AI napędza phishing. Raport Cisco Talos pokazuje zmianę taktyk cyberprzestępców

Phishing ponownie stał się głównym wektorem ataków, a jego skuteczność rośnie dzięki wykorzystaniu sztucznej inteligencji. Najnowszy raport Cisco Talos za pierwszy kwartał 2026 roku pokazuje wyraźną zmianę w taktykach cyberprzestępców. Zamiast skomplikowanych exploitów coraz częściej wybierają oni szybkie i skalowalne ataki wymierzone w użytkowników.

Z danych wynika, że phishing odpowiada już za ponad jedną trzecią incydentów bezpieczeństwa. Kluczową rolę odgrywają narzędzia AI, które pozwalają tworzyć wiarygodne strony wyłudzające dane w ciągu kilku minut, bez potrzeby programowania.

– Obserwujemy fundamentalną zmianę w taktykach atakujących – odchodzą oni od złożonych exploitów typu zero-day i wracają do sprawdzonych, skalowalnych ataków ukierunkowanych na ludzi – powiedział Marcin Klimowski, Cybersecurity Sales Specialist w Cisco Polska.

W praktyce oznacza to obniżenie bariery wejścia. Nawet mniej doświadczeni cyberprzestępcy mogą dziś przygotować kampanię phishingową przy użyciu prostych poleceń. W jednym z opisanych przypadków wykorzystano platformę Softr do stworzenia fałszywej strony logowania podszywającej się pod usługi Microsoft Exchange i Outlook Web Access. Dane trafiały automatycznie do arkuszy Google, a cały proces nie wymagał pisania kodu.

Zmiana wektorów ataku i słabości MFA

Raport pokazuje także wyraźną zmianę w strukturze zagrożeń. W 2025 roku dominowały ataki wykorzystujące luki w oprogramowaniu, takie jak ToolShell w SharePoint. W pierwszym kwartale 2026 ich udział spadł z 62% do 18%. W tym samym czasie phishing odzyskał pozycję lidera, a wykorzystanie prawidłowych danych logowania odpowiadało za 24% incydentów.

Niepokojący jest również wzrost skuteczności ataków omijających uwierzytelnianie wieloskładnikowe. W 35% przypadków napastnicy potrafili obejść MFA, między innymi poprzez rejestrację nowych urządzeń lub bezpośrednie połączenia z serwerami pocztowymi.

Spadek wykorzystania ToolShell pokazuje, że szybkie łatanie podatności działa, ale atakujący nie rezygnują, po prostu zmieniają podejście – podkreślił Klimowski.

Sektory najbardziej narażone

Najczęściej atakowanymi sektorami pozostają administracja publiczna oraz ochrona zdrowia. Każdy z nich odpowiada za 24% incydentów. To efekt połączenia ograniczonych budżetów, przestarzałej infrastruktury oraz wysokiej wartości przetwarzanych danych.

Mniej ransomware, ale ryzyko pozostaje

Udział ransomware spadł do 18% incydentów, podczas gdy rok wcześniej wynosił 50%. Co istotne, dzięki szybkiej reakcji zespołów reagowania nie odnotowano przypadków szyfrowania danych. Nie oznacza to jednak końca zagrożenia. Grupy działające w modelu ransomware-as-a-service nadal są aktywne i rozwijają swoje operacje.

Prawie 400% więcej ofiar ransomware – AI zmienia reguły gry w cyberbezpieczeństwie

Wnioski dla biznesu

Raport jasno wskazuje, że pojedyncze zabezpieczenia nie są już wystarczające. Organizacje muszą wdrażać podejście wielowarstwowe, obejmujące zarówno technologie, jak i edukację użytkowników.

Rosnąca rola AI w cyberatakach zmienia reguły gry. Szybkość i skala działań przestępców zaczynają przewyższać możliwości tradycyjnych mechanizmów obrony. To sygnał, że bezpieczeństwo cyfrowe wchodzi w nową fazę, w której największym wyzwaniem pozostaje człowiek.