Sztuczna inteligencja nasila cyberataki i transformuje ich naturę – czas tworzenia szkodliwego kodu może skurczyć się do zaledwie kilku minut, a phishing jest odpowiedzialny za ponad 47% wszystkich zajść – wynika z raportu CERT Orange Polska. Największy segment oszustw to nieprawdziwe inwestycje, stanowiące niemal 70% incydentów.
– Najważniejsze tendencje cyberbezpieczeństwa w roku 2026 i w najbliższych latach to bez wątpienia sztuczna inteligencja. Jej wpływ dostrzegamy w bardzo wielu atakach, ale również w systemach ochrony. Ta ochrona i wykorzystywane technologie muszą odpowiadać temu, co realizują nasi przeciwnicy – kluczowy jest czas, szybkość reakcji, udoskonalanie tych ataków, odpieranie ich, często przy pomocy sztucznej inteligencji – podkreśla w wywiadzie dla agencji Newseria Robert Grabowski, dyrektor CERT Orange Polska.
W roku 2025 CyberTarcza Orange powstrzymała 345 tys. domen phishingowych, a blisko 5,5 mln osób uchroniła przed utratą danych osobowych lub środków finansowych. Jednocześnie phishing wciąż pozostaje najistotniejszym źródłem ataków – jest odpowiedzialny za ponad 47% wszystkich zajść, znacząco wyprzedzając ataki DDoS (niemal 16%) oraz szkodliwe oprogramowanie (ponad 13%).
Zakres niebezpieczeństw wzrasta, mimo że ich budowa od paru lat pozostaje zbliżona. Transformuje się natomiast metoda przeprowadzania ataków – w coraz większym stopniu zautomatyzowana, skalowalna i bazująca na gotowych narzędziach. Orientacyjnie nawet 90% kampanii phishingowych bazuje na tych samych wzorach i gotowych szablonach, masowo kopiowanych i modyfikowanych. Domeny używane w atakach są tworzone automatycznie i wykorzystywane na szeroką skalę, często tylko przez krótki czas, co komplikuje ich szybkie odkrywanie i unieszkodliwianie. Coraz powszechniej wykorzystywane są również specjalne aplikacje do rozsyłania wiadomości SMS phishingowych, co dodatkowo podnosi tempo i rozległość kampanii.
Phishing nie koncentruje się już wyłącznie na nakłonieniu użytkownika do kliknięcia w odnośnik. Coraz częściej jest to rozbudowany ekosystem obejmujący podrobione witryny, ogłoszenia, wymianę informacji oraz infrastrukturę informatyczną, opracowany w taki sposób, aby w jak największym stopniu przypominać rzetelne usługi i zwiększyć prawdopodobieństwo powodzenia ataku.
– Dostrzegamy bardzo istotny wpływ sztucznej inteligencji na tzw. uzbrajanie podatności, czyli tworzenie złośliwego kodu, który ją wykorzysta. Obecnie te exploity powstają w ciągu 24 godzin, ale prognozujemy, że ten czas w nadchodzących latach może ulec skróceniu nawet do kilku minut – prognozuje Robert Grabowski.
Automatyzacja przeobraża również strukturę samych oszustw. Największą część phishingu stanowią obecnie fałszywe inwestycje – odpowiadają za blisko 70% wszystkich przypadków, podczas gdy jeszcze dwa lata wcześniej było to 28%. W tej kategorii królują fałszywe platformy wymiany walut i serwisy gwarantujące szybki dochód bez ryzyka, rozpowszechniane głównie za pośrednictwem platform społecznościowych i największych sieci reklamowych.
Z danych raportu wynika, że ponad 72% użytkowników, którzy natrafili na strony phishingowe, zostało skuszonych właśnie przez schematy inwestycyjne. W praktyce oznacza to, że za rozmiarem tych oszustw stoi przede wszystkim masowa dystrybucja treści w mediach społecznościowych oraz wykorzystanie nieświadomych użytkowników jako kanału dalszego rozpowszechniania.
– Nie słabnie segment podrobionych reklam i rozpowszechniania złośliwych treści za ich pośrednictwem w platformach społecznościowych i w głównych sieciach reklamowych. Zaawansowane grupy APT i ich zaawansowane metody mają z kolei odzwierciedlenie na techniki stosowane przez złośliwe oprogramowanie, które jest szeroko rozpowszechniane. APT to najbardziej wyrafinowane ataki realizowane przez grupy, nierzadko finansowane przez rządy, skierowane w najbardziej strategiczne sektory, firmy. Wykorzystują one często tak zwane luki zero-day – wyjaśnia dyrektor CERT Orange Polska.
Przemiany zauważalne są także w charakterze ataków DDoS. Mimo że dominują krótkotrwałe incydenty trwające krócej niż 10 minut i o relatywnie niskim nasileniu, rośnie ich znaczenie operacyjne. Coraz częściej stanowią one część większych kampanii – wspomagają działania dezinformacyjne, próby wymuszeń lub służą odwróceniu uwagi od równolegle prowadzonych działań. W roku 2025 w sieci Orange zarejestrowano ataki o rekordowej sile, sięgającej 1,5 Tb/s.
Rok 2025 przyniósł również ekspansję wielomilionowych botnetów, które umożliwiają przeprowadzanie ataków o niespotykanej dotąd skali. Przykładem są sieci botów takie jak Aisuru, wykorzystywane do realizacji bardzo dużych, skoordynowanych ataków DDoS.
Ataki DDoS przestają być pojedynczym wydarzeniem, a stają się narzędziem stosowanym w złożonych scenariuszach operacyjnych. Platformizacja tego rodzaju usług sprawia, że są one łatwo dostępne i mogą być precyzyjnie planowane, co fundamentalnie zmienia ich rolę w ekosystemie niebezpieczeństw.
– Technologia wspiera zarówno obrońców, jak i napastników, którzy wykorzystują ją bez żadnych zasad etycznych i moralnych, w szczególności np. sztuczną inteligencję, my z kolei działamy w narzuconych etycznych ramach. To miecz obosieczny, musimy analizować, jak się zmieniły ataki z wykorzystaniem sztucznej inteligencji, jaki ma ona wpływ na złośliwe oprogramowanie, na tworzony kod. Z drugiej strony musimy uaktualniać nasze systemy wykrywania – przekonuje Robert Grabowski.
Wzrastający zakres niebezpieczeństw przekłada się na rozwój narzędzi ochronnych działających na poziomie sieci. Podstawowym rozwiązaniem wciąż pozostaje CyberTarcza Orange, która blokuje ruch do złośliwych domen jeszcze zanim dotrze do użytkownika, ograniczając skutki ataków bez względu na jego reakcję.
– Gdy użytkownicy próbują odwiedzić złośliwe witryny, strony phishingowe lub gdy złośliwe oprogramowanie usiłuje kontaktować się z botmasterem, z serwerem C2, który nim steruje czy botnetem, ten ruch jest zatrzymywany w sieci Orange Polska. Albo ten ruch nie dociera, albo użytkownik zostaje poinformowany, że właśnie próbował odwiedzić złośliwą stronę, co ma też dodatkowy aspekt edukacyjny – zaznacza dyrektor CERT Orange Polska.
Cyberprzestępcy coraz powszechniej wykorzystują narzędzia umożliwiające tworzenie autentycznych komunikatów i podrobionych stron na masową skalę, co sprawia, że kluczowym elementem systemu bezpieczeństwa pozostaje użytkownik oraz jego świadomość niebezpieczeństw. Stałe monitorowanie niebezpieczeństw (threat hunting) czy przygotowywanie scenariuszy odpowiedzi przestają być działaniami „na wszelki wypadek”, a stają się niezbędnością.
CERT Orange Polska rozwija również narzędzia pozwalające monitorować wycieki danych i wzmacniać kontrolę nad cyfrową tożsamością. Z rozwiązania Hasło Alert korzysta już ponad 40 tys. użytkowników. Narzędzie analizuje bazy wycieków liczące miliardy rekordów i umożliwia szybką weryfikację, czy dane logowania zostały ujawnione.
– W tym roku uruchomiliśmy także nowy formularz na stronie cert.orange.pl, na którym można sprawdzić, czy domena jest złośliwa. A zatem zanim ktoś ją odwiedzi, może wpisać adres i otrzyma informację, czy ta strona jest blokowana. Ten mechanizm na pewno będziemy rozbudowywać o nowe formy detekcji informacji – zapowiada Robert Grabowski.