||

AI phishing i deepfake 2026 – jak sztuczna inteligencja zmienia ataki i jak się bronić

ai phising i deepfake 2026

AI phishing i deepfake 2026

Rok 2026 jest punktem zwrotnym dla cyberbezpieczeństwa w Polsce. CERT Polska zarejestrował w 2025 roku 260 783 unikalne incydenty cyberbezpieczeństwa (wzrost o 152% rok do roku), z czego 78 391 incydentów to phishing — średnio jeden co dwie minuty. To, co jeszcze w 2023 roku rozpoznawało się po łamanej polszczyźnie i absurdalnych adresach, dziś przychodzi w postaci perfekcyjnie napisanego maila z prawdziwymi danymi z LinkedIna i telefonu w którym głos brzmiący jak prezes firmy prosi o pilny przelew.

Czym jest AI phishing i deepfake

AI phishing to rodzaj cyberataku, gdzie sztuczna inteligencja jest używana do tworzenia spersonalizowanych, przekonujących wiadomości designed to trick people. Deepfake technology can generate realistic video or audio impersonating a real person.

Sztuczna inteligencja przestała być wyłącznie narzędziem po stronie obrońców. Stała się bronią ofensywną — dostępną, tanią, skalowalną. Grupy ransomware używają modeli językowych do generowania malware. Grupy BEC klonują głosy prezesów w czasie rzeczywistym.

Jak AI fundamentalnie zmieniło phishing

1. Perfekcyjna gramatyka i styl

LLM-y (GPT-5, Claude, lokalne modele open-source jak Llama 3) generują teksty nieodróżnialne od pism prawdziwego banku, kuriera czy urzędu. Polszczyzna w mailach z 2026 jest często lepsza niż w korespondencji prawdziwych instytucji.

2. Personalizacja na masową skalę

Atakujący scrapują LinkedIn, biały wywiad (OSINT), wycieki danych i karmią tym LLM-a, który generuje spersonalizowanego maila do każdej ofiary. Imię, stanowisko, nazwa pracodawcy, nazwa projektu, imię szefa — wszystko prawdziwe.

3. Multi-channel choreography

Najgroźniejsze kampanie 2026 to nie pojedynczy mail — to sekwencja: SMS o przesyłce → email „potwierdź” → telefon z „kuriera” → push-bombing 2FA → ostatecznie deepfake-video w Teams od „szefa”. Każdy kanał uwiarygadnia poprzedni.

Top 5 nowych technik AI phishing 2026

TechnikaOpisPrzykład
AI-cloned voice CEO fraud (vishing 2.0)Klonowanie głosu prezesa z 30 sekund nagraniaW 2025 NASK odnotował 14 przypadków w Polsce — łączna strata 11,3 mln zł 
Deepfake video w Microsoft Teams / ZoomAvatar to deepfake w czasie rzeczywistymHong Kong 2024: przelew 25 mln USD po deepfake-video meetingu 
Polymorphic email z AitM landing pageStrona wygląda dokładnie jak prawdziwy bankMFA SMS w tym ataku nie pomaga — tylko FIDO2/passkey 
Browser-in-the-Browser (BitB)Fałszywe okno przeglądarki wewnątrz prawdziwejKlasyczny atak na OAuth login (Google, Microsoft, Apple) 
Quishing — QR phishingQR kod w mailu omija filtry emailCERT Polska w 2025: 12-krotny wzrost quishingu 

Jak to wpływa na ludzi

Z badań NASK wynika, że 66% Polaków nie potrafi rozpoznać sklonowanego głosu AI, a 58% pracowników w ogóle nie wie, czym jest deepfake. Nowoczesne modele klonowania głosu osiągają poziom realizmu, przy którym nawet bliscy współpracownicy ofiary nie są w stanie odróżnić klonu od oryginału w rozmowie telefonicznej.

Badania z 2024-2025 roku pokazują, że ludzie prawidłowo identyfikują syntetyczny głos w mniej niż 50% przypadków — co oznacza, że intuicja nie jest skutecznym mechanizmem obronnym.

Jak to wpływa na firmy

Business Email Compromise to jeden z najkosztowniejszych typów cyberataków — według danych FBI straty z BEC w samym 2024 roku przekroczyły 3 miliardy dolarów. Średni koszt incydentu BEC to kilkaset tysięcy złotych, a w dużych organizacjach wielokrotnie więcej.

W 2025 amerykańskie firmy straciły na AI voice fraud 25 mld USD (Deloitte). Atakujący targetują głównie dyrektorów finansowych, głównych księgowych i pracowników działów płatności.

Polskie kampanie phishingowe 2026

NASK zidentyfikował w pierwszym kwartale 2026 ponad 13 200 reklam zawierających deepfake, najczęściej z wizerunkami Roberta Lewandowskiego, Donalda Tuska, Jerzego Owsiaka i prezesów polskich banków.

Najpopularniejsze kampanie w Polsce:

  • InPost — fałszywe śledzenie i „dopłata do paczki” — CERT zablokował 1 883 610 takich SMS-ów w 2025
  • mBank Security Key — fałszywa aplikacja w Google Play przechwytująca kody autoryzacji
  • ZUS — „rozliczenie podatku” — fałszywa domena zus-rozliczenie.pl
  • BLIK na Facebook / WhatsApp — deepfake voice message na WhatsApp z głosem znajomego

Jak rozpoznać AI phishing — checklista

Polszczyzna i ortografia już nie są wskazówkami. Skup się na kontekście, kanale i pilności.

1. Sprawdź URL (nie nazwę nadawcy)

Najedź kursorem na link bez klikania — w lewym dolnym rogu zobaczysz prawdziwy adres. mbank-bezpieczenstwo.pl to nie mBank. Banki używają wyłącznie domeny głównej (mbank.plpkobp.pl).

2. Pilność = czerwona flaga

„Zrób to w ciągu 24h”, „konto zostanie zablokowane”, „ostatnia szansa”. Pilność jest narzędziem manipulacji, nie standardem komunikacji instytucji.

3. Kanał drugi (out-of-band verification)

Dostałeś maila/SMS od banku/szefa/kontrahenta z prośbą o pieniądze? Zadzwoń na znany numer (z tyłu karty, ze strony oficjalnej — nie z maila). To jedna technika, która ratuje przed 99% AI phishingu.

Rozpoznawanie deepfake video — co naprawdę zdradza

WskaźnikCo obserwować
Synchronizacja warg„sz”, „cz”, „ż” i polskie samogłoski nosowe — model trenowany na angielskim faila na pl-PL 
Ruchy oczuNaturalne mruganie 15-20×/min. Deepfake często mruga regularnie lub nie mruga wcale 
Cienie i oświetlenieSprawdź spójność światła na twarzy vs tło 
Test interaktywny„Proszę, podnieś rękę i pokaż 3 palce” — deepfake real-time radzi sobie z mówieniem, ale interakcje fizyczne wymagają pełnego modelu 3D 

Rozpoznawanie deepfake audio — sygnały telefonu

  • Płaska intonacja — przy 30+ sekundach traci dynamikę, intonacja staje się monotonna
  • Brakujące oddechy — naturalne mówienie ma micro-pauzy na oddech
  • Brak tła akustycznego — prawdziwa rozmowa ma tło (echo pomieszczenia), deepfake często jest „za czysty”
  • Callback verification — „OK, oddzwonię za 2 minuty”. Rozłącz się, zadzwoń na znany numer rozmówcy

Jak się bronić — strategia obrony

Dla osób prywatnych

  1. FIDO2/passkey zamiast SMS 2FA — klucz sprzętowy FIDO2 jest phishing-resistant by design
  2. Zaawansowane filtry anty-phishingowe — w systemie Windows i przeglądarce muszą być aktywowane domyślne zabezpieczenia
  3. Oprogramowanie antywirusowe — obecnie dostępne są rozwiązania anty-phishingowe w ramach pakietów bezpieczeństwa IT
  4. DNS filtering — istnieją techniczne możliwości filtrowania połączeń DNS na poziomie sieci

Dla małych firm (5-25 osób)

Firmy potrzebują wielowarstwowej strategii obrony:

  • Email + zabezpieczenia systemu — pakiet biznesowy z wbudowanymi mechanizmami anty-phishingowymi
  • MFA / passkey — klucz sprzętowy FIDO2 dla najważniejszych pracowników (CEO, CFO)
  • Anti-phishing — zabezpieczenia w ramach pakietu systemowego
  • SAT + phishing sim — narzędzia do symulacji ataków phishingowych i szkoleń pracowników
  • DNS filtering — rozwiązania filtrowania DNS dostępne na poziomie sieci firmowej

Dla firm kluczowe procedury

  1. Procedura dual-channel — każda transakcja powyżej ustalonego progu wymaga autoryzacji przez co najmniej dwa niezależne kanały
  2. Zero trust for urgent requests — każda prośba oznaczona jako „pilna” powinna automatycznie uruchamiać rozszerzony protokół weryfikacji
  3. Szkolenia pracowników — miesięczne 5-minutowe „kąski” wiedzy działają znacznie lepiej niż 4-godzinne szkolenie raz w roku
  4. Kultura „bez winy” — pracownik, który kliknął w link phishingowy, powinien natychmiast to zgłosić bez obawy przed karą

Co zrobić, gdy padłeś ofiarą — checklista

Krok 1: Zablokuj kanał — Karta płatnicza → infolinia banku → „zablokuj kartę”

Krok 2: Zmień hasła — Konto Google/Apple/Microsoft, email główny, banki, social media

Krok 3: Zgłoś phishingowy URL — CERT Polska Lista Ostrzeżeń: incydent.cert.pl lub SMS na 8080

Krok 4: Zgłoś na policję — Online: policja.gov.pl → „Formularz zgłoszenia oszustwa internetowego”

Krok 5: Zgłoś do banku — Złóż reklamację o zwrot środków — w przypadku phishingu banki zwracają w 60-80% przypadków

Krok 6: Skan urządzeń — Pełen skan antywirusem (dostępne są nowoczesne rozwiązania antywirusowe)

Krok 7: Monitoruj — Włącz alerty SMS od banku, sprawdzaj wyciągi codziennie przez 30 dni

Podsumowanie

Bezpieczeństwo 2026 nie polega już na rozpoznaniu „czy to phishing”. Polega na tym, żeby phishing nie miał technicznie szansy zadziałać — FIDO2 zamiast SMS, AitM-resistant logowania, monitoring agentów AI, SAT pracowników.

Najważniejsza zasada: out-of-band verification — weryfikacja każdej niestandardowej prośby alternatywnym kanałem komunikacji jest najważniejszym narzędziem obronnym. To jedna technika, która ratuje przed 99% AI phishingu.

Podobne wpisy