Testy phishingowe dla firm. Jak sprawdzić realną odporność pracowników, a nie tylko kliknięcia

2026-05-06

TL;DR

Test phishingowy dla firmy nie powinien kończyć się na prostym wyniku pokazującym, ilu pracowników kliknęło link. Kliknięcie jest ważnym sygnałem, ale samo w sobie mówi niewiele. Nie pokazuje, kto zatrzymał się przed podaniem hasła, kto zgłosił wiadomość, kto zeskanował kod QR, kto wszedł w fałszywy proces MFA ani jak szybko organizacja potrafiła zareagować po pierwszym zgłoszeniu. Dobrze zaprojektowany test phishingowy mierzy nie tylko błąd użytkownika, ale cały proces reakcji. Pokazuje, gdzie pracownik przerwał atak, czy wiedział, jak zgłosić podejrzaną wiadomość, czy organizacja miała szybki kanał eskalacji i czy zespół bezpieczeństwa potrafił przełożyć zgłoszenie na konkretne działanie. Dopiero wtedy test przestaje być prostą zabawą w kliknięcia, a zaczyna być realnym pomiarem odporności organizacji.

Dlaczego szkolenie raz w roku nie wystarcza

W wielu firmach cyberbezpieczeństwo użytkowników nadal sprowadza się do jednego szkolenia rocznie. Pracownik obejrzy prezentację, odpowie na kilka pytań, podpisze listę obecności i formalnie temat jest zamknięty. Problem polega na tym, że phishing nie działa w warunkach sali szkoleniowej. Działa wtedy, gdy ktoś się spieszy, ma otwarte kilka spraw naraz, czeka na fakturę, odpowiada klientowi, odbiera telefon albo próbuje szybko załatwić zadanie przed spotkaniem. Wiedza deklaratywna jest potrzebna, ale sama nie wystarcza. Można wiedzieć, że nie wolno klikać w podejrzane linki, a mimo to kliknąć, gdy wiadomość wygląda znajomo, pasuje do kontekstu pracy i pojawia się w dobrym momencie. Właśnie dlatego testy phishingowe są tak cenne. Nie sprawdzają, czy pracownik pamięta definicję phishingu. Sprawdzają, co robi w codziennym środowisku pracy, gdy wiadomość wygląda na prawdziwą. Dobry program awareness powinien łączyć szkolenie, symulacje i krótkie mikrolekcje po zdarzeniu. Szkolenie daje podstawy. Test pokazuje zachowanie. Mikrolekcja pomaga poprawić konkretny błąd w momencie, w którym użytkownik najlepiej rozumie, co się właśnie wydarzyło.

Phishing zmienił się szybciej niż wiele programów szkoleniowych

Przez lata phishing kojarzył się z prostym mailem pełnym błędów językowych, dziwną domeną i linkiem do fałszywego logowania. Takie kampanie nadal istnieją, ale nie opisują już całego problemu. Współczesny phishing coraz częściej korzysta z legalnych platform, poprawnego języka, znanych marek, wiadomości z systemów SaaS, kodów QR, SMS-ów, telefonów i fałszywych procesów logowania. Microsoft w swoich analizach krajobrazu zagrożeń e-mailowych zwraca uwagę między innymi na QR phishing, kampanie ukryte za CAPTCHA, BEC oraz rosnącą złożoność łańcuchów ataku. Cisco Talos pokazał z kolei, że w pierwszym kwartale 2026 roku phishing znów był najczęściej obserwowaną metodą initial access, czyli pierwszego skutecznego wejścia do środowiska ofiary. To ważny sygnał dla firm: nie wystarczy sprawdzać, czy pracownik rozpozna bardzo oczywisty, podejrzany mail. Jeśli test phishingowy ogranicza się do jednej wiadomości e-mail z linkiem, to mierzy tylko wycinek rzeczywistości. Nie pokazuje reakcji na SMS, kod QR, fałszywe powiadomienie SaaS, telefon od rzekomego wsparcia, prośbę o potwierdzenie MFA ani stronę logowania działającą w modelu AiTM. AiTM, czyli adversary-in-the-middle, to scenariusz, w którym fałszywa strona działa jak pośrednik między użytkownikiem a prawdziwą usługą i może próbować przechwycić nie tylko hasło, ale też kod lub sesję.

Co powinien mierzyć dobry test phishingowy

Najczęściej firmy zaczynają od kliknięć. To naturalne, bo kliknięcie jest łatwe do policzenia i dobrze wygląda w raporcie. Problem polega na tym, że kliknięcie nie jest jeszcze pełną historią. Jeden użytkownik może kliknąć, ale natychmiast zamknąć stronę. Drugi kliknie, wpisze login, poda hasło, potwierdzi MFA i dopiero wtedy zorientuje się, że coś jest nie tak. Z punktu widzenia ryzyka to są zupełnie różne sytuacje. Dlatego dobry test phishingowy powinien mierzyć kolejne etapy reakcji. Otwarcie wiadomości pokazuje, czy temat i nadawca przyciągnęły uwagę. Kliknięcie pokazuje, czy przynęta zadziałała. Wejście w formularz mówi, czy użytkownik był gotów kontynuować proces. Podanie danych logowania pokazuje już realne ryzyko przejęcia konta. Skan kodu QR mówi, czy atak przeniósł się na telefon. Interakcja z MFA pokazuje, czy użytkownik rozumie, kiedy drugi składnik logowania może zostać nadużyty. Pobranie załącznika pokazuje ryzyko związane z plikami. Zgłoszenie wiadomości pokazuje natomiast coś bardzo ważnego: czy użytkownik potrafi przerwać atak i uruchomić reakcję organizacji. W praktyce najbardziej wartościowy raport nie pokazuje jednego procentu. Pokazuje ścieżkę. Ilu pracowników otworzyło wiadomość, ilu kliknęło, ilu zatrzymało się przed formularzem, ilu podało dane, ilu zgłosiło incydent i po jakim czasie pojawiło się pierwsze zgłoszenie. Taka mapa zachowań mówi znacznie więcej niż sama klikalność.