportach, że wyłudzenia danych, podszywanie się pod znane marki i fałszywe wiadomości są jednymi z najczęściej obserwowanych zagrożeń w Polsce.

Jak działa phishing w firmie

Phishing jest procesem, a nie pojedynczym kliknięciem. Zaczyna się od przygotowania przynęty. Atakujący wybiera scenariusz, który ma pasować do odbiorcy: faktura, reset hasła, zaległa płatność, informacja od kuriera, zaproszenie do dokumentu, powiadomienie z Microsoft 365 albo telefon z helpdesku. Może zarejestrować domenę podobną do prawdziwej, przygotować fałszywą stronę logowania, użyć przejętego konta e-mail albo wysłać wiadomość przez legalną platformę SaaS.

Następnie wiadomość trafia do użytkownika przez kanał, któremu ten naturalnie ufa. Może to być e-mail, SMS, komunikator, kod QR, rozmowa telefoniczna albo powiadomienie z narzędzia takiego jak SharePoint, Teams, GitHub czy Jira. Treść zwykle zawiera element presji: konto zostanie zablokowane, faktura jest przeterminowana, dokument czeka na podpis, przełożony potrzebuje szybkiej decyzji, a dział IT prosi o pilne potwierdzenie dostępu.

Jeżeli ofiara przejdzie dalej, trafia do procesu kontrolowanego przez atakującego. Może to być fałszywa strona logowania, formularz płatności, załącznik ze złośliwym oprogramowaniem albo rozmowa z osobą podszywającą się pod wsparcie techniczne. Celem jest przejęcie hasła, kodu MFA, danych karty, sesji użytkownika, pieniędzy albo dostępu do urządzenia. Przejęte konto może potem służyć do kradzieży danych, eskalacji dostępu, wysyłki kolejnych wiadomości phishingowych albo przygotowania bardziej przekonującego ataku wewnątrz organizacji.

Dlaczego phishing działa w firmach

Phishing działa, bo trafia w realne warunki pracy. Pracownicy obsługują dziesiątki wiadomości dziennie, często pod presją terminów i z użyciem wielu systemów naraz. Praca zdalna i hybrydowa dodatkowo rozmywa granicę między środowiskiem służbowym a prywatnym. Ten sam telefon służy do odbioru SMS-a od kuriera, powiadomienia bankowego, wiadomości z komunikatora i kodu MFA do systemu firmowego.

Dużą rolę odgrywają platformy SaaS, czyli software as a service, a więc narzędzia dostępne jako usługa w chmurze. Microsoft 365, Teams, SharePoint, GitHub, Jira, Salesforce, DocuSign czy Dropbox są częścią codziennej pracy. Atakujący wiedzą, że użytkownicy ufają takim powiadomieniom, dlatego coraz częściej próbują nadużywać legalnych platform albo kopiować ich wygląd. Wiadomość z udostępnionym dokumentem, zaproszenie do repozytorium albo alert o wygasającym haśle wygląda wiarygodnie, bo przypomina coś, co pracownik widział już wiele razy.

W firmach szczególnie groźne są fałszywe faktury, BEC oraz scenariusze helpdeskowe. BEC, czyli Business Email Compromise, to oszustwo oparte na przejęciu lub podrobieniu korespondencji biznesowej, najczęściej po to, żeby wymusić przelew, zmianę numeru rachunku albo przesłanie dokumentów. MFA fatigue, czyli zmęczenie powiadomieniami autoryzacyjnymi, polega z kolei na zasypywaniu użytkownika prośbami o zatwierdzenie logowania, aż przez pomyłkę lub z irytacji zaakceptuje jedną z nich. W scenariuszu helpdeskowym atakujący może zadzwonić, podać się za wsparcie IT i poprosić o kod, instalację narzędzia zdalnego dostępu albo zmianę hasła.

Najczęstsze rodzaje phishingu

Phishing e-mail

Phishing e-mail to najbardziej znana forma ataku. Wiadomość podszywa się pod bank, kuriera, urząd, pracodawcę, dostawcę albo platformę SaaS i prowadzi do fałszywej strony logowania, formularza płatności albo złośliwego załącznika. Kampanie masowe liczą na skalę, ale nawet prosta wiadomość może być skuteczna, jeśli trafi w odpowiedni moment: fakturę do opłacenia, reset hasła albo pilne powiadomienie z systemu.

Smishing, czyli phishing SMS

Smishing to phishing realizowany przez SMS. Krótka wiadomość od rzekomego kuriera, banku, urzędu albo operatora zawiera link do fałszywej strony, dopłaty lub formularza z danymi karty. Telefon sprzyja szybkim reakcjom, a mały ekran utrudnia spokojną weryfikację adresu. Więcej o tym mechanizmie opisujemy w artykule Smishing: SMS phishing - zagrożenie dla firm i użytkowników oraz w analizie konkretnej kampanii Fałszywy SMS od DPD.

Vishing, czyli phishing głosowy

Vishing to phishing prowadzony przez rozmowę telefoniczną. Oszust może podać się za pracownika banku, działu IT, helpdesku, dostawcę albo przełożonego i prowadzić rozmowę tak, aby ofiara podała kod, zainstalowała narzędzie zdalnego dostępu, zatwierdziła transakcję albo wykonała działanie poza standardową procedurą. Telefon jest groźny, bo rozmówca może reagować na wątpliwości w czasie rzeczywistym i wzmacniać presję.

Quishing, czyli phishing przez kody QR

Quishing wykorzystuje kody QR. Kod może znajdować się w e-mailu, dokumencie, na plakacie, naklejce albo fałszywym powiadomieniu. Po zeskanowaniu użytkownik trafia na stronę logowania, płatności albo formularz przygotowany przez atakującego. Ten wariant jest trudniejszy dla części filtrów poczty, bo link ukryty jest w obrazie, a samo skanowanie odbywa się często telefonem poza firmową ochroną przeglądarki.

Spear phishing i ataki na konkretne osoby

Spear phishing to atak celowany. Zamiast wysłać tę samą wiadomość do tysięcy osób, napastnik zbiera informacje o konkretnej ofierze, dziale albo organizacji: stanowisko, projekty, dostawców, przełożonych, narzędzia i styl komunikacji. Wiadomość wygląda wtedy jak naturalny element pracy, a nie masowy spam. Właśnie dlatego spear phishing jest trudniejszy do rozpoznania i często skuteczniejszy wobec osób decyzyjnych.

BEC, czyli oszustwa na przelew i korespondencję biznesową

BEC, czyli Business Email Compromise, polega na nadużyciu zaufania w korespondencji biznesowej. Atakujący podszywa się pod prezesa, dyrektora finansowego, kontrahenta albo dostawcę i próbuje doprowadzić do przelewu, zmiany numeru rachunku bankowego lub przesłania poufnych dokumentów. W tym wariancie złośliwy link nie zawsze jest potrzebny. Wystarczy dobrze napisany e-mail, przejęty wątek korespondencji i presja, aby zadziałać szybko.

Phishing Microsoft 365 i przejęcie konta

Microsoft 365 jest jednym z najczęściej imitowanych środowisk w phishingu biznesowym. Fałszywe powiadomienia mogą dotyczyć wygaśnięcia hasła, udostępnionego dokumentu, poczty głosowej, blokady konta albo konieczności ponownego logowania. Po przejęciu konta atakujący może przeszukać korespondencję, utworzyć reguły przekierowania, wysłać wiadomości do kontaktów ofiary i przygotować kolejny atak już z prawdziwego adresu. Szczegółowy przykład znajdziesz w analizie fałszywego powiadomienia SharePoint i przejęcia konta Microsoft 365.

AiTM, czyli phishing omijający MFA

AiTM oznacza Adversary-in-the-Middle, czyli atak pośrednika. W takim scenariuszu serwer atakującego pośredniczy między ofiarą a prawdziwą stroną logowania. Użytkownik widzi znajomy ekran, wpisuje dane i zatwierdza MFA, czyli uwierzytelnianie wieloskładnikowe. Atakujący próbuje przechwycić sesję po poprawnym logowaniu, dlatego samo MFA nie zawsze wystarcza. Więcej o tym piszemy w analizie phishingu omijającego MFA z techniką AiTM.

Phishing przez legalne platformy SaaS

Coraz więcej ataków wykorzystuje legalne platformy SaaS, czyli usługi chmurowe używane w codziennej pracy. Wiadomość może przyjść przez SharePoint, Teams, GitHub, Jira, DocuSign, Dropbox albo inne narzędzie, które normalnie budzi zaufanie. Problem polega na tym, że prawdziwy kanał komunikacji może prowadzić do fałszywego procesu: strony logowania, złośliwego pliku albo formularza kontrolowanego przez atakującego.

Przykłady phishingu, które pracownik może zobaczyć w praktyce

Najprostsze przykłady nadal dotyczą faktur, załączników i malware, czyli złośliwego oprogramowania. Pracownik dostaje wiadomość z tematem sugerującym zaległą fakturę, zamówienie albo dokument księgowy. Załącznik może mieć format ZIP, HTML, ISO, LNK albo dokumentu Office. Po otwarciu i uruchomieniu pliku może dojść do instalacji programu wykradającego dane, przejęcia sesji albo uruchomienia dalszego łańcucha ataku. Ten scenariusz opisujemy szerzej w materiale Złośliwy załącznik w mailu z fakturą ZIP.

Drugą dużą grupą są SMS-y kurierskie, dopłaty i płatności. Wiadomość od rzekomego kuriera informuje o problemie z dostawą, błędnym adresie albo niewielkiej dopłacie. Link prowadzi do strony wyglądającej jak serwis przewoźnika, ale jej celem jest wyłudzenie danych karty płatniczej lub danych kontaktowych. Podobnie działają fałszywe SMS-y o mandatach, dopłatach urzędowych albo blokadach konta.

W środowisku firmowym bardzo częste są przynęty związane z Microsoft 365, SharePoint i Teams. Wiadomość może mówić o udostępnionym dokumencie, nowej wiadomości głosowej, wygasającym haśle albo konieczności zatwierdzenia dostępu. Użytkownik przechodzi na stronę, która wygląda jak prawdziwe logowanie Microsoft, a wpisane dane trafiają do atakującego. Jeżeli atak jest bardziej zaawansowany, może obejmować również próbę przejęcia sesji po zatwierdzeniu MFA.

Kody QR dodają kolejny problem, bo przenoszą atak z komputera na telefon. Pracownik widzi kod w e-mailu, dokumencie, plakacie lub prezentacji i skanuje go urządzeniem mobilnym. Na małym ekranie trudniej ocenić pełny adres strony, a telefon często działa poza firmową warstwą ochrony poczty. Właśnie dlatego quishing coraz częściej pojawia się w scenariuszach awareness.

Osobną kategorią są helpdesk, Meta Business i komunikaty urzędowe lub bankowe. W pierwszym przypadku pracownik odbiera telefon od osoby podszywającej się pod wsparcie IT i słyszy prośbę o kod, reset hasła lub instalację narzędzia zdalnego dostępu. W drugim właściciel strony firmowej na Facebooku dostaje powiadomienie o rzekomym naruszeniu regulaminu albo konieczności aktywacji funkcji. W trzecim scenariuszu wiadomość udaje urząd skarbowy, ZUS, bank, komornika albo inną instytucję, której komunikaty naturalnie wywołują stres i pośpiech.

Jak rozpoznać phishing

Nie ma jednego sygnału, który zawsze przesądza, że wiadomość jest phishingiem. Nowoczesne kampanie potrafią być dobrze napisane, poprawne językowo, spójne graficznie i wysłane przez legalną usługę. Dlatego rozpoznawanie phishingu nie powinno polegać na szukaniu jednego błędu, lecz na ocenie całego procesu: kto pisze, czego chce, jaką ścieżkę proponuje i czy to pasuje do normalnego sposobu pracy.

Najważniejszy moment to zatrzymanie się przed wykonaniem działania. Jeżeli wiadomość prowadzi do logowania, płatności, pobrania pliku, podania kodu MFA albo obejścia procedury, warto sprawdzić ją innym kanałem. Nie przez link z wiadomości, ale przez samodzielnie wpisany adres, znany numer telefonu, oficjalny system albo kontakt z osobą, która rzekomo wysłała prośbę.

Pięć sygnałów ostrzegawczych powinno szczególnie zwrócić uwagę:

• presja czasu, blokada konta, pilna płatność albo groźba konsekwencji,
• nietypowy adres nadawcy, domena podobna do prawdziwej lub dziwny adres strony,
• prośba o hasło, kod MFA, dane karty albo instalację narzędzia,
• załącznik lub link spoza standardowego procesu,
• prośba o obejście procedury, zachowanie tajemnicy albo szybkie działanie bez weryfikacji.

Warto przy tym pamiętać, że brak literówek nie oznacza bezpieczeństwa. Generatywna sztuczna inteligencja ułatwia tworzenie poprawnych językowo wiadomości, a legalne platformy mogą sprawić, że e-mail wygląda wiarygodnie. Dlatego coraz ważniejsze jest pytanie nie tylko czy wiadomość wygląda dobrze, ale czy proponowany proces ma sens.

Chcesz sprawdzić, czy potrafisz rozpoznać atak phishingowy w praktyce? Spróbuj w quizie phishingowym PHISHLY - krótki test pokazuje, na które sygnały zwracasz uwagę, a które łatwo pominąć.

Co zrobić, jeśli pracownik kliknął w phishing

Kliknięcie w phishingowy link nie musi oznaczać katastrofy. Dużo groźniejsze jest ukrywanie zdarzenia albo kontynuowanie działania po pierwszym sygnale ostrzegawczym. Jeżeli pracownik kliknął, ale nie wpisał danych i nie uruchomił pliku, sytuacja może skończyć się na analizie linku i sprawdzeniu logów. Jeśli podał hasło, kod MFA, dane karty albo pobrał załącznik, czas reakcji staje się krytyczny.

W pierwszej chwili najważniejsze są cztery działania:

• nie wpisywać kolejnych danych i nie uruchamiać pobranych plików,
• zachować wiadomość, link, załączniki, zrzuty ekranu i historię przeglądarki,
• zgłosić zdarzenie do IT albo zespołu bezpieczeństwa,
• jeśli podano hasło, natychmiast zmienić je bezpiecznym kanałem i sprawdzić aktywne sesje.

Po zgłoszeniu zespół bezpieczeństwa powinien sprawdzić, co dokładnie się wydarzyło: czy doszło do logowania z nietypowej lokalizacji, czy powstały nowe reguły przekierowania poczty, czy pojawiły się nieznane aplikacje OAuth, czy aktywne są nowe sesje i czy konto nie zostało użyte do wysyłania kolejnych wiadomości. Tokeny i sesje warto unieważnić, jeśli system daje taką możliwość.

Najważniejsza jest kultura zgłaszania. Pracownik, który kliknął, nie powinien bać się reakcji firmy. W organizacji odpornej na phishing zgłoszenie nie jest przyznaniem się do winy, tylko początkiem ograniczania skutków incydentu. Im szybciej informacja trafi do właściwego zespołu, tym większa szansa na zatrzymanie ataku, usunięcie wiadomości z innych skrzynek i zabezpieczenie konta.

Jak firma powinna chronić się przed phishingiem

Ochrona przed phishingiem nie polega na zakupie jednego narzędzia. Skuteczna obrona jest warstwowa i łączy technologię, procedury oraz zachowania ludzi. Filtr poczty może zatrzymać część kampanii, ale nie zobaczy wszystkiego. MFA może utrudnić przejęcie konta, ale nie zawsze zatrzyma AiTM. Szkolenie może poprawić czujność, ale bez prostego procesu zgłaszania pracownik nadal może nie wiedzieć, co zrobić z podejrzaną wiadomością.

Po stronie technicznej podstawą jest poprawna konfiguracja SPF, DKIM i DMARC. SPF, czyli Sender Policy Framework, pomaga określić, które serwery mogą wysyłać pocztę w imieniu domeny. DKIM, czyli DomainKeys Identified Mail, dodaje podpis kryptograficzny do wiadomości. DMARC, czyli Domain-based Message Authentication, Reporting and Conformance, łączy te mechanizmy i pozwala ustalić, co robić z wiadomościami, które nie przechodzą weryfikacji. Do tego dochodzi filtrowanie poczty i adresów URL, analiza załączników, sandboxing, ochrona stacji roboczych, EDR oraz monitorowanie tożsamości.

Warstwa procesowa jest równie ważna. Firma powinna mieć prosty sposób zgłaszania podejrzanych wiadomości, jasne zasady weryfikacji przelewów i zmian numerów rachunków, procedurę reakcji po podaniu hasła, możliwość szybkiego unieważnienia sesji oraz zasady sprawdzania nietypowych logowań. W działach finansowych i administracyjnych szczególne znaczenie mają procedury anty-BEC, czyli dodatkowa weryfikacja nietypowych próśb o przelew, zmianę danych kontrahenta lub przesłanie dokumentów.

Warstwa ludzka nie powinna sprowadzać się do jednego szkolenia rocznie. Pracownicy muszą ćwiczyć realne scenariusze: fałszywe faktury, SMS-y, QR, Microsoft 365, helpdesk, legalne platformy SaaS i prośby o obejście procedury. Rozszerzoną analizę techniczną znajdziesz w artykule o warstwowej ochronie przed phishingiem.

Testy phishingowe i szkolenia security awareness

Test phishingowy nie jest polowaniem na pracowników. Dobrze zaprojektowany test mierzy odporność całego procesu: od dostarczenia wiadomości, przez reakcję użytkownika, po zgłoszenie i działanie zespołu bezpieczeństwa. Celem nie jest wskazanie osób, które popełniły błąd, ale sprawdzenie, gdzie organizacja realnie traci kontrolę nad sytuacją.

W praktyce warto obserwować nie tylko otwarcia i kliknięcia. Ważne jest także, ile osób podało dane, ile zatrzymało się przed krytycznym działaniem, ile zgłosiło wiadomość, jak szybko zareagował zespół security i czy w kolejnych kampaniach trend się poprawia. Dobre metryki pokazują różnicę między kliknięciem z ciekawości, wpisaniem hasła, zgłoszeniem podejrzanej wiadomości i przerwaniem procesu przed szkodą.

Szkolenia security awareness powinny wynikać z tych danych. Jeżeli w firmie działa scenariusz fałszywej faktury, kolejny materiał edukacyjny powinien tłumaczyć właśnie ten przypadek. Jeżeli pracownicy dobrze rozpoznają e-mail, ale gorzej reagują na SMS albo kod QR, program powinien objąć smishing i quishing. Szczegóły na temat ćwiczeń i krótkich testów znajdziesz w artykule Czy rozpoznasz phishing, zanim klikniesz? Sprawdź się w quizie.

Najlepsze programy awareness nie zawstydzają pracowników. Dają im język, procedurę i bezpieczną ścieżkę reakcji. Pracownik ma wiedzieć, kiedy zatrzymać proces, gdzie zgłosić podejrzenie i że szybkie zgłoszenie jest sukcesem, nie problemem.

Phishing a NIS2, ISO 27001 i cyberodporność

Phishing jest bezpośrednio związany z zarządzaniem ryzykiem cyberbezpieczeństwa. W kontekście NIS2, czyli unijnej dyrektywy dotyczącej bezpieczeństwa sieci i systemów informatycznych, organizacje muszą wykazać, że podejmują środki ograniczające ryzyko. Obejmuje to nie tylko technologię, ale też procedury, szkolenia i świadomość pracowników.

ISO 27001, czyli międzynarodowa norma systemu zarządzania bezpieczeństwem informacji, również nie traktuje ludzi jako dodatku do bezpieczeństwa. Kontrole dotyczące ludzi, świadomości, szkoleń i odpowiedzialności są częścią praktycznego zarządzania bezpieczeństwem. W przypadku phishingu szczególnie ważne są dowody: program szkoleń, regularność działań, wyniki testów, reakcja na incydenty i poprawa zachowań w czasie.

Z perspektywy zarządu i audytu samo posiadanie prezentacji szkoleniowej ma ograniczoną wartość. Dużo mocniejszym dowodem cyberodporności są cykliczne testy phishingowe, udokumentowane wyniki, analiza trendów, poprawa wskaźnika zgłoszeń i realna procedura reakcji po kliknięciu. Warto też odwoływać się do danych z Raportu CERT Polska 2025, bo pomagają pokazać skalę problemu osobom decyzyjnym.

Podsumowanie

Phishing jest skuteczny, bo nie atakuje wyłącznie technologii. Atakuje decyzje podejmowane pod presją czasu, w rutynie i w zaufanym kontekście. Pracownik widzi znaną markę, znajomy system, komunikat od rzekomego przełożonego albo dokument w usłudze, z której korzysta codziennie. To wystarczy, żeby nawet doświadczona osoba przez chwilę zareagowała automatycznie.

Ochrona przed phishingiem wymaga połączenia kilku warstw. Technologia powinna filtrować wiadomości, analizować linki, chronić konta i wykrywać nietypowe logowania. Procedury powinny jasno mówić, jak weryfikować płatności, zmiany danych i podejrzane komunikaty. Szkolenia i testy phishingowe powinny uczyć rozpoznawania całego procesu, nie tylko pojedynczych czerwonych flag.

Najlepszy wskaźnik skuteczności programu security awareness to nie zero kliknięć. W realnym świecie ktoś zawsze może się pomylić. Ważniejsze jest to, ilu pracowników zatrzyma proces, ilu zgłosi podejrzaną wiadomość i jak szybko firma potrafi zareagować, zanim pojedyncze kliknięcie zmieni się w incydent.

Chcesz sprawdzić, jak Twoi pracownicy reagują na phishing, smishing i quishing w praktyce? Skontaktuj się z PHISHLY i sprawdź, jak możemy pomóc w prowadzeniu testów oraz szkoleń security awareness.