Na pierwszy rzut oka nic się nie dzieje. Rano przychodzi mail o kurierze. W południe w social mediach miga reklama z celebrytą. Po południu dzwoni ktoś z banku i mówi spokojnym, profesjonalnym tonem, iż trzeba pilnie zabezpieczyć konto. Wieczorem wyskakuje CAPTCHA z prośbą o potwierdzenie, iż nie jesteśmy robotem. Żaden z tych momentów nie wygląda jak początek cyberataku. I właśnie na tym polega największy problem.
Współczesna cyberprzestępczość coraz rzadziej przypomina prymitywne oszustwo z błędami językowymi i podejrzanym adresem nadawcy. Dziś atak mieści się w codziennym rytmie naszego cyfrowego życia. Nie musi zaczynać się od widowiskowego włamania do systemu. Wystarczy, iż na chwilę przejmie naszą uwagę, wykorzysta pośpiech, zmęczenie albo nawyk bezrefleksyjnego klikania. To właśnie dlatego nowoczesny cyberatak na zwykłego użytkownika coraz częściej nie jest pojedynczym zdarzeniem, ale serią pozornie zwyczajnych kontaktów z dobrze wyreżyserowaną socjotechniką.
Polska nie stoi z boku. Jest na cyfrowej linii frontu
Ta opowieść dotyczy właśnie Polski, a nie USA czy innych państw. Według danych ESET za II połowę 2025 r. nasz kraj był 2. najczęściej atakowanym państwem świata pod względem zagrożeń rozsyłanych e-mailem i 3. celem ataków ransomware. To znaczy, iż polscy użytkownicy i polskie firmy działają dziś w środowisku podwyższonego ryzyka. Właśnie w Polsce odnotowano globalny szczyt aktywności kampanii CloudEyE, a sam raport pokazuje też wejście w nową fazę zagrożeń związanych z AI, w tym wykrycie PromptLock, uznawanego za pierwsze znane ransomware sterowane przez sztuczną inteligencję.
To zmienia perspektywę, prawda? Nie mówimy już o tym, czy cyberzagrożenia mogą kiedyś dotrzeć do zwykłego użytkownika. One już są obecne w jego skrzynce, telefonie, przeglądarce i w kanałach społecznościowych. A im bardziej cyfrowe staje się życie zawodowe i prywatne, tym więcej punktów styku powstaje między człowiekiem a potencjalnym atakiem.
Poniedziałek rano: mail, który wygląda aż za normalnie
Scenariusz jest banalny. Otwieramy skrzynkę i widzimy temat w rodzaju Potwierdzenie zamówienia kuriera albo Faktura nr: 2025/09/51. Wiadomość nie wygląda jak oszustwa sprzed kilku czy kilkunastu lat. Nie ma dziwnej składni, krzykliwych ostrzeżeń ani egzotycznego adresu na Bahamach. Przeciwnie, bywa napisana poprawną polszczyzną, nierzadko wysłana z przejętego legalnego konta firmowego. W środku znajduje się załącznik, czasem w archiwum .7z albo .gz. Kliknięcie nie uruchamia żadnej widowiskowej katastrofy. Po prostu otwiera drzwi, które mogą uruchomić kaskadę wydarzeń.
Właśnie w ten sposób rozchodził się CloudEyE, jedno z najbardziej wyrazistych zagrożeń opisywanych przez ESET w drugiej połowie 2025 r. Kampanie obserwowane w Europie Środkowo-Wschodniej były lokalizowane językowo, korzystały z tematów związanych z fakturami, paczkami i zamówieniami, a załączniki prowadziły do uruchomienia złośliwego kodu.
To pokazuje, iż skuteczność takiego ataku nie bierze się z jakiejś technicznej magii, ale z bardzo prostego mechanizmu. Cyberprzestępcy podszywają się pod to, co użytkownik widzi każdego dnia. CloudEyE wystrzelił w telemetrii ESET niemal 30-krotnie, a najwyższy światowy pik detekcji przypadł właśnie na Polskę.
Wtorek po południu: social media i twarz, której ufamy
Wtorek rozpoczynasz od klasycznego rozeznania się w socialach. Scrollujesz Facebooka, Instagrama czy YouTube’a. Między zwykłymi treściami pojawia się reklama inwestycyjna. Na nagraniu występuje polityk, ekspert albo celebryta, którego jeszcze wczoraj widziałeś w popularnym programie rozrywkowym w telewizji. Mówi przekonująco, brzmi naturalnie, ruch ust zgadza się z dźwiękiem. Wszystko wygląda jak fragment programu, wywiadu albo sponsorowanej kampanii.
Właśnie tu wchodzimy w obszar kampanii Nomani i rosnącego znaczenia deepfake’ów. ESET wskazuje, iż wykrycia tych oszustw wzrosły rok do roku o 62 proc., a sami oszuści znacząco poprawili jakość materiałów i rozszerzyli działania na kolejne platformy społecznościowe. Najważniejsze jest jednak to, iż jest to atak, który nie musi przełamywać żadnej zapory. Wystarczy, iż stworzy wrażenie wiarygodności. Cyberprzestępcy coraz częściej nie sprzedają ofierze funkcjonalności, tylko pozór profesjonalizmu.
Z raportu Cyberportret polskiego biznesu 2025 wynika, iż tylko 42 proc. pracowników wie, czym jest deepfake. Jednocześnie 30 proc. badanych przyznało, iż uznało za autentyczne wideo lub obraz wygenerowane przez AI, a 27 proc. podobnie oceniło nagranie audio. To nie jest problem tylko łatwowiernych. Ofiarami manipulacji mogą być także doświadczeni użytkownicy, specjaliści, dziennikarze czy menedżerowie. Zagrożenie nie maleje wraz z obyciem cyfrowym tak szybko, jak wielu osobom się wydaje.
Środa: telefon z banku i telefon jako narzędzie ataku
Jeszcze kilka lat temu oszustwo telefoniczne kojarzyło się głównie z próbą wyciągnięcia kodu SMS albo danych do logowania. Dziś scenariusz może być o wiele bardziej rozbudowany. Dzwoni rzekomy pracownik działu bezpieczeństwa banku. Mówi, iż wykryto podejrzaną aktywność. Prosi o zainstalowanie aplikacji weryfikacyjnej, czasem z fałszywej strony podszywającej się pod Google Play czy App Store, czasem pod bankowe narzędzie autoryzacyjne. Potem pada polecenie, które dla wielu osób brzmi wiarygodnie: proszę przyłożyć kartę do tylnej części telefonu i wpisać PIN.
Tak działa część nowoczesnych ataków wykorzystujących NFC, czyli technologię krótkiego zasięgu używaną legalnie choćby w płatnościach zbliżeniowych. ESET opisuje, iż w drugim półroczu 2025 r. liczba detekcji androidowego malware wykorzystującego NFC wzrosła o 87 proc.
NGate, pionier w tej kategorii, został rozbudowany o funkcję kradzieży kontaktów, co może zwiększać skuteczność późniejszych fałszywych telefonów. Co ważne, ESET odnotował także kampanię, w której klienci polskich banków otrzymywali wiadomości phishingowe zachęcające do instalacji aplikacji prowadzącej właśnie do kompromitacji urządzenia przy użyciu NGate. To oznacza, iż telefon przestał być wyłącznie kanałem komunikacji. Stał się równocześnie celem, portfelem i narzędziem transferu zaufania.
Czwartek wieczorem: kliknij CAPTCHA, a oddasz więcej, niż myślisz
Użytkownik szuka informacji w sieci, wchodzi na stronę i widzi komunikat: potwierdź, iż nie jesteś robotem. Albo informację o błędzie, który wymaga wykonania kilku kroków. Czasem trzeba kliknąć, czasem skopiować komendę. Wszystko wygląda jak zwykłe rozwiązanie drobnego problemu.
To mechanika znana z ataków typu ClickFix. W takim scenariuszu ofiara nie pobiera rzekomego wirusa świadomie. Ona myśli, iż naprawia dostęp do strony, systemu albo usługi. Tak naprawdę jednak uruchamia infostealera, czyli oprogramowanie wykradające dane z przeglądarki, zapisane hasła, tokeny i aktywne sesje logowania.
ESET podaje, iż właśnie tym kanałem rozprowadzano m.in. Lumma Stealer. Co ciekawe, sam raport firmy pokazuje, iż po globalnym zakłóceniu działalności Lumma Stealera jego detekcje w drugim półroczu 2025 r. mocno spadły, a wektor FakeCaptcha niemal zniknął z telemetrii. To jednak nie zmienia faktu, iż technika pozostaje groźna, bo opiera się na psychologii drobnej naprawy, a nie na klasycznym straszeniu użytkownika.
Najsłabsze ogniwo nie nazywa się Windows ani Android. Nazywa się pośpiech
Łatwo byłoby sprowadzić cały problem do złośliwego kodu. Tyle iż w większości opisanych scenariuszy rdzeniem ataku nie jest sam malware, tylko zwykła, ale bardzo niebezpieczna socjotechnika.
To właśnie dlatego ESET zwraca uwagę, iż prawdziwa transformacja związana z AI zachodzi dziś głównie w obszarze oszustw, deepfake’ów, reklam i phishingu. Generatywna sztuczna inteligencja obniża próg wejścia do cyberprzestępczości, poprawia język wiadomości, jakość stron i wiarygodność materiałów audio-wideo. Coraz rzadziej można liczyć na to, iż atak zdradzi się błędem ortograficznym albo dziwną składnią.
Z Cyberportretu polskiego biznesu opracowanego przez firmę ESET i DAGMA Bezpieczeństwo IT wynika, iż 55 proc. pracowników nie uczestniczyło w żadnym szkoleniu z cyberbezpieczeństwa w ciągu ostatnich 5 lat, 17 proc. osób, które doświadczyły incydentu, nie zgłosiło go nikomu, a tylko 53 proc. firm wskazuje antywirusa jako podstawowy mechanizm ochrony, podczas gdy MFA stosuje 38 proc. organizacji.
Do tego dochodzi 19 proc. pracowników, którzy przyznali, iż udostępniali narzędziom AI wrażliwe dane swojej firmy. Problemem nie jest więc wyłącznie to, iż ataki są coraz sprytniejsze. Problemem jest też to, iż cyfrowa higiena przez cały czas zbyt często przegrywa z rutyną, wygodą i brakiem procedur.
To nowa rzeczywistość, a my po prostu musimy się do niej dopasować
Współczesny cyberatak na zwykłego użytkownika rzadko kiedy wygląda jak wielkie włamanie. Znacznie częściej jest rozpisany na serię mikrointerakcji, które wydają się zwyczajne, bo korzystają z naszych codziennych przyzwyczajeń. Mail, reklama, telefon, CAPTCHA. Każdy z tych punktów styku może być osobnym testem naszej uwagi.
I właśnie dlatego rola takich firm jak ESET nie sprowadza się dziś wyłącznie do blokowania złośliwego pliku. Równie ważne staje się zrozumienie wzorców ataku, śledzenie trendów i tłumaczenie, jak zmienia się logika cyberprzestępczości. Dane z 2025 r. pokazują, iż Polska jest jednym z miejsc, gdzie te zmiany widać wyjątkowo wyraźnie. A prognozy na 2026 r. sugerują dalszy wzrost znaczenia ransomware, dalszą ewolucję oszustw NFC i coraz większy wpływ AI na krajobraz zagrożeń. To oznacza, iż nie wchodzimy w przyszłość cyberbezpieczeństwa. My już w niej jesteśmy.
![Passus – czy AI to szansa czy ryzyko? [Analiza] (Analizy i komentarze)](https://www.sii.org.pl/static/img/018944/passus-1360.jpg)
