W 2025 r. nie chodzi już tylko o podszywanie się pod banki czy dostawców usług. Phishing dziś to wyrafinowane schematy, które omijają zarówno filtry antyspamowe, jak i automatyczne systemy analizy zagrożeń. Eksperci ds. cyberbezpieczeństwa muszą zrozumieć, jak te techniki działają na poziomie technicznym, by skutecznie chronić organizacje przed kradzieżą poświadczeń, ransomware czy eskalacją uprawnień.
Od e-maili do spear phishingu: Kamienie milowe w historii phishingu
Historia phishingu to historia adaptacji. Pierwsze ataki, jak te z 1990 r. na AOL, polegały na prostym podszywaniu się pod pracowników firmy i wykorzystywaniu komunikatora do wyłudzania loginów. Były to masowe kampanie oparte na ilości, a nie jakości.
Wraz z rozwojem poczty elektronicznej pojawił się e-mail phishing – generyczne wiadomości z linkami do fałszywych stron logowania. Kolejnym krokiem było spear phishing, które wprowadziło personalizację – atakujący zaczęli wykorzystywać dane z mediów społecznościowych czy wycieków, by tworzyć wiarygodne wiadomości skierowane do konkretnych osób.
Whaling poszedł jeszcze dalej, celując w kadrę kierowniczą z profesjonalnie przygotowanymi e-mailami, często imitującymi partnerów biznesowych. W międzyczasie rozwinęły się smishing (phishing przez SMS) i vishing (przez rozmowy telefoniczne), wykorzystując nowe kanały komunikacji.
W 2016 r. atak na Johna Podestę, szefa kampanii Hillary Clinton, pokazał, jak skuteczny może być dobrze zaplanowany phishing – jeden e-mail otworzył drzwi do masowego wycieku danych. Te etapy przygotowały grunt pod dzisiejsze, bardziej złożone techniki, które omijają tradycyjne zabezpieczenia.
Browser-in-Browser – sztuczka, która oszukuje nawet zaawansowanych
Jedną z przełomowych technik ostatnich lat jest phishing typu browser-in-browser (BiB), który zrewolucjonizował sposób, w jaki atakujący maskują swoje działania. Mechanizm ten wykorzystuje fakt, że nowoczesne strony internetowe można łatwo zaprojektować tak, by imitowały dowolny interfejs – w tym fałszywe okno logowania. Atak zaczyna się od strony z atrakcyjną ofertą, np. dostępem do ekskluzywnego narzędzia cybersecurity, która wymaga logowania przez konto (Google, Microsoft, Apple).
Po kliknięciu opcji logowania otwiera się okno, które wygląda identycznie jak prawdziwy portal – z poprawnym adresem URL, logo i polami wprowadzania danych. W rzeczywistości to tylko obraz HTML osadzony na phishingowej stronie, a dane wpisywane przez użytkownika trafiają prosto na serwer atakującego. Co czyni BiB tak niebezpiecznym?
Nawet zaawansowani użytkownicy, którzy sprawdzają URL, czy certyfikaty SSL, mogą nie zauważyć podstępu, bo wszystko wygląda autentycznie. Technika ta zyskała popularność w 2022 r. i do 2025 r. stała się standardem w kampaniach PhaaS (Phishing as a Service), dostępnych na darknecie.
CAPTCHA jako tarcza i broń – nowa linia frontu w phishingu
Wprowadzenie CAPTCHA do kampanii phishingowych to przykład, jak cyberprzestępcy przekuwają narzędzia bezpieczeństwa w broń ofensywną. W typowym scenariuszu atak zaczyna się od e-maila udającego aktualizację oprogramowania Office 365. Wiadomość kieruje użytkownika na stronę z losowo generowanym domenami (RDGA), hostowaną np. na Cyber Panelu, gdzie czeka formularz logowania ukryty za CloudFlare Turnstile.
CAPTCHA ma tu podwójną rolę – po pierwsze, blokuje automatyczne skanery i sandboxy, które nie mogą przejść weryfikacji, co pozwala e-mailowi ominąć filtry antyspamowe. Po drugie, dodaje wiarygodności – użytkownicy kojarzą CAPTCHA z bezpieczeństwem, więc rzadziej podejrzewają podstęp.
Po przejściu weryfikacji skrypt wyciąga domenę organizacji z adresu e-mail ofiary (np. halliburton.com) i generuje spersonalizowaną stronę logowania, często dostarczaną przez platformy PhaaS jak Dadsec. Po wpisaniu poświadczeń użytkownik widzi komunikat o błędzie, a dane są już na serwerze C2 atakującego. W 2025 r. kampanie z CAPTCHA odpowiadają za ponad 15% wykrytych prób kradzieży poświadczeń, według danych ANY.RUN.
Fałszywe PDF-y i archiwa. Stara taktyka w nowym wydaniu
Fałszywe pliki PDF to kolejna ewolucja phishingu, która łączy prostotę z wyrafinowaniem. W jednej z kampanii z 2024 r., zgłoszonej przez ANY.RUN, atakujący rozsyłali e-maile podszywające się pod kolumbijskie powiadomienia sądowe. Załącznik wyglądał jak PDF, ale w rzeczywistości był obrazem z osadzonym linkiem do zaszyfrowanego archiwum ZIP na zewnętrznym hostingu.
Hasło do archiwum podano w treści e-maila – np. „Sprawa123” – co zmuszało użytkownika do ręcznego działania. Po otwarciu archiwum aktywował się ładunek, zwykle trojan bankowy lub ransomware. Tego typu podejście ma swoje korzenie w latach 2010., ale w 2025 r. zyskało nową siłę dzięki kombinacji z innymi technikami, jak quishing (QR codes).
Obrazy maskujące.pdf-y utrudniają analizę statyczną, a hasła w e-mailach komplikują automatyczne deszyfrowanie w sandboxach.ANY.RUN odnotowuje, że takie kampanie generują nawet 500 zgłoszeń dziennie w szczytowych okresach, np. w piątki przed weekendem.
Quishing, czyli QR kody jako cichy zabójca w phishingowym arsenale
Quishing, czyli phishing z wykorzystaniem kodów QR, to technika, która w 2023 r. zaczęła dominować w kampaniach masowych, a w 2025 r. stała się jeszcze powszechniejsza.
Cyberprzestępcy wysyłają e-maile z fałszywymi fakturami lub powiadomieniami o paczkach, zawierającymi kod QR zamiast tradycyjnego linku. Po zeskanowaniu kodu użytkownik trafia na stronę phishingową, która wyłudza poświadczenia lub instaluje malware.
Dlaczego to działa? QR kody są trudne do analizy przez standardowe filtry e-mailowe – większość SEGs (Secure Email Gateways) nie potrafi ich sparsować, a użytkownicy postrzegają je jako bezpieczne. W jednej z kampanii z 2024 r., zgłoszonej przez ANY.RUN, kod QR prowadził do strony podszywającej się pod usługę płatności online, wyciągając dane kart kredytowych.
W 2025 r. obserwujemy wzrost quishingu w sektorze B2B, gdzie kody QR pojawiają się w e-mailach udających aktualizacje oprogramowania firmowego, co zwiększa skuteczność wśród mniej czujnych pracowników IT.
Phishing jako brama do większych ataków: Od kradzieży po ransomware
Phishing w 2025 r. to nie tylko kradzież poświadczeń – to często pierwszy krok w większej operacji. Atak na Colonial Pipeline w 2021 r. pokazał, jak e-mail phishingowy może zapoczątkować ransomware, paraliżując infrastrukturę krytyczną. Współczesne kampanie idą dalej – po zdobyciu dostępu atakujący stosują eskalację uprawnień, używając narzędzi jak Mimikatz do ekstrakcji haseł z pamięci, a następnie rozsyłają kolejne phishingowe e-maile z przejętych kont.
W 2024 r. Verizon DBIR wskazał, że 31% incydentów cybernetycznych zaczyna się od phishingu, a w 2025 roku odsetek ten rośnie w sektorze finansowym i healthcare. Fałszywe PDF-y i CAPTCHA potęgują problem, bo utrudniają wykrycie w fazie wstępnej. Gdy malware, jak Emotet czy Qakbot, zostanie dostarczone, sieć staje się otwartą furtką do eksfiltracji danych lub szyfrowania systemów.
Jak walczyć z ewolucją phishingu? Techniczne strategie obrony
Obrona przed nowoczesnym phishingiem wymaga podejścia wielowarstwowego, które wykracza poza podstawowe filtry. W przypadku CAPTCHA kluczem jest monitorowanie ruchu sieciowego – IDS/IPS mogą wykrywać podejrzane domeny RDGA, a sandboxy z interaktywnymi VM (np. ANY.RUN) pozwalają ręcznie przejść weryfikację i przeanalizować payload.
Dla fałszywych.pdf-ów i archiwów warto wdrożyć zaawansowane SEG-s z funkcją analizy obrazów i deszyfrowania ZIP-ów w locie – narzędzia jak Barracuda Sentinel czy Proofpoint radzą sobie z tym coraz lepiej. Quishing wymaga z kolei edukacji użytkowników i skanerów QR w endpointach, takich jak CrowdStrike Falcon.
DMARC, DKIM i SPF to podstawa w walce z podszywaniem się pod domeny, ale w 2025 r. warto dodać AI-driven threat intelligence, by wyłapywać anomalie w zachowaniach e-mailowych. MFA pozostaje ostatnią linią obrony, ale musi być wspierane logami SIEM, by szybko reagować na przejęcia kont.
Phishing 2025 – Wyścig zbrojeń trwa
Ewolucja phishingu pokazuje, że cyberprzestępcy skutecznie dostosowują swoje metody do zmian w systemach zabezpieczeń. Ochrona przed nowoczesnymi technikami phishingowymi wymaga wielopoziomowego podejścia, obejmującego zarówno techniczne, jak i behawioralne środki zaradcze.
Nowoczesne techniki phishingowe pokazują, że cyberprzestępcy nieustannie rozwijają swoje metody w celu unikania wykrycia. Fałszywe pliki PDF, CAPTCHA i QR kody to narzędzia, które pozwalają skutecznie oszukiwać nawet świadomych użytkowników.
Aby skutecznie przeciwdziałać tym zagrożeniom, organizacje muszą wdrożyć nowoczesne mechanizmy zabezpieczeń, a także edukować swoich pracowników w zakresie rozpoznawania nowych metod ataku. Tylko kompleksowe podejście do ochrony może skutecznie przeciwdziałać coraz bardziej wyrafinowanym kampaniom phishingowym.
