INTERPOL: phishing i scamy AI w APAC

TL;DR

INTERPOL opublikował raport 2025/2026 o cyberzagrożeniach w Azji i Południowym Pacyfiku. To materiał na krótki news ekspercki dla PHISHLY, bo raport jest regionalny, ale opisuje mechanizmy ważne globalnie: phishing, ransomware, infostealery, Business Email Compromise, deepfake, scam centres i wykorzystanie sztucznej inteligencji do skalowania oszustw.

W komunikacie INTERPOL wskazuje, że w ponad połowie badanych państw cyberprzestępczość stanowi już 30 procent wszystkich rejestrowanych przestępstw. Phishing i techniki cyber-scamowe są opisane jako jedne z najbardziej rozpowszechnionych i finansowo dotkliwych form cyberprzestępczości w regionie.

Dla polskich firm to nie jest egzotyczny temat z dalekiego rynku. To sygnał, że oszustwa internetowe coraz częściej działają jak przemysł: z podziałem ról, skalowaniem kampanii, kradzieżą poświadczeń, wykorzystaniem AI i przechodzeniem między kanałami komunikacji.

Co mówi raport INTERPOL

Raport opisuje wzrost skali i złożoności cyberprzestępczości w regionie Asia-Pacific, czyli APAC. INTERPOL łączy ten wzrost z szybką cyfryzacją, rozwojem usług finansowych online, cloud computingiem, bankowością mobilną, nowymi technologiami i zorganizowanymi sieciami przestępczymi.

W komunikacie podkreślono kilka liczb: ponad 135 tysięcy ataków powiązanych z ransomware w 2024 roku, 92-procentowy wzrost ataków DDoS oraz 600-procentowy wzrost dyskusji o deepfake na forach i kanałach cyberprzestępczych w badanym okresie. Raport wskazuje także phishing jako uporczywe zagrożenie, a cloud applications jako główny cel kliknięć phishingowych w regionie.

W dokumencie źródłowym pojawia się też ważny wniosek o credential harvesting i infostealerach. INTERPOL pisze, że kampanie kradzieży danych uwierzytelniających i infostealery często poprzedzają bardziej destrukcyjne działania, takie jak fraud, szpiegostwo i przejęcia kont.

Polski i europejski kontekst

Polskie firmy nie muszą działać w Azji, aby odczuć skutki takich trendów. Infrastruktura, narzędzia, skrypty, konta, dane i usługi przestępcze krążą globalnie. Kampania testowana w jednym regionie może szybko zostać przetłumaczona, dopasowana do lokalnej marki i użyta przeciwko firmom w Europie.

W Polsce podobne mechanizmy mogą przyjąć formę fałszywych wiadomości o bankowości, BLIK, podatkach, ZUS, e-Doręczeniach, KSeF, paczkach, dopłatach, fakturach, deepfake inwestycyjnym albo rozmowie z rzekomym członkiem zarządu. Kanałem może być e-mail, SMS, WhatsApp, Teams, reklama, telefon lub fałszywa strona logowania.

Wymogi NIS2, DORA i ISO 27001 nie rozwiązują tego automatycznie, ale wzmacniają potrzebę uporządkowanego podejścia: szkolenia, testy, zgłaszanie incydentów, reagowanie, analiza logowań, kontrola dostępu i ćwiczenie decyzji użytkownika.

Co powinien zrobić użytkownik

Użytkownik powinien rozumieć, że współczesny scam może być wieloetapowy. Pierwsza wiadomość nie musi od razu prosić o przelew. Może sprawdzić reakcję, wyłudzić kod, pobrać aplikację, skłonić do rozmowy, przekierować na komunikator albo przygotować grunt pod późniejsze oszustwo.

Najważniejsza praktyka to przerwanie procesu w momencie zmiany kanału albo presji. Jeżeli wiadomość przenosi do komunikatora, telefonu, fałszywego panelu, aplikacji zdalnego dostępu albo płatności poza znanym procesem, trzeba zatrzymać działanie i potwierdzić sprawę niezależnym kanałem.

Co powinny zrobić IT, Security i SOC

Zespoły bezpieczeństwa powinny patrzeć na phishing jako na początek łańcucha. W logach i procesach trzeba szukać nie tylko kliknięcia, ale też dalszych skutków: nowych sesji, zmian MFA, zgód OAuth, uruchomień plików, instalacji narzędzi RMM, logowań z nietypowych lokalizacji i zmian w regułach poczty.

Awareness powinien obejmować AI-scamy, deepfake i komunikatory, ale bez straszenia. Pracownik powinien dostać prostą zasadę: jeżeli presja rośnie, kanał się zmienia albo ktoś prosi o ominięcie normalnej procedury, to jest moment zgłoszenia.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik kliknął link, podał dane, zatwierdził logowanie albo uruchomił plik, trzeba dopasować reakcję do skutku. Przy haśle należy zmienić hasło, unieważnić sesje i sprawdzić MFA. Przy pliku trzeba odłączyć urządzenie i zachować artefakty. Przy płatności trzeba powiadomić bank i finanse. Przy deepfake lub rozmowie z rzekomym przełożonym trzeba zabezpieczyć komunikację i sprawdzić, czy nie doszło do zmiany procesu płatniczego.

Najgorsza reakcja to uznać, że skoro nic od razu się nie stało, incydentu nie ma. W kampaniach opisanych przez INTERPOL pierwszy krok często jest tylko przygotowaniem do późniejszego fraudu.

Konkretna zasada na koniec

Raport INTERPOL pokazuje, że phishing jest częścią przemysłowego modelu cyberprzestępczości. Dlatego organizacja powinna mierzyć nie tylko kliknięcia, ale cały łańcuch decyzji: od wiadomości, przez zmianę kanału, po zgłoszenie i reakcję po błędzie.