W I kw. 2026 r. phishing po raz pierwszy od roku stał się głównym wektorem początkowego ataku. Odpowiadał za ponad jedną trzecią wszystkich incydentów wykrytych przez Cisco Talos. Natomiast wykorzystanie prawidłowych danych logowania zajęło drugie miejsce (24 proc.).

Ransomware w I kw. br. odpowiadało za 18 proc. ataków. To znaczący spadek wobec 50 proc. rok wcześniej. Cisco Talos podkreśla jednak, że nie oznacza to mniejszego ryzyka, gdyż duże operacje ransomware-as-a-service pozostają aktywne.

Phishing: skąd ten wzrost

Phishing stał się groźniejszy z uwagi na sięganie po narzędzia AI przez napastników. Cyberprzestępcy rzadziej wykorzystują złożone podatności techniczne. Częściej natomiast przeprowadzają ataki wymierzone w użytkowników, które dzięki AI są łatwiejsze do przygotowania i skalowania.

„Obserwujemy fundamentalną zmianę w taktykach atakujących. Odchodzą oni od złożonych exploitów typu zero-day i wracają do sprawdzonych, skalowalnych ataków ukierunkowanych na ludzi” – mówi Marcin Klimowski, Cybersecurity Sales Specialist w Cisco Polska.

„Jeśli atakujący może w kilka minut stworzyć wiarygodną stronę do wyłudzania danych logowania przy użyciu platformy opartej na AI i kilku poleceń, wchodzimy w nową erę, w której tempo i skala ataków socjotechnicznych przewyższą wiele tradycyjnych mechanizmów obrony” – ostrzega ekspert.

Według raportu KnowBe4 już niemal 86 proc. kampanii phishingowych wykrytych w ciągu ostatnich 6 miesięcy wykorzystywało sztuczną inteligencję w jakiejś formie. W 2024 r. było to 80 proc.

Hakerzy częściej omijają MFA

W 35 proc. incydentów w I kw. br. Cisco odnotowało wykorzystanie słabości uwierzytelniania wieloskładnikowego (MFA). To wzrost wobec poprzedniego kwartału. Atakujący omijali MFA m.in. poprzez rejestrowanie nowych urządzeń na wcześniej przejętych kontach.
Wniosek jest więc taki, że samo wdrożenie MFA nie wystarcza. Firmy powinny ograniczyć możliwość samodzielnej rejestracji urządzeń oraz wdrożyć scentralizowane i rygorystyczne polityki uwierzytelniania – radzi dostawca.

Administracja i zdrowie na celowniku

Administracja publiczna i ochrona zdrowia to najczęściej atakowane sektory w I kw. br. Każdy z nich odpowiadał za 24 proc. stwierdzonych incydentów. Już trzeci kwartał z rzędu administracja znalazła się na pierwszym miejscu. Organizacje te pozostają atrakcyjnymi celami ze względu na ograniczone budżety, starszą infrastrukturę, dostęp do wrażliwych danych, jak również niską tolerancję na przestoje.

Jak się lepiej chronić wg Cisco

„Organizacje powinny inwestować w MFA odporne na phishing i ograniczać możliwość samodzielnej rejestracji urządzeń. Należy traktować dane uwierzytelniające deweloperów i tokeny chmurowe z taką samą ostrożnością, jak konta uprzywilejowane. Połączenie phishingu wspieranego przez AI i technik omijania MFA oznacza, iż pojedyncze zabezpieczenie nie wystarczy. Konieczna jest wielowarstwowa, proaktywna strategia obrony” – podsumowuje Marcin Klimowski.