Kwiecień 2026 w phishingu. Miesiąc, w którym kliknięcie przestało być największym problemem

Kwiecień 2026 w phishingu. Miesiąc, w którym kliknięcie przestało być największym problemem

2026-05-02

TL;DR

Kwiecień 2026 był miesiącem, w którym bardzo wyraźnie zobaczyliśmy, że phishing nie jest już pojedynczym mailem z podejrzanym linkiem. Atak coraz częściej zaczyna się w skrzynce, SMS-ie, komunikatorze albo rozmowie telefonicznej, ale dalej przechodzi przez kody QR, CAPTCHA, legalne platformy, fałszywe SSO, MFA, helpdesk i narzędzia SaaS.

Microsoft Threat Intelligence opisał w Q1 2026 około 8,3 mld e-mailowych zagrożeń phishingowych, silny wzrost QR phishingu oraz skok CAPTCHA-gated phishing. Cisco Talos wskazał, że phishing wrócił jako najczęściej obserwowana metoda initial access. CERT Polska ostrzegał w kwietniu przed kampaniami podszywającymi się pod ZUS, KSeF i firmy kurierskie. Do tego doszły kampanie wykorzystujące legalne platformy, komunikatory, helpdesk i przejęte procesy tożsamości.

Wspólny mianownik jest prosty: atakujący coraz rzadziej podszywają się wyłącznie pod markę. Coraz częściej podszywają się pod cały proces.

Jak czytać to podsumowanie

To nie jest kronika wszystkich incydentów z jednego miesiąca. To wybór raportów, kampanii i ostrzeżeń, które w kwietniu 2026 najlepiej pokazały zmianę w phishingu: od pojedynczej wiadomości do pełnego procesu przejęcia zaufania.

Część danych pochodzi z raportów podsumowujących Q1 2026, opublikowanych pod koniec kwietnia. Część dotyczy kampanii omawianych na przełomie kwietnia i maja. Warto czytać je razem, bo składają się na ten sam obraz: phishing przestał być wyłącznie problemem skrzynki pocztowej. Stał się problemem procesów, tożsamości i zaufania do narzędzi używanych każdego dnia.

Kwiecień pokazał, że phishing wrócił na pierwszą linię

Phishing nie jest nowym zagrożeniem, ale w kwietniu 2026 wrócił na bardzo widoczne miejsce w dyskusji o initial access. Initial access oznacza pierwszy skuteczny punkt wejścia do środowiska organizacji: moment, w którym napastnik uzyskuje dostęp pozwalający rozpocząć dalsze działania.

Cisco Talos podał, że w Q1 2026 phishing był najczęściej obserwowaną metodą uzyskania pierwszego dostępu w sprawach, w których udało się ustalić punkt wejścia. To ważne, bo przez część 2025 roku uwagę rynku mocno przejmowała exploitacja publicznie dostępnych aplikacji, zwłaszcza po dużych falach podatności w systemach on-premise.

Wniosek nie brzmi jednak: stare wróciło. Bardziej trafne byłoby: phishing zmienił formę i znów stał się najtańszą, najbardziej elastyczną drogą do środowiska firmy.

Atakujący nie muszą zawsze szukać podatności technicznej. Często wystarczy skłonić człowieka do wykonania kroku, który wygląda jak normalna część pracy: otwarcia dokumentu, zeskanowania kodu, potwierdzenia logowania, pobrania faktury, sparowania komunikatora albo rozmowy z rzekomym helpdeskiem.

Jeśli chcesz zobaczyć szersze tło tego trendu, dobrym punktem odniesienia jest wpis Warstwa obrony przed phishingiem. Czego brakuje, gdy filtr poczty nie wystarcza.

QR, CAPTCHA i ClickFix. Kliknięcie to dopiero początek

Najmocniejszy zestaw danych miesiąca dał Microsoft Threat Intelligence. Według Microsoftu w Q1 2026 wykryto około 8,3 mld e-mailowych zagrożeń phishingowych. Szczególnie ważny jest jednak nie sam wolumen, ale to, jak wyglądał łańcuch ataku.

Microsoft wskazał, że dominowały zagrożenia link-based, czyli oparte na linkach. QR phishing wzrósł z około 7,6 mln przypadków w styczniu do 18,7 mln w marcu. To wzrost o 146 procent w kwartale. CAPTCHA-gated phishing po spadkach w styczniu i lutym wzrósł w marcu o 125 procent, do 11,9 mln przypadków.

QR phishing, często nazywany też quishingiem, polega na ukryciu linku w kodzie QR. Użytkownik skanuje kod telefonem i często wychodzi poza firmowe zabezpieczenia poczty. CAPTCHA-gated phishing wykorzystuje fałszywe albo nadużyte ekrany CAPTCHA, czyli testy znane z komunikatów typu potwierdź, że nie jesteś robotem. Taki ekran może wyglądać jak mechanizm bezpieczeństwa, ale w praktyce bywa tylko kolejnym etapem oszustwa.

To pokazuje bardzo ważną zmianę. Współczesny phishing coraz częściej nie polega na prostym kliknięciu. Kliknięcie jest dopiero początkiem. Dalej użytkownik ma zeskanować kod QR, rozwiązać fałszywą CAPTCHA, przejść przez przekierowania, potwierdzić dostęp albo wykonać instrukcję, która wygląda jak techniczna weryfikacja.

W wariantach typu ClickFix użytkownik bywa nakłaniany do skopiowania i uruchomienia komendy pod pozorem naprawy błędu albo potwierdzenia, że nie jest botem. To przesuwa phishing z poziomu nie klikaj w link na poziom nie wykonuj instrukcji, której sensu nie rozumiesz.

Dlatego szkolenia awareness muszą dziś obejmować nie tylko sam link, ale także interakcje po kliknięciu. Kod QR, CAPTCHA albo ekran weryfikacji nie są dowodem bezpieczeństwa. Mogą być częścią scenariusza.

Ten wątek dobrze łączy się z materiałem Fałszywy mandat z kodem QR. Smishing wraca w nowym opakowaniu.

Legalne platformy stały się pierwszą warstwą zaufania

Drugi mocny trend kwietnia to nadużywanie legalnych platform. To nie są już kampanie, w których wszystko jest postawione na podejrzanej domenie od początku do końca. Coraz częściej pierwszy etap ataku jest osadzony w prawdziwej usłudze.

Trend Micro opisał przypadek nadużycia Kuse.ai do hostowania phishingowego dokumentu. Kuse.ai jest legalną aplikacją AI do pracy z dokumentami i projektami. W opisywanym scenariuszu ofiara widziała legalną platformę, rozmyty dokument i dopiero po kolejnej interakcji trafiała do fałszywego logowania Microsoft.

Problemem nie była więc sama aplikacja Kuse.ai. Problemem było to, że legalna platforma stała się nośnikiem nielegalnej treści.

Podobny mechanizm pojawił się w kampanii AccountDumpling opisanej przez Guardio Labs. Napastnicy nadużyli Google AppSheet jako przekaźnika wiadomości phishingowych wymierzonych w konta Facebook Business. Google AppSheet to platforma no-code, czyli narzędzie do budowania prostych aplikacji i automatyzacji bez klasycznego programowania. W normalnej firmie może służyć do formularzy, workflow i powiadomień. W rękach napastnika ta sama funkcja wysyłania wiadomości stała się przekaźnikiem phishingu.

To jest jedna z najważniejszych lekcji dla firm. SPF, DKIM i DMARC potwierdzają, że wiadomość została wysłana przez uprawnioną infrastrukturę. Nie potwierdzają, że treść wiadomości jest uczciwa.

Ten sam kierunek widać w tekstach Kuse.ai jako nośnik phishingu. Gdy legalna aplikacja AI hostuje fałszywy dokument, n8n jako cichy nośnik phishingu i malware oraz GitHub i Jira jako nośnik phishingu. Wspólny wniosek: legalna domena nie oznacza automatycznie bezpiecznej treści.

PhaaS dojrzewa jak produkt SaaS

Kwiecień przyniósł też kolejny dowód na to, że phishing-as-a-service coraz bardziej przypomina normalny produkt. PhaaS, czyli Phishing-as-a-Service, to model, w którym przestępca nie musi sam budować całej infrastruktury. Kupuje albo wynajmuje gotowy zestaw: szablony stron, panel, domeny, logi, powiadomienia i instrukcje działania.

Varonis opisał BlueKit, phishing kit z panelem operatorskim, szablonami marek, obsługą domen, AI Assistantem i funkcjami wspierającymi prowadzenie kampanii. Nie trzeba przedstawiać BlueKit jako największej kampanii roku. Jego znaczenie jest inne. Pokazuje kierunek rozwoju rynku: mniej ręcznego składania infrastruktury, więcej gotowych modułów, więcej automatyzacji, lepsze panele i niższy próg wejścia dla operatorów.

Microsoft w raporcie Q1 2026 pokazał też, że po operacji przeciw Tycoon2FA wpływ tej infrastruktury na CAPTCHA-gated phishing osłabł, ale techniki nie zniknęły. Tycoon2FA to jeden z najbardziej znanych przykładów platform PhaaS używających technik AiTM, czyli adversary-in-the-middle. W takim modelu infrastruktura napastnika pośredniczy między użytkownikiem a prawdziwą usługą i próbuje przechwycić nie tylko hasło, ale też kod MFA albo cookies sesyjne.

To ważne, bo usunięcie jednej platformy nie kończy problemu. Rynek PhaaS adaptuje się szybko. Techniki przechodzą do innych kitów, operatorów i modeli dystrybucji.

Ten trend dobrze opisuje wpis Industrializacja phishingu. Jak model PhaaS zamienia pojedynczy atak w pipeline oszustwa. Kwiecień tylko potwierdził, że phishing coraz częściej jest usługą, a nie pojedynczą kampanią.

Tożsamość, MFA i helpdesk stały się polem walki

W kwietniu bardzo mocno wybrzmiał też wątek tożsamości. Nie chodzi już tylko o kradzież hasła. Coraz częściej celem jest cały proces dostępu: SSO, MFA, sesja, urządzenie, helpdesk i konto uprzywilejowane.

SSO, czyli single sign-on, to centralne logowanie do wielu usług firmowych. MFA, czyli uwierzytelnianie wieloskładnikowe, dodaje kolejny składnik, na przykład kod, aplikację mobilną, push albo klucz sprzętowy. Oba mechanizmy są potrzebne, ale nie są magiczną tarczą, jeśli użytkownik zostanie wciągnięty w fałszywy proces.

Dobrym przykładem jest aktywność BlackFile opisana przez RH-ISAC na podstawie danych Unit 42. W tym modelu napastnicy podszywali się pod firmowy helpdesk, prowadzili vishing, kierowali ofiary na fałszywe strony SSO, przejmowali dane logowania i kody, a następnie nadużywali legalnych API oraz kont o wysokich uprawnieniach.

Vishing to phishing prowadzony przez telefon. API to interfejs, przez który systemy i aplikacje wymieniają dane automatycznie. Jeżeli napastnik ma przejęte konto z odpowiednimi uprawnieniami, może używać takich API do pobierania danych bez klasycznego malware.

To nie wygląda jak klasyczny ransomware. Bardziej przypomina data theft i extortion oparte na tożsamości. Atak nie musi szyfrować stacji roboczych, jeśli może wejść przez legalnie wyglądającą sesję i wyciągnąć dane z systemów SaaS.

To ważna lekcja dla zarządów i zespołów IT. MFA jest potrzebne, ale nie wystarczy, jeśli można wyłudzić kod, podpiąć nowe urządzenie albo przejąć procedurę helpdesku. Sama technologia nie obroni procesu, którego człowiek nie rozumie albo którego firma nie kontroluje.

Warto tu wrócić do materiałów BlackFile pokazuje nowy model wymuszeń, Okta pod ostrzałem. Ten scenariusz może pojawić się także w Polsce oraz Phishing omijający MFA AiTM.

Komunikatory też są powierzchnią ataku

Phishing w kwietniu nie kończył się na e-mailu i SMS-ach. Bardzo dobrze pokazał to niemiecki wątek związany z Signalem. BSI i BfV publikowały ostrzeżenia oraz poradnik dla osób narażonych na phishing przez komunikatory, a Reuters opisał śledztwo dotyczące kampanii wymierzonej w osoby wysokiego profilu, w tym polityków, dyplomatów, wojskowych i dziennikarzy.

Najważniejsze jest to, że problemem nie było złamanie szyfrowania Signala. Mechanizm opierał się na socjotechnice, PIN-ach, kodach QR i nadużyciu funkcji linkowania urządzeń. Innymi słowy: bezpieczny komunikator nie chroni przed błędnym sparowaniem urządzenia, jeśli użytkownik zostanie do tego skutecznie zmanipulowany.

To bardzo ważny wniosek dla firm, które korzystają z komunikatorów w pracy operacyjnej. Komunikator często jest traktowany jako szybszy i bardziej zaufany kanał niż e-mail. Właśnie dlatego może być atrakcyjny dla napastników.

Ten temat rozwijamy w materiale Signal phishing i sprawa Julii Klöckner. Gdy przejęcie komunikatora zaczyna się od zaufania.

Polska perspektywa: ZUS, KSeF i kurierzy

Kwiecień był też bardzo mocny lokalnie. CERT Polska ostrzegał przed fałszywymi SMS-ami podszywającymi się pod ZUS. Wiadomości informowały o rzekomym błędzie w stanie rozliczeń ubezpieczenia zdrowotnego i prowadziły do wyłudzenia PESEL oraz danych karty płatniczej.

Tego samego dnia CERT opisał kampanię wymierzoną w użytkowników KSeF. Fałszywe powiadomienia o nowej fakturze prowadziły do pobrania złośliwego oprogramowania. To bardzo dobry przykład wykorzystania rutyny firmowej. Faktury są codziennością, więc oszuści liczą na automatyczne kliknięcie.

Kilka dni później CERT ostrzegał przed fałszywymi SMS-ami podszywającymi się pod firmę kurierską DPD. Kampania kurierska używała pretekstu nieudanej dostawy i próbowała wyłudzić dane kontaktowe oraz dane karty.

To pokazuje, że lokalny phishing nie musi być technicznie egzotyczny, żeby był skuteczny. W Polsce bardzo dobrze działają preteksty oparte na urzędzie, fakturze, paczce, karcie i codziennych obowiązkach.

Szczegółowo opisaliśmy te kampanie w tekstach Fałszywy SMS od ZUS, Fałszywa faktura w KSeF oraz Fałszywy SMS od kuriera DPD.

Co łączy te wszystkie przypadki

Na pierwszy rzut oka te kampanie są różne. Jedna dotyczy ZUS, druga KSeF, trzecia Signala, czwarta Kuse.ai, piąta BlueKit, szósta BlackFile. Ale po zebraniu ich w całość widać ten sam wzorzec.

Atakujący coraz częściej wykorzystują legalną platformę zamiast podejrzanej infrastruktury, prawdziwy proces zamiast jednego fałszywego ekranu, QR albo CAPTCHA zamiast zwykłego linku, helpdesk albo komunikator zamiast samego e-maila, sesję i MFA zamiast samego hasła, a także rutynę zawodową zamiast sensacyjnego pretekstu.

To dlatego kwiecień 2026 jest ciekawy jako podsumowanie miesiąca. Nie chodzi tylko o liczbę incydentów. Chodzi o kierunek: phishing staje się coraz bardziej procesowy.

Co firmy powinny zmienić po kwietniu 2026

Pierwsze pytanie nie powinno brzmieć, czy mamy szkolenie phishingowe. Powinno brzmieć, czy to szkolenie nadal odpowiada realnym scenariuszom.

Firma powinna dziś sprawdzić, czy jej program awareness obejmuje nie tylko e-mail, ale też SMS, kody QR, komunikatory, fałszywe CAPTCHA, vishing, helpdesk, legalne platformy SaaS i procesy MFA.

Jeżeli szkolenie nadal opiera się głównie na źle napisanych wiadomościach z podejrzanym linkiem, to ćwiczy problem sprzed kilku lat.

Drugie pytanie dotyczy procedur. Czy pracownicy wiedzą, co zrobić po kliknięciu. Czy administratorzy kont Meta wiedzą, jak reagować na fałszywe powiadomienie o blokadzie strony. Czy helpdesk ma twarde zasady weryfikacji przy resecie MFA. Czy dział finansowy ma jasną ścieżkę weryfikacji faktur i płatności. Czy osoby wysokiego ryzyka wiedzą, że komunikator też może być kanałem phishingu.

Trzecie pytanie dotyczy mierzenia odporności. Sama frekwencja na szkoleniu nie mówi, czy ludzie rozpoznają realne zagrożenie. Znacznie więcej mówi to, kto kliknął, kto zgłosił, kto podał dane, kto przerwał proces i jak szybko organizacja zareagowała.

Checklista dla zarządu, IT i security

Po kwietniu 2026 warto potraktować tę listę jako szybki test do rozmowy zarządu, IT i security. Nie chodzi o akademicką ankietę. Chodzi o sprawdzenie, czy firma broni realnego procesu ataku, czy tylko jego pierwszy ekran.

  1. Czy testujemy scenariusze z kodem QR, czy tylko klasyczne maile?
  2. Czy użytkownicy wiedzą, że CAPTCHA może być częścią phishingu?
  3. Czy w szkoleniach pojawiają się legalne platformy, takie jak narzędzia SaaS, no-code i aplikacje AI?
  4. Czy helpdesk ma procedurę weryfikacji przy zmianie MFA, resecie hasła i rejestracji urządzenia?
  5. Czy administratorzy social media wiedzą, jak weryfikować komunikaty Meta, Google i LinkedIn?
  6. Czy po kliknięciu istnieje jasna procedura zgłoszenia i reakcji?
  7. Czy mierzymy raportowanie phishingu, a nie tylko klikalność?
  8. Czy użytkownicy wysokiego ryzyka mają mocniejsze scenariusze testowe niż reszta organizacji?
  9. Czy MFA jest odporne na phishing tam, gdzie ryzyko jest najwyższe?
  10. Czy firma potrafi szybko unieważnić sesje, tokeny i podejrzane urządzenia po incydencie?

To dobry punkt startowy do uporządkowania programu cyberodporności.

Dlaczego to jest ważne biznesowo

Firmy często mówią, że mają szkolenia z cyberbezpieczeństwa. Problem w tym, że wiele z tych szkoleń jest zbyt ogólnych.

Pracownik wie, że nie powinien klikać dziwnych linków, ale nie wie, co zrobić, gdy dostaje link z legalnej platformy. Wie, że ma uważać na hasła, ale nie rozumie, że można przejąć sesję po MFA. Wie, że nie należy ufać SMS-om, ale nie rozpoznaje, że kod QR w PDF-ie może wyciągnąć go poza firmowe zabezpieczenia.

Kwiecień 2026 pokazał właśnie tę lukę. Atakujący nie liczą już wyłącznie na brak wiedzy. Liczą na rutynę, pośpiech i zaufanie do normalnych procesów.

Dlatego nowoczesny awareness powinien ćwiczyć nie tylko rozpoznawanie oszustwa, ale też zatrzymanie się w odpowiednim momencie. Przy logowaniu. Przy skanowaniu QR. Przy rozmowie z rzekomym helpdeskiem. Przy pobraniu faktury. Przy komunikacie o blokadzie konta Meta. Przy prośbie o sparowanie komunikatora.

Kliknięcie to dopiero początek

Kwiecień 2026 w phishingu można podsumować jednym zdaniem: kliknięcie przestało być największym problemem.

Dziś problemem jest cały łańcuch po kliknięciu. Legalna platforma. Rozmyty dokument. Kod QR. CAPTCHA. Fałszywe SSO. Kod MFA. Telefon z helpdesku. Przejęta sesja. Dane wyciągnięte przez API. Presja na zapłatę albo przejęte konto firmowe.

To dlatego firmy powinny przestać myśleć o phishingu jak o pojedynczym teście raz w roku. Phishing w 2026 roku jest procesem. I jako proces powinien być ćwiczony.

Jeżeli chcesz sprawdzić, czy Twoi użytkownicy rozpoznają współczesne scenariusze phishingowe, a nie tylko stare przykłady z podejrzanym linkiem, dobrym punktem startu jest quiz phishingowy PHISHLY.

Najczęstsze pytania

Czy phishing w 2026 nadal zaczyna się od e-maila?

Często tak, ale e-mail coraz częściej jest tylko pierwszym etapem. Dalej atak przechodzi przez kod QR, CAPTCHA, komunikator, fałszywe SSO, helpdesk, MFA albo legalną platformę SaaS.

Dlaczego samo szkolenie z podejrzanych linków już nie wystarcza?

Bo współczesny phishing coraz częściej wygląda jak normalny proces biznesowy: faktura w KSeF, powiadomienie Meta, dokument na legalnej platformie, telefon z helpdesku albo QR kod prowadzący do dalszej interakcji.

Co firmy powinny mierzyć poza klikalnością?

Warto mierzyć zgłoszenia, przerwanie procesu, podanie danych, czas reakcji, usunięcie wiadomości z innych skrzynek, unieważnienie sesji oraz skuteczność procedur po kliknięciu.

Źródła

  1. Microsoft Threat Intelligence - Email threat landscape: Q1 2026 trends and insightsGłówne źródło danych o 8,3 mld e-mailowych zagrożeń phishingowych, wzroście QR phishingu, CAPTCHA-gated phishing, BEC i PhaaS.
  2. Cisco Talos - IR Trends Q1 2026Źródło danych o phishingu jako najczęściej obserwowanej metodzie initial access w Q1 2026.
  3. CERT Polska - Uwaga na kampanię phishingową podszywającą się pod ZUS!Polski kontekst kampanii smishingowej podszywającej się pod ZUS.
  4. CERT Polska - Fałszywa faktura – prawdziwe zagrożeniePolski kontekst kampanii wymierzonej w użytkowników KSeF i rutynę pracy z fakturami.
  5. CERT Polska - Uwaga na fałszywe SMS-y podszywające się pod firmę kurierskąPolski kontekst smishingu kurierskiego podszywającego się pod DPD.
  6. RH-ISAC - Extortion in the Enterprise: Defending Against BlackFile AttacksŹródło o kampaniach BlackFile, vishingu podszywającym się pod helpdesk, przejęciu kont i kradzieży danych przez legalne API.
  7. BSI - Phishing über Signal: Leitfaden für BetroffeneOficjalny kontekst niemieckich ostrzeżeń dotyczących phishingu przez komunikatory, w tym Signal.
  8. Reuters - German prosecutors investigate phishing attack targeting politiciansKontekst medialny kampanii phishingowej przez komunikatory wymierzonej w osoby wysokiego profilu w Niemczech.
  9. Trend Micro - Kuse Web App Abused to Host Phishing DocumentŹródło o nadużyciu legalnej aplikacji Kuse.ai do hostowania phishingowego dokumentu.
  10. Varonis - Meet Bluekit: The AI-Powered All-in-One Phishing KitŹródło o BlueKit jako przykładzie rozwoju phishing-as-a-service z panelem, szablonami i AI Assistantem.
  11. Guardio Labs - AccountDumpling: The Google-Sent Phishing Wave Hijacking 30k Facebook AccountsGłówne źródło techniczne o AccountDumpling, Google AppSheet i przejęciach kont Facebook Business.
  12. The Hacker News - 30,000 Facebook Accounts Hacked via Google AppSheet Phishing CampaignMateriał medialny podsumowujący ustalenia Guardio Labs.