Sztuczna inteligencja nasila ataki cybernetyczne i przekształca ich oblicze – czas opracowania szkodliwego kodu może się zredukować do kilku chwil, a wyłudzanie informacji odpowiada już za ponad 47% wszystkich przypadków – wynika z raportu CERT Orange Polska. Najobszerniejszą kategorię nieuczciwości stanowią podrobione inwestycje, które obejmują blisko 70% incydentów.
– Czołowe tendencje w cyberbezpieczeństwie w 2026 roku oraz w kolejnych latach to bezsprzecznie sztuczna inteligencja. Jej oddziaływanie obserwujemy w wielu atakach, jak i w systemach obrony. Ta ochrona oraz używane techniki muszą dorównywać temu, co czynią nasi przeciwnicy – zasadniczy jest czas, tempo działania, usprawnianie tych ataków, reakcja na nie, często wspomagane sztuczną inteligencją – zaznacza w rozmowie z agencją Newseria Robert Grabowski, szef CERT Orange Polska.
W roku 2025 CyberTarcza Orange powstrzymała 345 tys. domen phishingowych, a prawie 5,5 mln osób uchroniła przed utratą danych lub środków pieniężnych. Równocześnie phishing pozostaje najistotniejszym nośnikiem ataków – powoduje ponad 47% wszystkich incydentów, znacząco przewyższając ataki DDoS (blisko 16%) i złośliwe oprogramowanie (ponad 13%).
Rozmiar zagrożeń wzrasta, pomimo że ich struktura od paru lat pozostaje analogiczna. Odmienia się natomiast sposób przeprowadzania ataków – coraz bardziej zautomatyzowany, skalowalny i bazujący na gotowych narzędziach. Orientacyjnie nawet 90% kampanii phishingowych opiera się na tych samych wzorcach i gotowych szablonach, seryjnie powielanych i modyfikowanych. Domeny wykorzystywane w atakach są tworzone automatycznie i wykorzystywane na dużą skalę, często tylko przez krótki okres, co utrudnia ich szybkie odkrywanie i blokowanie. Coraz częściej używane są także specjalne aplikacje do rozsyłki SMS-ów phishingowych, co dodatkowo podnosi tempo i rozpiętość kampanii.
Phishing nie opiera się już jedynie na nakłonieniu internauty do kliknięcia w odsyłacz. Coraz częściej jest to skomplikowany ekosystem zawierający fałszywe strony internetowe, reklamy, komunikację i infrastrukturę techniczną, utworzony w taki sposób, aby w największym stopniu przypominać wiarygodne usługi i zwiększyć efektywność ataku.
– Dostrzegamy bardzo znaczący wpływ sztucznej inteligencji na tzw. uzbrajanie luk, czyli przygotowywanie szkodliwego kodu, który ją spożytkuje. Obecnie te exploity tworzone są w przeciągu 24 godzin, lecz spodziewamy się, że ten czas w nadchodzących latach może się skrócić nawet do paru minut – konstatuje Robert Grabowski.
Automatyzacja wpływa również na strukturę samych oszustw. Największy segment phishingu tworzą obecnie podrobione inwestycje – odpowiadają za blisko 70% wszelkich zajść, podczas gdy jeszcze dwa lata wstecz było to 28%. W tej kategorii przeważają nieprawdziwe giełdy oraz serwisy obiecujące szybki profit bez ryzyka, rozpowszechniane przede wszystkim za pomocą mediów społecznościowych i największych sieci reklamowych.
Z danych raportu wynika, iż ponad 72% użytkowników, którzy dotarli na strony phishingowe, zostało zwabionych właśnie przez scenariusze inwestycyjne. W praktyce oznacza to, iż za rozmiarem tych malwersacji kryje się w głównej mierze masowy kolportaż treści w platformach społecznościowych oraz użycie nieświadomych internautów jako kanału dalszego rozpowszechniania.
– Nie cichnie rynek fałszywych ogłoszeń i rozpowszechniania szkodliwych treści za ich pośrednictwem w mediach społecznościowych i w głównych sieciach reklamowych. Zaawansowane ugrupowania APT i ich wyszukane metody mają z kolei przełożenie na techniki wykorzystywane przez złośliwe oprogramowanie, które jest powszechnie dystrybuowane. APT to najbardziej wyrafinowane ataki używane przez grupy, często dotowane przez rządy, skierowane w najważniejsze sektory, firmy. Korzystają one zazwyczaj z tak zwanych luk zero-day – objaśnia szef CERT Orange Polska.
Zmiany widoczne są także w charakterze ataków DDoS. Pomimo że dominują krótkotrwałe incydenty trwające poniżej 10 minut i o relatywnie niewielkim nasileniu, wzrasta ich znaczenie operacyjne. Coraz częściej stanowią one element obszerniejszych kampanii – wspomagają działania dezinformacyjne, próby wymuszeń lub służą odwróceniu uwagi od równolegle prowadzonych operacji. W roku 2025 w sieci Orange zanotowano ataki o rekordowej sile, dochodzącej do 1,5 Tb/s.
Rok 2025 wniósł również rozwój wielomilionowych botnetów, które umożliwiają przeprowadzanie ataków o niespotykanej wcześniej skali. Przykładem są sieci botów takie jak Aisuru, wykorzystywane do realizacji bardzo dużych, skoordynowanych ataków DDoS.
Ataki DDoS przestają być jednostkowym wydarzeniem, a stają się narzędziem używanym w złożonych scenariuszach operacyjnych. Platformizacja tego rodzaju usług powoduje, że są one łatwo dostępne i mogą być precyzyjnie planowane, co diametralnie zmienia ich rolę w ekosystemie zagrożeń.
– Technologia wspomaga zarówno obrońców, jak i atakujących, którzy wykorzystują ją bez jakichkolwiek reguł etycznych i moralnych, w szczególności np. sztuczną inteligencję, my natomiast pracujemy w określonych etycznych ramach. To miecz obosieczny, musimy analizować, jak zmieniły się ataki z użyciem sztucznej inteligencji, jaki ma ona wpływ na złośliwe oprogramowanie, na tworzony kod. Z drugiej strony musimy aktualizować nasze systemy wykrywania – przekonuje Robert Grabowski.
Wzrastająca skala zagrożeń przekłada się na rozbudowę instrumentów ochronnych działających na poziomie sieci. Decydującym rozwiązaniem pozostaje CyberTarcza Orange, która powstrzymuje ruch do szkodliwych domen jeszcze przed dotarciem do użytkownika, ograniczając skutki ataków niezależnie od jego reakcji.
– Gdy użytkownicy usiłują odwiedzić szkodliwe strony internetowe, strony phishingowe albo gdy złośliwe oprogramowanie próbuje się łączyć z botmasterem, z serwerem C2, który nim zarządza czy botnetem, ten ruch jest zatrzymywany w sieci Orange Polska. Albo ten ruch nie dociera, albo użytkownik otrzymuje informację, że właśnie próbował odwiedzić szkodliwą stronę, co ma też dodatkowy walor edukacyjny – podkreśla szef CERT Orange Polska.
Cyberprzestępcy coraz powszechniej korzystają z narzędzi umożliwiających kreowanie wiarygodnych komunikatów i fałszywych stron na masową skalę, co powoduje, że kluczowym fragmentem systemu bezpieczeństwa pozostaje użytkownik oraz jego świadomość niebezpieczeństw. Regularny nadzór nad zagrożeniami (threat hunting) czy przygotowywanie planów działania przestają być poczynaniami „na wszelki wypadek”, a stają się koniecznością.
CERT Orange Polska rozwija również narzędzia pozwalające monitorować przecieki danych i zwiększać kontrolę nad cyfrową tożsamością. Z rozwiązania Hasło Alert korzysta już ponad 40 tys. internautów. Narzędzie analizuje bazy danych wycieków liczące miliardy rekordów i umożliwia szybkie sprawdzenie, czy dane logowania zostały ujawnione.
– W tym roku uruchomiliśmy także nowy formularz na stronie cert.orange.pl, za pomocą którego można sprawdzić, czy domena jest szkodliwa. Więc zanim ktokolwiek ją odwiedzi, może wprowadzić adres i dostanie informację, czy ta strona jest blokowana. Ten mechanizm na pewno będziemy poszerzać o nowe formy wykrywania informacji – zapowiada Robert Grabowski.