Cyberprzestępcy coraz częściej rezygnują z luk w systemach i koncentrują się na użytkownikach, wykorzystując AI do szybkiego tworzenia wiarygodnych kampanii phishingowych.
Podsumowanie:
- Phishing ponownie stał się głównym wektorem początkowego dostępu (po raz pierwszy od roku) odpowiadając za ponad jedną trzecią wszystkich incydentów,
- Cyberprzestępcy wykorzystują obecnie narzędzia AI do tworzenia stron wyłudzających dane logowania w ciągu kilku minut,
- Udział ransomware spadł znacząco do zaledwie 18% incydentów (z 50% rok wcześniej), a dzięki szybkiej reakcji Cisco Talos IR nie odnotowano przypadków szyfrowania danych.
Narzędzia AI wykorzystywane do phishingu na dużą skalę
Z najnowszego raportu Cisco Talos za Q1 2026 wynika, że phishing wspierany przez AI znów zyskuje na znaczeniu. Cyberprzestępcy rzadziej wykorzystują złożone podatności techniczne, a częściej sięgają po ataki wymierzone w użytkowników, które dzięki AI są łatwiejsze do przygotowania i skalowania.
„Obserwujemy fundamentalną zmianę w taktykach atakujących – odchodzą oni od złożonych exploitów typu zero-day i wracają do sprawdzonych, skalowalnych ataków ukierunkowanych na ludzi” – mówi Marcin Klimowski, Cybersecurity Sales Specialist w Cisco Polska. „Jeśli atakujący może w kilka minut stworzyć wiarygodną stronę do wyłudzania danych logowania przy użyciu platformy opartej na AI i kilku poleceń, wchodzimy w nową erę, w której tempo i skala ataków socjotechnicznych przewyższą wiele tradycyjnych mechanizmów obrony. Ma to bezpośrednie konsekwencje dla bezpieczeństwa przedsiębiorstw oraz szerszej debaty o roli AI w działaniach ofensywnych”.
W jednym z incydentów cyberprzestępcy wykorzystali platformę Softr (narzędzie do tworzenia aplikacji webowych oparte na AI), aby wygenerować stronę phishingową ukierunkowaną na pracowników administracji publicznej, podszywającą się pod Microsoft Exchange i Outlook Web Access.
Strona została stworzona przy użyciu prostych promptów, bez pisania kodu, co znacząco ułatwiło działanie mniej doświadczonym cyberprzestępcom. Wykradzione dane trafiały do zewnętrznych, tymczasowych repozytoriów, takich jak Google Sheets, z automatycznymi powiadomieniami o nowych przechwyconych danych, również bez potrzeby programowania.
Wyraźna zmiana w wektorach początkowego dostępu
Powrót phishingu jako głównego wektora ataku stanowi istotną zmianę. Po masowym wykorzystywaniu luk w SharePoint (ToolShell) w 2025 roku, udział tego typu ataków spadł z 62% do zaledwie 18% w Q1 2026, dzięki szybkiemu wdrażaniu poprawek i lepszym mechanizmom detekcji.
Phishing, który nie był na pierwszym miejscu od Q2 2025, ponownie zyskał dominującą pozycję, a wykorzystanie prawidłowych danych logowania zajęło drugie miejsce (24%).
Marcin Klimowski komentuje: „Spadek wykorzystania ToolShell pokazuje, że szybkie łatanie podatności działa, ale atakujący nie rezygnują, po prostu zmieniają podejście. Zamiast wykorzystywać niezałatane systemy, skupiają się na ludziach. Dane z tego kwartału przypominają, że zabezpieczenia techniczne i te ukierunkowane na użytkowników muszą rozwijać się równolegle”.
Coraz częstsze wykorzystywanie słabości MFA
W 35% incydentów odnotowano wykorzystanie słabości uwierzytelniania wieloskładnikowego (MFA), co oznacza wzrost względem poprzedniego kwartału. Atakujący omijali MFA m.in. poprzez rejestrowanie nowych urządzeń na wcześniej przejętych kontach, a w jednym przypadku skonfigurowali klienta Outlook tak, aby łączył się bezpośrednio z serwerem Exchange, całkowicie omijając MFA.
Wnioski są jednoznaczne, samo wdrożenie MFA nie wystarcza. Organizacje powinny ograniczyć możliwość samodzielnej rejestracji urządzeń oraz wdrożyć scentralizowane i rygorystyczne polityki uwierzytelniania.
Administracja publiczna i ochrona zdrowia nadal na celowniku
Administracja publiczna oraz ochrona zdrowia to najczęściej atakowane sektory. Każdy z nich odpowiadał za 24% incydentów. To już trzeci kwartał z rzędu, w którym administracja publiczna znajduje się na pierwszym miejscu.
Organizacje te pozostają atrakcyjnymi celami ze względu na ograniczone budżety, starszą infrastrukturę, dostęp do wrażliwych danych oraz niską tolerancję na przestoje.
Mniej ransomware nie oznacza mniejszego ryzyka
Incydenty typu pre-ransomware stanowiły jedynie 18% przypadków, a dzięki szybkiej reakcji Cisco Talos IR nie doszło do szyfrowania danych. To znaczący spadek względem 50% rok wcześniej. Cisco Talos podkreśla jednak, że duże operacje ransomware-as-a-service, takie jak Qilin czy Akira, nadal pozostają aktywne, a ich serwisy publikujące wykradzione dane są regularnie aktualizowane.
W jednym z incydentów grupa Rhysida wykorzystała nietypowy backdoor (MeowBackConn) oraz błędy w konfiguracji, takie jak otwarte porty zarządzania i nadmierne uprawnienia kont, co pokazuje, że słabo zabezpieczona infrastruktura nadal stanowi poważne ryzyko.
Kluczowe rekomendacje
Marcin Klimowski podkreśla, że wyniki raportu wymagają pilnych działań na wielu poziomach: „Organizacje powinny inwestować w MFA odporne na phishing, ograniczać możliwość samodzielnej rejestracji urządzeń oraz traktować dane uwierzytelniające deweloperów i tokeny chmurowe z taką samą ostrożnością jak konta uprzywilejowane. Połączenie phishingu wspieranego przez AI i technik omijania MFA oznacza, że pojedyncze zabezpieczenie nie wystarczy. Konieczna jest wielowarstwowa, proaktywna strategia obrony”.
