Phishing w firmie 2026 – jak rozpoznać atak i co zrobić po incydencie

Phishing w firmie – skala zagrożenia w 2026 roku

Phishing w firmie to dziś najczęstszy wektor cyberataku w Polsce. Według raportu CERT Polska 2025 zarejestrowano 78 391 incydentów phishingowych – 30% wszystkich obsłużonych zdarzeń bezpieczeństwa. Łączna liczba incydentów cyberbezpieczeństwa wzrosła rok do roku o 152%, a 97% z nich stanowiły oszustwa komputerowe. W styczniu i lutym 2026 roku trend się utrzymał: 12 tysięcy incydentów phishingowych w dwa miesiące.

Polskie małe i średnie firmy są w tej statystyce niedostatecznie przygotowane. Z badania Mastercard wynika, że cyberataku doświadczyło 25% małych firm, 44% średnich i co druga duża organizacja w Polsce. Mimo to 54% małych przedsiębiorstw nigdy nie szkoliło pracowników z cyberbezpieczeństwa, a plan reagowania na incydenty posiada zaledwie 18% z nich. Phishing w firmie nie jest więc problemem, który dotyczy „wielkich korporacji” – jest codziennym zagrożeniem dla każdego biznesu z pocztą elektroniczną i kontem bankowym.

Ten artykuł pokazuje, jak rozpoznać phishing, jak go zgłosić do CERT Polska, co zrobić po incydencie i jak budować odporność zespołu. Wszystkie procedury i statystyki pochodzą z aktualnych źródeł na 2026 rok: raport CERT Polska 2025, nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (NIS2) obowiązująca od 2 kwietnia 2026 r. oraz wytyczne UODO dotyczące zgłaszania naruszeń.

Powiązane artykuły z klastra IT: Cyberataki na firmy 2026, Backup w firmie 2026 – strategia 3-2-1, Bezpieczeństwo IT w małej firmie 2026.

Co to jest phishing w firmie

Phishing to forma oszustwa polegająca na podszywaniu się pod zaufaną osobę, instytucję lub markę w celu wyłudzenia danych logowania, danych finansowych, podpisania umowy lub wykonania przelewu. Atakujący używa mechanizmu psychologicznego: presja czasu („zablokuj konto przed 18:00″), autorytet („wiadomość od prezesa zarządu”), strach („wykryliśmy logowanie z innego kraju”) albo nagroda („zwrot podatku 1 240 zł”).

W kontekście biznesowym phishing w firmie ma kilka odmian o różnym stopniu wyrafinowania:

• Email phishing – masowe kampanie e-mailowe podszywające się pod znane marki, banki, urzędy, kurierów. Najprostsza i najmasowsza forma.
• Spear phishing – atak ukierunkowany na konkretną osobę lub firmę. Atakujący zna nazwiska, projekty, kontrahentów, zazwyczaj na podstawie danych z LinkedIn i wycieków.
• Whaling – spear phishing wymierzony w kadrę kierowniczą, najczęściej z wykorzystaniem fałszywej pilnej prośby o przelew.
• Business Email Compromise (BEC) – przejęcie lub podrobienie konta e-mail wewnątrz firmy w celu inicjowania fałszywych przelewów do „nowych kontrahentów”.
• Smishing – phishing przez SMS. CERT Polska zarejestrował w 2025 r. 295 200 zgłoszeń podejrzanych SMS-ów, z czego 1,88 mln zostało zablokowanych dzięki wzorcom NASK.
• Vishing – phishing głosowy, zwykle telefon „z banku” lub „z policji” pod pretekstem zatrzymania nieautoryzowanego przelewu.
• Quishing – phishing przez kody QR, popularny w 2024-2026 (fałszywe parkomaty, faktury, ulotki).

Phishing w firmie – sygnały rozpoznawcze wiadomości

Dobrze przygotowany phishing w firmie wygląda dziś znacznie lepiej niż 5 lat temu – generatywna AI pozwala na poprawną polszczyznę, dopasowanie tonacji do kontekstu zawodowego i tworzenie przekonujących treści. Mimo to każda wiadomość phishingowa zawiera jeden lub więcej z następujących sygnałów.

Sygnały w nagłówkach wiadomości

• adres nadawcy z subtelną literówką (allegro-pl.com zamiast allegro.pl, payu-platnosc.com zamiast payu.com)
• pole „Reply-To” inne niż „From” (odpowiedź pójdzie do innego adresu niż widoczny nadawca)
• nagłówek „Received” pokazuje serwer wysyłki spoza domeny nadawcy
• brak podpisu DKIM/SPF/DMARC lub status „failed” widoczny w szczegółach wiadomości

Sygnały w treści

• presja czasu: „odpowiedz w ciągu 30 minut”, „blokujemy konto dzisiaj o 18:00″
• pilność, której nie powinno być w normalnej korespondencji służbowej
• prośba o coś niestandardowego: zmiana numeru konta kontrahenta, opłacenie faktury w nietypowy sposób, otwarcie pliku .zip / .iso / .scr
• niezgodność tonu – „prezes zarządu” pisze w sposób, w jaki normalnie nie pisze
• gramatyczne dziwactwa: dziwna interpunkcja, kalki językowe, czasem fragmenty po angielsku

Sygnały w linkach i załącznikach

• link tekstowo wygląda jak https://bank.pl/login, ale po najechaniu kursorem pokazuje inną domenę
• skrócone linki bit.ly, tinyurl – bez kontekstu, do której strony prowadzą
• domena wyświetla się prawidłowo, ale używa znaków cyrylicy lub greckich (np. bаnk.pl z cyrylicznym а)
• załącznik typu .zip, .iso, .scr, .htm, .js, .docm, .xlsm – wszystkie te rozszerzenia mogą uruchomić kod
• archiwum chronione hasłem (omija skanowanie antywirusa)
• plik PDF z „przyciskiem do zalogowania”, który prowadzi na zewnętrzną stronę

Sygnały kontekstowe

• wiadomość przychodzi w piątek po południu lub przed świętami (mniej osób weryfikuje)
• temat dotyczy aktualnej kampanii (zwroty PIT w marcu-kwietniu, faktury kwartalne, wakacyjne dostawy)
• nadawca prosi o przekazanie sprawy „z pominięciem przełożonego”
• wiadomość pojawia się równocześnie w kilku skrzynkach firmowych (klasyczna kampania masowa)

Najczęstsze kampanie phishingowe w Polsce 2025-2026

Dane CERT Polska z 2025 roku pokazują, pod kogo najczęściej podszywają się przestępcy w polskich kampaniach phishingowych:

Marka / typ	Liczba incydentów (2025)
OLX	28 462
Allegro	22 513
Banki (zbiorczo, podszycia loginów)	~12 000
Konto Profil Zaufany	~8 000
InPost / kurierzy (śledzenie paczki)	~6 500
Operatorzy płatności (PayU, Przelewy24, Tpay)	~4 200
Microsoft 365 / Google Workspace (logowanie służbowe)	~3 800
Fałszywe inwestycje (Orlen, znani celebryci)	rosnący trend – 47% incydentów Orange CERT

Dla phishingu w firmie najgroźniejsze są trzy ostatnie kategorie. Podszycia pod Microsoft 365 są używane do przejmowania kont firmowych, które potem służą do BEC i ataków łańcuchowych na kontrahentów. Fałszywe „faktury od kuriera” (InPost, DPD, DHL) są klikane przez działy księgowe i logistyki. Reklamy fałszywych inwestycji wykorzystują wizerunki polskich firm, w tym koncernów paliwowo-energetycznych.

Phishing w firmie – co zrobić w pierwszych 60 minutach po incydencie

Reakcja na phishing w firmie jest ograniczona czasowo. Im szybciej, tym mniejsza strata. Schemat „pierwszych 60 minut” zakłada, że pracownik kliknął w link, podał dane lub uruchomił załącznik.

Minuta 0-10: izolacja stanowiska

• Odłącz komputer od sieci – wyciągnij kabel Ethernet i wyłącz Wi-Fi (nie wyłączaj komputera, niektóre dowody mogą zostać tylko w pamięci RAM).
• Pracownik nie loguje się dalej, nie zmienia haseł z tego samego urządzenia, nie czyści historii.
• Zgłoszenie do osoby odpowiedzialnej za IT lub do zewnętrznego MSSP. Każda firma powinna mieć jeden dedykowany numer/adres do zgłaszania incydentów – znany każdemu pracownikowi.

Minuta 10-30: ograniczenie szkód

• Zmiana haseł do wszystkich kont, do których pracownik logował się na tym komputerze – z innego, czystego urządzenia.
• Jeżeli phishing dotyczył poczty firmowej: wymuszenie wylogowania wszystkich aktywnych sesji w panelu administracyjnym Microsoft 365 / Google Workspace.
• Kontakt z bankiem, jeśli mogło dojść do wycieku danych do bankowości – blokada karty, zmiana hasła, weryfikacja niedawnych transakcji.
• Włączenie MFA (uwierzytelniania dwuskładnikowego) na wszystkich kontach, gdzie nie było wcześniej aktywne.

Minuta 30-60: dokumentacja i analiza

• Zachowanie wiadomości phishingowej w pełnym formacie – nagłówki, treść, załączniki. Nie kasować.
• Skan systemu narzędziem antywirusowym i EDR. W razie wykrycia ransomware lub trojana – postępowanie zgodnie z procedurą Disaster Recovery (przywrócenie z backupu, jeśli został odpowiednio zaprojektowany – patrz Backup w firmie 2026 – strategia 3-2-1).
• Sprawdzenie logów logowań do kluczowych systemów (Microsoft 365 audit log, Google Admin audit) z ostatnich 24-72 godzin.
• Lista osób, które mogły otrzymać tę samą wiadomość – mailing wewnętrzny z ostrzeżeniem.

Po godzinie: zgłoszenia formalne

W zależności od zakresu naruszenia obowiązują różne ścieżki zgłoszenia.

Jak zgłosić phishing w firmie do CERT Polska i UODO

Polski system reagowania na incydenty cyberbezpieczeństwa ma kilka kanałów – wybór zależy od charakteru zdarzenia.

Zgłoszenie do CERT Polska

CERT Polska (NASK) to krajowy zespół reagowania na incydenty bezpieczeństwa. Każdy phishing w firmie – nawet niezakończony szkodą – powinien być zgłoszony, ponieważ pomaga to zablokować domenę dla innych użytkowników (Lista Ostrzeżeń CERT Polska blokuje domenę na 6 miesięcy).

Kanały zgłoszenia:

• Formularz internetowy: incydent.cert.pl
• SMS phishingowy: przekaż treść SMS-a pod numer 8080 (bezpłatne, w ciągu 5 minut wzorzec może zostać dodany do rejestru blokującego dla wszystkich operatorów)
• E-mail: cert@cert.pl
• Aplikacja mObywatel: ma wbudowany formularz zgłaszania incydentów

Dane do zgłoszenia: pełne nagłówki wiadomości, treść, linki, zrzuty ekranu, opis kontekstu (czy ktoś kliknął, czy doszło do utraty danych, czy są ofiary finansowe).

Zgłoszenie do UODO przy naruszeniu danych osobowych

Jeżeli phishing w firmie doprowadził do wycieku danych osobowych klientów, kontrahentów lub pracowników – obowiązuje zgłoszenie do UODO w ciągu 72 godzin od stwierdzenia naruszenia (art. 33 RODO). Formularz: uodo.gov.pl, ścieżka „Zgłoś naruszenie ochrony danych osobowych”.

Zgłoszenie do UODO obejmuje:

• charakter naruszenia (kategorie i przybliżona liczba osób, których dane dotyczą)
• prawdopodobne konsekwencje (kradzież tożsamości, szkoda finansowa, reputacyjna)
• środki podjęte w odpowiedzi (np. blokada konta, zmiana haseł, kontakt z bankiem)
• dane kontaktowe inspektora ochrony danych (IOD), jeśli firma go ma

Niezgłoszenie incydentu w terminie 72 godzin to potencjalna kara administracyjna do 10 mln EUR lub 2% rocznego obrotu (zależnie od tego, która kwota jest wyższa).

Zgłoszenie do CSIRT GOV / KNF / sektorowego CSIRT

Od 2 kwietnia 2026 r. obowiązuje znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, która implementuje dyrektywę NIS2. Firmy w sektorach „kluczowych” i „istotnych” (energia, transport, zdrowie, bankowość, infrastruktura cyfrowa, produkcja, odpady) mają obowiązek zgłaszania incydentów do właściwego sektorowego CSIRT w terminie:

• 24 godziny – wczesne ostrzeżenie
• 72 godziny – pełne zgłoszenie
• 30 dni – raport końcowy

Bankowość i sektor finansowy zgłaszają incydenty do CSIRT KNF (na podstawie DORA i ustawy o KSC).

Zawiadomienie organów ścigania

Jeżeli w wyniku incydentu doszło do strat finansowych (np. fałszywy przelew na konto przestępcy), warto zawiadomić policję – art. 287 kodeksu karnego (oszustwo komputerowe), art. 267 (nielegalny dostęp do systemu informatycznego). Im szybciej, tym większa szansa na zatrzymanie środków na koncie odbiorcy w trybie wstrzymania transakcji bankowej.

Jak chronić firmę przed phishingiem – 7 warstw obrony

Phishing w firmie skutecznie powstrzymuje się tylko warstwowo. Każda warstwa odsiewa część ataków, żadna nie chroni w 100%.

Warstwa 1: zabezpieczenie poczty (SPF, DKIM, DMARC)

Trzy rekordy DNS, które blokują podszywanie się pod domenę firmową:

• SPF – lista serwerów uprawnionych do wysyłki poczty z domeny
• DKIM – kryptograficzny podpis każdej wychodzącej wiadomości
• DMARC – polityka co zrobić z wiadomościami, które nie przeszły SPF/DKIM (najlepiej p=reject)

Bez DMARC p=reject przestępca może udawać prezesa firmy z dowolnego adresu i wiadomość trafi do skrzynek odbiorców. Konfiguracja u dostawcy poczty (Microsoft 365, Google Workspace) zajmuje 30-60 minut.

Warstwa 2: filtrowanie poczty

Microsoft Defender for Office 365 i Google Workspace mają wbudowane filtry antyphishingowe. Dla większych firm warto rozważyć dedykowane bramy mailowe (Proofpoint, Mimecast, Barracuda). Koszt: 30-150 zł / skrzynka / rok.

Warstwa 3: MFA wszędzie

Uwierzytelnianie dwuskładnikowe blokuje phishing skierowany na hasła. Nawet jeśli pracownik poda hasło na fałszywej stronie, atakujący nie zaloguje się bez drugiego składnika (token, push notification, klucz FIDO2). MFA na każdym koncie firmowym to dziś minimum – Microsoft 365, Google Workspace, bank, panel hostingowy, GitHub, narzędzia księgowe.

Warstwa 4: EDR / antywirus

Endpoint Detection and Response (Microsoft Defender for Endpoint, CrowdStrike, SentinelOne, ESET PROTECT, Bitdefender GravityZone) wykrywa malware uruchomiony z załącznika. Klasyczny antywirus to zbyt mało – nowoczesny EDR analizuje zachowanie procesów, nie tylko sygnatury.

Warstwa 5: szkolenia i symulacje phishingowe

Najlepsze techniczne zabezpieczenia upadają, jeśli pracownik kliknie. Praktyczny trening antyphishingowy (regularne symulacje wysyłane przez dział IT, nieoznaczone jako test) podnosi rozpoznawalność z typowych 30% do 80-90% w ciągu 6-12 miesięcy. Szkolenie raz w roku przez slajdy nie działa – liczy się powtarzalność.

Kluczowe: w firmie musi panować kultura, w której zgłoszenie własnego kliknięcia w phishing nie kończy się karą. Ukrywany incydent rośnie.

Warstwa 6: procedura weryfikacji nietypowych prośb

Każda zmiana numeru konta kontrahenta, każde polecenie pilnego przelewu, każda prośba o dane logowania – weryfikowana telefonicznie pod znanym numerem (a nie numerem z mailowej stopki). Procedura w formie pisemnej, znana każdemu pracownikowi w działach finansowym i administracyjnym.

Warstwa 7: backup i plan reagowania

Backup z immutable storage to ostatnia linia obrony, jeśli phishing doprowadzi do ransomware. Plan reagowania na incydenty (Incident Response Plan) określa: kto, co, w jakiej kolejności, z jakimi numerami telefonów. Bez planu pierwsze 60 minut zamienia się w panikę. Pełny przewodnik po backupie: Backup w firmie 2026 – strategia 3-2-1.

Phishing w firmie a NIS2 – obowiązki od 2 kwietnia 2026 roku

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która weszła w życie 2 kwietnia 2026 r., implementuje dyrektywę NIS2 i znacznie rozszerza krąg podmiotów objętych obowiązkami cyberbezpieczeństwa. NIS2 obejmuje teraz nie tylko operatorów infrastruktury krytycznej, ale także średnie firmy (50+ pracowników lub 10+ mln EUR obrotu) w sektorach: energia, transport, zdrowie, bankowość, infrastruktura cyfrowa, produkcja, gospodarka odpadami, dostawcy usług cyfrowych, podmioty publiczne.

Główne obowiązki dotyczące phishingu w firmie objętej NIS2:

• Polityka bezpieczeństwa informacji – dokumentacja procesów, ról, procedur (zwykle oparta na ISO 27001)
• Zarządzanie ryzykiem – okresowa analiza zagrożeń, w tym scenariuszy phishingowych
• Zgłaszanie incydentów – 24h/72h/30 dni do właściwego CSIRT
• Plan ciągłości działania i backup zgodny z 3-2-1 lub 3-2-1-1-0
• Szkolenia i podnoszenie świadomości zespołu
• Bezpieczeństwo łańcucha dostaw – weryfikacja kontrahentów IT
• Obowiązek osobistej odpowiedzialności zarządu za zaniedbania w cyberbezpieczeństwie

Kary za nieprzestrzeganie NIS2: do 10 mln EUR lub 2% rocznego obrotu globalnego dla podmiotów kluczowych, do 7 mln EUR lub 1,4% obrotu dla podmiotów istotnych. Zarząd może zostać zawieszony z funkcji w razie poważnych zaniedbań.

Pełny przewodnik wdrożenia NIS2 i DORA w polskich firmach: DORA i NIS2 – kogo dotyczą i co zmieniają.

Najczęstsze błędy reagowania na phishing w firmie

Lista pomyłek, które po incydencie zwiększają szkodę zamiast ją zatrzymać.

• Skasowanie wiadomości phishingowej. Bez oryginału (z pełnymi nagłówkami) niemożliwe jest zgłoszenie do CERT Polska, śledztwo wewnętrzne ani analiza techniczna.
• Zmiana hasła z tego samego komputera, na którym wystąpiło zdarzenie. Jeśli komputer ma keyloggera, atakujący przechwytuje też nowe hasło.
• Wyłączenie komputera natychmiast. Niektóre dowody (procesy w pamięci, aktywne sesje sieciowe) znikają po wyłączeniu. Zalecane jest tylko odłączenie od sieci, bez wyłączania.
• Niezgłoszenie incydentu wewnątrz firmy z obawy o reakcję przełożonego. Czas reakcji to klucz – ukryte incydenty zwykle eskalują.
• Brak zgłoszenia do UODO przy naruszeniu danych osobowych. Termin 72 godzin jest sztywny. Spóźnienie to dodatkowa sankcja.
• Płacenie okupu w ransomware bez konsultacji z CERT Polska. Zapłata nie gwarantuje odzyskania danych, finansuje przestępców i może naruszać sankcje (jeśli grupa ransomware znajduje się na liście sankcyjnej).
• Powrót do pracy bez sprawdzenia logów. Atakujący często instaluje backdoor i wraca po kilku tygodniach. Pełna analiza logów (audit log Microsoft 365, logi DC, logi firewall) to minimum przed uznaniem incydentu za zamknięty.
• Brak komunikacji do reszty zespołu. Jeden incydent w firmie zwykle dotyczy więcej niż jednej skrzynki – mailing wewnętrzny z opisem ataku zapobiega kolejnym kliknięciom.

FAQ – phishing w firmie 2026

Co to jest phishing w firmie i czym różni się od zwykłego phishingu? Atak celuje w pracowników i wykorzystuje kontekst służbowy: faktury od kontrahentów, polecenia od „prezesa”, kurierzy z paczkami firmowymi, logowania do Microsoft 365. Skutki są poważniejsze niż przy phishingu prywatnym – przejęcie konta firmowego prowadzi do BEC, wycieku danych klientów lub ransomware.

Jak rozpoznać podejrzaną wiadomość w 2026 roku? Sprawdzaj nadawcę (literówki w domenie), najedź kursorem na linki (czy domena pasuje do treści), nie otwieraj załączników typu .zip, .iso, .scr. Każda prośba o pilny przelew, zmianę numeru konta kontrahenta lub dane logowania – weryfikuj telefonicznie pod znanym numerem.

Gdzie zgłosić phishing w firmie w Polsce? CERT Polska: incydent.cert.pl lub e-mail cert@cert.pl. SMS phishingowy: pod numer 8080. Naruszenie danych osobowych: UODO w ciągu 72 godzin. Firma w sektorze NIS2: właściwy sektorowy CSIRT w 24h/72h/30 dni.

Co zrobić po kliknięciu w link phishingowy? Odłącz komputer od sieci (kabel + Wi-Fi), nie loguj się dalej, zgłoś do IT. Z innego urządzenia zmień hasła do kont, do których logowałeś się na tym komputerze. Włącz MFA. Skanuj system EDR. Zachowaj wiadomość phishingową dla zgłoszenia.

Jak często szkolić pracowników z phishingu? Symulacje phishingowe minimum raz na kwartał, najlepiej co miesiąc. Klasyczne szkolenie e-learning raz na rok ma niską skuteczność. Praktyczne testy (nieoznaczone jako test, wysyłane przez dział IT) podnoszą rozpoznawalność z 30% do 80-90% w ciągu 6-12 miesięcy.

Czy MFA chroni przed phishingiem? Chroni przed phishingiem haseł, ale nie przed zaawansowanymi atakami typu MFA fatigue (wysyłanie wielu push notifications aż użytkownik kliknie „akceptuj”) i adversary-in-the-middle (przechwytywanie sesji w czasie rzeczywistym). Najsilniejsza ochrona to MFA oparte na kluczach FIDO2 (YubiKey, Titan Key) zamiast SMS-ów lub aplikacji TOTP.

Czy ubezpieczenie cybernetyczne pokrywa phishing? Część polis pokrywa straty finansowe wynikające z phishingu (BEC, fałszywe przelewy), ransomware i koszty obsługi incydentu. Standardowe wyłączenia: brak MFA, brak backupu, brak szkoleń pracowników, niezgłoszenie incydentu w terminie. Polisa bez tych warunków jest dziś coraz trudniej dostępna.

Co to jest BEC (Business Email Compromise)? BEC to atak, w którym przestępca podszywa się lub przejmuje firmowy adres e-mail w celu zlecenia fałszywego przelewu. Najczęściej cel to dział księgowy, prośba o pilną zmianę numeru konta kontrahenta lub przelew „od prezesa”. Średnia strata w pojedynczym ataku BEC w 2025 r. to 50 000 – 500 000 zł dla polskich MŚP.

Czy phishing w firmie podlega NIS2? Tak. Phishing prowadzący do incydentu naruszającego dostępność, integralność lub poufność systemów lub danych podlega obowiązkowi zgłoszenia do CSIRT na podstawie znowelizowanej ustawy o KSC (od 2 kwietnia 2026 r.) dla firm w sektorach kluczowych i istotnych. Termin: 24h wczesne ostrzeżenie, 72h pełne zgłoszenie, 30 dni raport końcowy.

cert.pl – CERT Polska, raporty roczne, formularz zgłoszenia incydent.cert.pl

incydent.cert.pl – bezpośredni link do formularza zgłoszenia phishingu

uodo.gov.pl – formularz zgłoszenia naruszenia ochrony danych osobowych

gov.pl/web/baza-wiedzy/cyberbezpieczenstwo – oficjalne wytyczne dotyczące cyberbezpieczeństwa

enisa.europa.eu – europejskie wytyczne, materiały NIS2