70 proc. oszustw w sieci dotyczy fałszywych inwestycji finansowych. Głównie wykorzystywane są do tego treści w platformach społecznościowych

Sztuczna inteligencja przyspiesza cyberataki i zmienia ich charakter – czas przygotowania złośliwego kodu może się skrócić do kilku minut, a phishing odpowiada już za ponad 47 proc. wszystkich incydentów – wynika z raportu CERT Orange Polska. Największą część oszustw stanowią fałszywe inwestycje, które stanowią blisko 70 proc. przypadków.

– Główne trendy cyberbezpieczeństwa w 2026 roku i nadchodzących latach to zdecydowanie sztuczna inteligencja. Jej wpływ obserwujemy w bardzo wielu atakach, ale również w systemach obrony. Ta obrona i stosowane techniki muszą odpowiadać temu, co wykonują nasi adwersarze – liczy się czas, szybkość działania, usprawnianie tych ataków, odpowiedź na nie, często wspierane sztuczną inteligencją – podkreśla w rozmowie z agencją Newseria Robert Grabowski, szef CERT Orange Polska.

W 2025 roku CyberTarcza Orange zablokowała 345 tys. domen phishingowych, a niemal 5,5 mln osób ochroniła przed utratą danych czy pieniędzy. Jednocześnie phishing pozostaje najważniejszym wektorem ataków – odpowiada za ponad 47 proc. wszystkich incydentów, wyraźnie wyprzedzając ataki DDoS (niemal 16 proc.) i złośliwe oprogramowanie (ponad 13 proc.).

Skala zagrożeń rośnie, choć ich struktura od kilku lat pozostaje podobna. Zmienia się natomiast sposób realizacji ataków – coraz bardziej zautomatyzowany, skalowalny i oparty na gotowych narzędziach. Szacunkowo nawet 90 proc. kampanii phishingowych opiera się na tych samych schematach i gotowych szablonach, masowo replikowanych i modyfikowanych. Domeny wykorzystywane w atakach są generowane automatycznie i używane na dużą skalę, często tylko przez krótki czas, co utrudnia ich szybkie wykrywanie i blokowanie. Coraz częściej wykorzystywane są także specjalne aplikacje do wysyłki SMS-ów phishingowych, co dodatkowo zwiększa tempo i zasięg kampanii.

Phishing nie polega już wyłącznie na nakłonieniu użytkownika do kliknięcia w link. Coraz częściej jest to złożony ekosystem obejmujący fałszywe strony, reklamy, komunikację i infrastrukturę techniczną, zaprojektowany tak, by maksymalnie się upodobnić do wiarygodnych usług i zwiększyć skuteczność ataku.

– Zauważamy bardzo istotny wpływ sztucznej inteligencji na tzw. uzbrajanie podatności, czyli przygotowywanie złośliwego kodu, który ją wykorzysta. Teraz te exploity powstają w ciągu 24 godzin, ale spodziewamy się, że ten czas w nadchodzących latach może zostać skrócony nawet do kilku minut – ocenia Robert Grabowski.

Automatyzacja zmienia także strukturę samych oszustw. Największą część phishingu stanowią obecnie fałszywe inwestycje – odpowiadają za blisko 70 proc. wszystkich przypadków, podczas gdy jeszcze dwa lata wcześniej było to 28 proc. W tej kategorii dominują fałszywe giełdy i serwisy obiecujące szybki zysk bez ryzyka, dystrybuowane głównie za pośrednictwem mediów społecznościowych i największych sieci reklamowych.

Z danych raportu wynika, że ponad 72 proc. użytkowników, którzy trafili na strony phishingowe, zostało zwabionych właśnie przez scenariusze inwestycyjne. W praktyce oznacza to, że za skalą tych oszustw stoi przede wszystkim masowy kolportaż treści w platformach społecznościowych oraz wykorzystanie nieświadomych użytkowników jako kanału dalszej dystrybucji.

– Nie słabnie rynek fałszywych reklam i kolportażu złośliwych treści za ich pomocą w mediach społecznościowych i w głównych sieciach reklamowych. Zaawansowane grupy APT i ich zaawansowane techniki mają z kolei przełożenie na techniki wykorzystywane przez złośliwe oprogramowanie, które jest szeroko dystrybuowane. APT to najbardziej zaawansowane ataki wykorzystywane przez grupy, często sponsorowane przez rządy, skierowane w najbardziej kluczowe sektory, firmy. Wykorzystują one często tak zwane podatności zero-day – tłumaczy szef CERT Orange Polska.

Zmiany widoczne są również w charakterze ataków DDoS. Choć dominują krótkie incydenty trwające poniżej 10 minut i o stosunkowo niskim natężeniu, rośnie ich znaczenie operacyjne. Coraz częściej stanowią one element większych kampanii – wspierają działania dezinformacyjne, próby wymuszeń lub służą odwróceniu uwagi od równolegle prowadzonych operacji. W 2025 roku w sieci Orange odnotowano ataki o rekordowej sile, sięgającej 1,5 Tb/s.

Rok 2025 przyniósł także rozwój wielomilionowych botnetów, które umożliwiają prowadzenie ataków o niespotykanej wcześniej skali. Przykładem są sieci botów takie jak Aisuru, wykorzystywane do przeprowadzania bardzo dużych, skoordynowanych ataków DDoS.

Ataki DDoS przestają być jednorazowym zdarzeniem, a stają się narzędziem wykorzystywanym w złożonych scenariuszach operacyjnych. Platformizacja tego typu usług sprawia, że są one łatwo dostępne i mogą być precyzyjnie planowane, co fundamentalnie zmienia ich rolę w ekosystemie zagrożeń.

– Technologia pomaga zarówno obrońcom, jak i atakującym, którzy wykorzystują ją bez żadnych zasad etycznych i moralnych, w szczególności np. sztuczną inteligencję, my z kolei pracujemy w narzuconych etycznych ramach. To obosieczny miecz, musimy badać, jak się zmieniły ataki z wykorzystaniem sztucznej inteligencji, jaki ma ona wpływ na złośliwe oprogramowanie, na tworzony kod. Z drugiej strony musimy aktualizować nasze systemy wykrywania – przekonuje Robert Grabowski.

Rosnąca skala zagrożeń przekłada się na rozwój narzędzi ochronnych działających na poziomie sieci. Kluczowym rozwiązaniem pozostaje CyberTarcza Orange, która blokuje ruch do złośliwych domen jeszcze przed dotarciem do użytkownika, ograniczając skutki ataków niezależnie od jego reakcji.

– Gdy użytkownicy próbują odwiedzić złośliwe strony, strony phishingowe lub gdy złośliwe oprogramowanie próbuje się kontaktować z botmasterem, z serwerem C2, który steruje nim czy botnetem, ten ruch jest zatrzymywany w sieci Orange Polska. Albo ten ruch nie dociera, albo użytkownik zostaje poinformowany, że właśnie próbował odwiedzić złośliwą stronę, co ma też dodatkowy walor edukacyjny – wskazuje szef CERT Orange Polska.

Cyberprzestępcy coraz częściej wykorzystują narzędzia umożliwiające tworzenie wiarygodnych komunikatów i fałszywych stron na masową skalę, co sprawia, że kluczowym elementem systemu bezpieczeństwa pozostaje użytkownik oraz jego świadomość zagrożeń. Ciągły monitoring zagrożeń (threat hunting) czy przygotowywanie scenariuszy reakcji przestają być działaniami „na wszelki wypadek”, a stają się koniecznością.

CERT Orange Polska rozwija także narzędzia pozwalające monitorować wycieki danych i zwiększać kontrolę nad cyfrową tożsamością. Z rozwiązania Hasło Alert korzysta już ponad 40 tys. użytkowników. Narzędzie analizuje bazy wycieków liczące miliardy rekordów i umożliwia szybkie sprawdzenie, czy dane logowania zostały ujawnione.

– W tym roku uruchomiliśmy również nowy formularz na stronie cert.orange.pl, na którym można zweryfikować, czy domena jest złośliwa. Zatem zanim ktoś ją odwiedzi, może wpisać adres i dostanie informację, czy ta strona jest blokowana. Ten mechanizm na pewno będziemy rozbudowywać o nowe formy detekcji informacji – zapowiada Robert Grabowski.