Sztuczna inteligencja nasila ataki cybernetyczne i przemienia ich naturę – czas wytworzenia szkodliwego kodu może się zawęzić do paru chwil, a wyłudzanie informacji odpowiada już za przeszło 47% wszystkich przypadków naruszeń – wynika ze sprawozdania CERT Orange Polska. Największą część przekrętów stanowią nieprawdziwe inwestycje, które tworzą niemal 70% zajść.
– Nadrzędne kierunki cyberbezpieczeństwa w 2026 roku i następujących latach to bezsprzecznie sztuczna inteligencja. Jej oddziaływanie dostrzegamy w ogromnej liczbie ataków, ale też w systemach defensywnych. Ta obrona i wdrażane rozwiązania powinny odpowiadać temu, co robią nasi przeciwnicy – liczy się czas, szybkość reakcji, ulepszanie tych napaści, riposta na nie, często wspomagane sztuczną inteligencją – zaznacza w rozmowie z agencją Newseria Robert Grabowski, kierujący CERT Orange Polska.
W roku 2025 CyberTarcza Orange zatrzymała 345 tys. domen phishingowych, a prawie 5,5 mln ludzi uchroniła przed wyciekiem danych lub finansów. Jednocześnie phishing wciąż stanowi najważniejszy wektor ataków – jest przyczyną przeszło 47% wszystkich incydentów, wyraźnie wyprzedzając ataki DDoS (nieco blisko 16%) i złośliwe programy (ponad 13%).
Rozmiar zagrożeń się powiększa, chociaż ich konstrukcja od paru lat jest zbliżona. Zmienia się natomiast sposób przeprowadzania ataków – coraz bardziej zautomatyzowany, skalowalny i oparty na gotowych instrumentach. Szacunkowo nawet 90% kampanii phishingowych bazuje na tych samych modelach i ustalonych szablonach, masowo kopiowanych i przekształcanych. Domeny wykorzystywane w atakach są wytwarzane samoczynnie i stosowane na szeroką skalę, często jedynie przez krótki okres, co komplikuje ich szybkie wykrywanie i blokowanie. Coraz powszechniej używane są także dedykowane aplikacje do wysyłania SMS-ów phishingowych, co dodatkowo podnosi tempo i rozpiętość kampanii.
Phishing nie koncentruje się już wyłącznie na skłonieniu użytkownika do kliknięcia w odsyłacz. Coraz powszechniej jest to złożony system ekologiczny obejmujący fałszywe strony, reklamy, przekazywanie informacji i podstawę techniczną, opracowany tak, żeby maksymalnie przybliżyć się do autentycznych usług i podwyższyć efektywność ataku.
– Rejestrujemy ogromnie znaczący wpływ sztucznej inteligencji na tak zwane uzbrajanie luk, czyli gotowanie złośliwego kodu, który ją spożytkuje. Obecnie te exploity powstają w ciągu 24 godzin, ale spodziewamy się, że ów okres w nadchodzących latach może być skrócony nawet do paru minut – konstatuje Robert Grabowski.
Automatyzacja zmienia dodatkowo strukturę samych nadużyć. Najobszerniejszą część phishingu stanowią aktualnie nieprawdziwe inwestycje – są powodem blisko 70% wszystkich spraw, podczas gdy jeszcze dwa lata wcześniej było to 28%. W owej kategorii przodują sfałszowane giełdy i serwisy obiecujące szybki dochód bez ryzyka, rozpowszechniane przede wszystkim za pośrednictwem mediów społecznościowych i największych sieci reklamowych.
Z informacji zawartych w raporcie wynika, że ponad 72% użytkowników, którzy trafili na strony phishingowe, zostało przyciągniętych właśnie przez motywy inwestycyjne. W praktyce oznacza to, że za rozmachem tych oszustw kryje się przede wszystkim szeroki obieg treści w platformach społecznościowych oraz wykorzystanie nieświadomych użytkowników jako kanału dalszego kolportażu.
– Nie słabnie rynek sfałszowanych reklam i kolportażu szkodliwych treści za ich pomocą w mediach społecznościowych i w głównych sieciach reklamowych. Zaawansowane grupy APT i ich zaawansowane techniki mają z kolei przełożenie na techniki stosowane przez złośliwe oprogramowanie, które jest powszechnie dystrybuowane. APT to najbardziej postępowe ataki wykorzystywane przez grupy, często subsydiowane przez rządy, nakierowane w najbardziej strategiczne sektory, przedsiębiorstwa. Używają one często tak zwane podatności zero-day – tłumaczy szef CERT Orange Polska.
Zmiany są widoczne również w naturze ataków DDoS. Chociaż górują krótkie zajścia trwające krócej niż 10 minut i o relatywnie niskim natężeniu, wzrasta ich waga operacyjna. Coraz częściej tworzą one część obszerniejszych kampanii – wspierają działania dezinformacyjne, próby wymuszeń lub służą odwróceniu atencji od równolegle prowadzonych operacji. W roku 2025 w sieci Orange zauważono ataki o rekordowej sile, sięgającej 1,5 Tb/s.
Rok 2025 wniósł także rozrost wielomilionowych botnetów, które umożliwiają prowadzenie ataków o niespotykanej przedtem skali. Przykładem są sieci botów takie jak Aisuru, wykorzystywane do przeprowadzania bardzo dużych, skoordynowanych ataków DDoS.
Ataki DDoS przestają być pojedynczym wydarzeniem, a stają się narzędziem stosowanym w złożonych scenariuszach operacyjnych. Platformizacja tego typu usług sprawia, że są one łatwo osiągalne i mogą być dogłębnie planowane, co diametralnie przemienia ich rolę w ekosystemie zagrożeń.
– Technologia sprzyja zarówno obrońcom, jak i atakującym, którzy używają ją bez żadnych reguł etycznych i moralnych, w szczególności np. sztuczną inteligencję, my z kolei pracujemy wكنولوجيا narzuconych ramach etycznych. To miecz obosieczny, musimy badać, jak się zmieniły ataki z użyciem sztucznej inteligencji, jaki ma ona wpływ na złośliwe oprogramowanie, na tworzony kod. Z innej strony musimy aktualizować nasze systemy wykrywania – przekonuje Robert Grabowski.
Narastający zasięg zagrożeń przekłada się na rozszerzenie narzędzi ochronnych działających na poziomie sieci. Najważniejszym rozwiązaniem nadal jest CyberTarcza Orange, która blokuje ruch do szkodliwych domen jeszcze przed dotarciem do użytkownika, redukując skutki ataków niezależnie od jego reakcji.
– Gdy użytkownicy zamierzają odwiedzić szkodliwe strony, strony phishingowe lub gdy złośliwe oprogramowanie usiłuje się kontaktować z botmasterem, z serwerem C2, który nim steruje czy botnetem, ten ruch jest powstrzymywany w sieci Orange Polska. Albo ów ruch nie dochodzi, albo użytkownik zostaje poinformowany, że właśnie próbował odwiedzić szkodliwą stronę, co ma też dodatkowy walor edukacyjny – oznajmia kierujący CERT Orange Polska.
Cyberprzestępcy coraz chętniej wykorzystują narzędzia dające możliwość wytwarzania wiarygodnych komunikatów i nieprawdziwych stron na masową skalę, co powoduje, że istotnym elementem systemu bezpieczeństwa pozostaje użytkownik i jego świadomość zagrożeń. Stałe monitorowanie zagrożeń (threat hunting) czy sporządzanie scenariuszy reakcji przestają być czynnościami „na wszelki wypadek”, a stają się koniecznością.
CERT Orange Polska rozbudowuje także narzędzia pozwalające monitorować wycieki danych i zwiększać kontrolę nad cyfrową tożsamością. Z rozwiązania Hasło Alert używa już ponad 40 tys. użytkowników. Narzędzie to analizuje bazy wycieków liczące miliardy rekordów i umożliwia szybkie sprawdzenie, czy dane do logowania zostały ujawnione.
– W bieżącym roku uruchomiliśmy również nowy formularz na stronie cert.orange.pl, na którym można sprawdzić, czy domena jest niebezpieczna. Zatem zanim ktoś ją nawiedzi, może wprowadzić adres i otrzyma wiadomość, czy ta strona jest blokowana. Ten mechanizm na pewno będziemy rozwijać o nowe formy detekcji informacji – ogłasza Robert Grabowski.