Phishing znów na pierwszym miejscu. Cisco Talos o initial access w Q1 2026

2026-04-24

TL;DR

Phishing znów wyszedł na prowadzenie jako najczęściej obserwowany sposób zdobywania initial access. To najważniejszy wniosek z raportu Cisco Talos za pierwszy kwartał 2026 roku.

Cisco Talos to zespół threat intelligence i incident response działający w ramach Cisco. Mówiąc prościej: ludzie, którzy na co dzień analizują realne włamania, kampanie phishingowe i sposób działania napastników. W ich najnowszym podsumowaniu widać jedną rzecz bardzo wyraźnie. Phishing nie wrócił dlatego, że świat cofnął się do prostych maili z błędami językowymi. Wrócił dlatego, że nadal najlepiej działa na styku człowieka, tożsamości i logowania.

Czym jest initial access i dlaczego to ważne

Zanim przejdziemy dalej, warto zatrzymać się na jednym pojęciu. Initial access to po prostu pierwszy skuteczny sposób wejścia do organizacji. To moment, w którym napastnik po raz pierwszy otwiera sobie drzwi do środowiska ofiary.

Tym wejściem może być phishing. Może być nim przejęte konto. Może być nim także luka w publicznie wystawionej aplikacji. To ważne rozróżnienie, bo nie mówimy tutaj o wszystkim, co dzieje się później, tylko o samym początku ataku.

I właśnie na tym etapie phishing znów wyszedł na pierwsze miejsce.

Phishing znów jest numerem jeden

Cisco Talos wskazuje, że w Q1 2026 phishing odpowiadał za ponad jedną trzecią engagementów, w których udało się ustalić metodę initial access. To pierwszy taki przypadek od Q2 2025, gdy phishing był ostatnio na szczycie.

Przez kolejne kwartały wyprzedzało go wykorzystywanie public-facing applications, czyli publicznie dostępnych aplikacji i usług wystawionych do internetu. W praktyce chodziło głównie o falę exploitacji SharePoint i zjawisko określane jako ToolShell.

Dziś ten trend częściowo się odwrócił. Wykorzystywanie public-facing applications spadło z wcześniejszego poziomu 62 procent do 18 procent, co Talos wiąże z szerszą dostępnością poprawek i lepszą detekcją. To dobra wiadomość, ale tylko połowicznie. Kiedy jedna ścieżka robi się trudniejsza, napastnicy wracają tam, gdzie nadal mają dużą przewagę. Do człowieka, jego nawyków i procesu logowania.

Jeżeli chcesz spojrzeć na to szerzej, dobrze uzupełnia to nasz materiał Warstwa obrony przed phishingiem. Czego brakuje, gdy filtr poczty nie wystarcza.

Najważniejsze pytanie brzmi nie czy phishing wrócił, tylko w jakiej formie wrócił

Tu robi się naprawdę ciekawie. Sama pozycja phishingu w rankingu mówi sporo, ale jeszcze więcej mówi jego nowa forma.

Talos opisał pierwszy udokumentowany przez siebie przypadek użycia konkretnego narzędzia AI w kampanii phishingowej. Chodzi o platformę Softr, czyli usługę typu no-code do budowania aplikacji i prostych portali bez klasycznego programowania. W tym przypadku została wykorzystana do stworzenia strony wyłudzającej dane do Microsoft Exchange i Outlook Web Access, czyli webmaila Microsoftu.

To ważny sygnał, bo pokazuje zmianę skali i tempa. AI nie musi samodzielnie wymyślać całego ataku. Wystarczy, że skraca drogę do zbudowania strony, formularza i przepływu, który wygląda wiarygodnie. Gdy do tego dołożysz gotowe szablony i prostą integrację z magazynem danych, na przykład z Google Sheets, próg wejścia spada wyraźnie.

To oznacza jedną rzecz: przygotowanie kampanii jest dziś szybsze, tańsze i łatwiejsze niż wcześniej.

AI nie zastępuje socjotechniki. Po prostu ją przyspiesza

Wokół AI łatwo popaść w prosty schemat, że teraz model robi wszystko sam. Z raportu Cisco wynika jednak coś znacznie bardziej przyziemnego i przez to groźniejszego.

AI nie usuwa potrzeby socjotechniki. Nadal trzeba mieć wiarygodny pretekst, dobrą historię i odpowiedni moment. Nadal trzeba przekonać człowieka, żeby zrobił to, czego chce atakujący. Zmienia się jednak tempo. Jeśli stronę logowania, treść wiadomości i cały przepływ można złożyć dużo szybciej niż wcześniej, kampanie można skalować sprawniej i taniej.

To dobrze wpisuje się w zjawisko, które opisujemy szerzej w tekście Industrializacja phishingu. Jak model PhaaS zamienia pojedynczy atak w pipeline oszustwa. W praktyce nie chodzi o magiczną rolę AI, tylko o obniżenie kosztu i czasu przygotowania oszustwa.

Podobny wątek pojawia się też w naszym wpisie ATHR pokazuje, że vishing wchodzi w etap automatyzacji, gdzie AI nie zastępuje człowieka w całości, ale automatyzuje te fragmenty ataku, które wcześniej wymagały więcej pracy.

Konta, tożsamość i MFA nadal są słabym punktem

Raport Cisco pokazuje jeszcze jedną ważną rzecz. Phishing nie działa w próżni. Bardzo dobrze łączy się z problemami wokół tożsamości.

Valid accounts, czyli prawidłowe, już istniejące konta użyte przez napastnika, wróciły w Q1 2026 do poziomu 24 procent jako druga najczęściej obserwowana metoda initial access. To nie jest przypadek. Jeśli ktoś przejmie konto albo umie wykorzystać jego legalny dostęp, może wejść do organizacji bez klasycznego włamania.

Jeszcze mocniejszy sygnał daje sekcja o MFA. MFA to multi-factor authentication, po polsku uwierzytelnianie wieloskładnikowe. Talos wskazuje, że słabości MFA pojawiły się w 35 procentach engagementów. Chodziło zarówno o sytuacje, w których MFA nie było wdrożone wszędzie, jak i o przypadki, w których napastnicy rejestrowali nowe urządzenia do wcześniej przejętych kont albo obchodzili ochronę przez konfigurację klientów Outlook bezpośrednio do serwerów Exchange.

To bardzo ważne, bo wiele organizacji nadal myśli o MFA jak o ostatnim zamku na drzwiach. Tymczasem problem coraz częściej dotyczy nie samego kodu czy drugiego składnika, ale całego procesu wokół logowania, rejestracji urządzenia, wyjątków w polityce dostępu i utrzymania sesji.

Dobrze pokazuje to także tekst Okta pod ostrzałem. Ten scenariusz może pojawić się także w Polsce, gdzie problemem była warstwa tożsamości, a nie tylko wiadomość mailowa.

Phishing coraz częściej oznacza atak na cały workflow logowania

To jest chyba najważniejszy praktyczny wniosek z raportu Cisco. Współczesny phishing coraz rzadziej polega wyłącznie na kradzieży hasła. Coraz częściej chodzi o wejście w cały workflow logowania, rejestracji urządzenia, resetu dostępu, odbioru kodu albo utrzymania sesji.

W praktyce wygląda to tak: użytkownik klika link, widzi stronę wyglądającą wiarygodnie, loguje się do usługi, którą zna, a mimo to oddaje dostęp przeciwnikowi. Problem nie polega wyłącznie na wyglądzie strony. Problem polega na tym, czy cały proces dzieje się tam, gdzie powinien, i czy użytkownik trafia dokładnie do tej usługi, do której myśli, że trafił.

Jeżeli chcesz zobaczyć tę samą logikę w bardziej technicznym wariancie, wróć do wpisu Phishing omijający MFA AiTM. AiTM oznacza adversary-in-the-middle, czyli atak, w którym napastnik staje pomiędzy użytkownikiem a prawdziwą usługą i przechwytuje cały proces logowania.

Co mówi o tym NIST i dlaczego to ma znaczenie

W tym miejscu warto dorzucić jeszcze jedną instytucję, która porządkuje temat od strony standardów. NIST, czyli amerykański National Institute of Standards and Technology, od lat publikuje wytyczne dotyczące tożsamości cyfrowej i bezpieczeństwa uwierzytelniania.

To właśnie NIST mocno promuje pojęcie phishing-resistant MFA, czyli uwierzytelniania wieloskładnikowego odpornego na klasyczne wyłudzanie przez fałszywe strony logowania. W praktyce chodzi o metody, które nie polegają tylko na wpisaniu hasła i kodu do formularza, ale są powiązane kryptograficznie z właściwą usługą. Dlatego wyżej cenione są tu FIDO2 i passkeys niż słabsze metody oparte wyłącznie na kodach jednorazowych.

To ważne, bo dobrze ustawia proporcje. MFA samo w sobie nie jest gwarancją bezpieczeństwa. Liczy się to, jakie MFA wdrożysz i jak zabezpieczysz cały proces logowania wokół niego.

Dlaczego sektor publiczny i ochrona zdrowia są tak wysoko

Talos wskazuje, że w Q1 2026 sektor publiczny i ochrona zdrowia były najczęściej atakowanymi branżami, po 24 procent engagementów każda. Nie powinno to dziwić. Oba sektory zwykle łączą trzy trudne cechy: wysoką wartość danych, niską tolerancję na przestój i starszą infrastrukturę albo ograniczenia budżetowe.

To również ważna wskazówka dla rynku w Polsce. Tematy urzędowe, zdrowotne, publiczne i tożsamościowe nie są żadną niszą. Są wyjątkowo wygodne dla przeciwnika, bo łatwo na ich bazie zbudować wiarygodny pretekst do wiadomości, logowania albo telefonu.

Co firmy powinny z tym zrobić

Pierwszy wniosek jest prosty: nie traktować wzrostu phishingu jako powrotu starego problemu. To nie jest ten sam phishing co kilka lat temu. Jest szybszy, lepiej dopasowany, częściej osadzony w legalnych usługach i dużo mocniej związany z warstwą tożsamości.

Drugi wniosek dotyczy MFA. Jeśli organizacja nadal opiera się głównie na słabszych metodach i nie kontroluje procesu rejestracji nowego urządzenia, odzyskiwania dostępu oraz wyjątków w polityce logowania, zostawia przeciwnikowi sporo miejsca.

Trzeci wniosek dotyczy widoczności. Cisco wyraźnie podkreśla znaczenie centralnego logowania i SIEM. SIEM to system, który zbiera i koreluje logi z różnych źródeł, żeby dało się szybciej zauważyć podejrzany ciąg zdarzeń. Jeśli firma nie widzi całego łańcucha, od wejścia przez pocztę lub stronę aż po nowe urządzenie MFA i nietypową sesję, zareaguje za późno.

Czwarty wniosek dotyczy szkolenia. Awareness musi obejmować nie tylko link i załącznik, ale też całą sekwencję: kto prosi o logowanie, gdzie prowadzi ekran, czy proces rejestracji nowego urządzenia ma sens i czy użytkownik potrafi zatrzymać go we właściwym momencie.

Najważniejsza rzecz, którą warto zapamiętać

Raport Cisco Talos za Q1 2026 warto czytać nie jako prosty ranking metod initial access, ale jako sygnał zmiany wagi problemu. Phishing wrócił na pierwsze miejsce, bo nadal najłatwiej wykorzystać człowieka i jego ścieżkę logowania. AI przyspiesza przygotowanie ataku, a słabości MFA i tożsamości pomagają zamienić pojedynczą pomyłkę w realny incydent.

Najważniejsza lekcja dla firm jest dość twarda. Obrona przed phishingiem nie może już kończyć się na filtrze poczty i podstawowym MFA. Trzeba bronić całego procesu dostępu, od przynęty po sesję.

Jeżeli chcesz sprawdzić, czy Twoja organizacja ćwiczy właściwe scenariusze i czy użytkownicy potrafią zatrzymać się w odpowiednim momencie, zacznij od krótkiego quizu phishingowego PHISHLY.