Nowe oszustwa AI 2026 - jak rozpoznać i nie dać się nabrać
Literówki i kanciasta polszczyzna przestały zdradzać oszustów - bo mają teraz AI. Maile są bezbłędne, strony logowania nie do odróżnienia, a głos w słuchawce brzmi jak Twój wspólnik. Jako informatyk z przeszłością w bezpieczeństwie pokazuję trzy sztuczki, na które firmy dają się nabrać w 2026, i konkretnie jak się bronić - tanio i skutecznie.
Przez lata uczyliśmy ludzi rozpoznawać oszustwa po literówkach, dziwnej polszczyźnie i podejrzanym adresie. W 2026 ta rada przestała działać - bo oszuści mają teraz AI. Maile są bezbłędne, strony logowania nie do odróżnienia od prawdziwych, a głos w słuchawce brzmi dokładnie jak Twój wspólnik. Pilnowałem bezpieczeństwa w banku i instytucji publicznej, dziś u klientów widzę te ataki z bliska - i to, że małe firmy są na nie najmniej przygotowane. Poniżej trzy sztuczki, na które firmy dają się nabrać w 2026, i konkretnie jak się przed nimi bronić. Bez straszenia, z rzeczami, które realnie działają.
W skrócie
W skrócie: AI sprawiło, że oszustwa są nie do odróżnienia od prawdziwych wiadomości - bezbłędne maile, podrobione strony logowania, a nawet sklonowany głos szefa proszący przez telefon o pilny przelew. Najskuteczniejsza obrona nie jest techniczna: to zasada drugiego kanału - każdą prośbę o pieniądze, hasło albo zmianę numeru konta potwierdź innym kanałem (oddzwoń na znany numer), zanim cokolwiek zrobisz. Do tego dołóż dwuskładnikowe logowanie (MFA) wszędzie, prostą procedurę przy przelewach, backup 3-2-1 i 30 minut szkolenia zespołu. To kosztuje niewiele, a zatrzymuje większość ataków.
Dlaczego stare rady przestały działać
Jeszcze niedawno oszustwo zdradzała kanciasta polszczyzna, literówki i dziwny adres nadawcy. Dziś AI pisze maile lepiej niż niejeden pracownik, tłumaczy je na bezbłędny polski i podrabia strony logowania co do piksela. To, czego uczyliśmy ludzi przez dekadę, w dużej części się zdezaktualizowało.[1]
Dlatego przestań szukać "błędów". Zacznij patrzeć na to, czego wiadomość od Ciebie chce: pieniędzy, hasła, kodu, zmiany numeru konta - i czy popędza Cię presją czasu. Forma może być idealna; intencja zdradza oszustwo.[2]
Trzy sztuczki, na które firmy dają się nabrać w 2026
Maile i strony nie do odróżnienia
AI pisze bezbłędne, naturalne maile po polsku - koniec z literówkami jako sygnałem ostrzegawczym. Potrafi podrobić stronę logowania do banku, poczty czy Microsoft 365 tak, że wygląda 1:1. Wpisujesz hasło, a ono trafia do oszusta.
Sklonowany głos - fałszywy telefon "od szefa"
Kilka sekund nagrania głosu (choćby z nagranego spotkania albo filmiku) wystarczy, by AI go sklonowało. Pracownik księgowości odbiera telefon, słyszy głos prezesa z prośbą o pilny przelew "bo nie zdążę przed zamknięciem" - i przelewa.
Podszywanie pod ZUS, skarbówkę, kuriera
CERT Polska ostrzega o masowych kampaniach podszywających się pod instytucje publiczne - maile i SMS-y z "wezwaniem do zapłaty" albo "dopłatą do paczki" i linkiem do zainfekowanej strony. Wyglądają oficjalnie, bo AI dopracowało każdy szczegół.
Dlaczego to właśnie małe firmy są celem
Pokutuje myślenie "jesteśmy za mali, żeby ktoś nas atakował". Jest odwrotnie. Mała firma łączy dwie rzeczy, które oszust kocha: realne pieniądze i dane klientów oraz słabe zabezpieczenia i brak działu IT, który by tego pilnował. Dla atakującego to najlepszy stosunek zysku do wysiłku - dlatego ataki coraz częściej celują właśnie w MŚP, nie w korporacje z całym sztabem bezpieczeństwa.[2][3]
Jak się bronić - rzeczy, które realnie działają
Dobra wiadomość: nie potrzebujesz budżetu korporacji ani drogich programów. Większość ataków zatrzymują tanie podstawy - pod warunkiem, że są włączone i że zespół wie, o co chodzi.
Zasada drugiego kanału (najważniejsza)
Każda prośba o pieniądze, hasło albo zmianę numeru konta - potwierdź innym kanałem, zanim zadziałasz. Dostałeś maila albo telefon? Oddzwoń na znany, zapisany numer (nie ten z wiadomości). To jedno zachowanie zatrzymuje większość oszustw.
MFA (dwuskładnikowe logowanie) wszędzie
Nawet jeśli hasło wycieknie, atakujący nie wejdzie bez drugiego składnika (kod z telefonu). To dziś podstawa - na poczcie, w banku, w Microsoft 365. Włączenie zajmuje kilka minut.
Prosta procedura przy przelewach
Ustal, że przelew powyżej jakiejś kwoty albo zmiana numeru konta kontrahenta wymaga potwierdzenia głosowego z drugą osobą. Banalne, a rozbraja "pilny przelew od prezesa".
Backup 3-2-1 i krótkie szkolenie
Gdy coś jednak przejdzie (ransomware, skasowane dane) - backup, który da się odtworzyć, ratuje firmę. A 30 minut z zespołem "na co teraz patrzeć" robi więcej niż niejeden drogi program.
Z mojej praktyki
Najwięcej szkód nie robi geniusz hakerski, tylko pośpiech i brak prostej zasady. "Pilny" mail w piątek po 15, telefon "od szefa" tuż przed urlopem, prośba o szybką zmianę numeru konta kontrahenta. Za każdym razem wystarczyłoby jedno: oddzwonić i potwierdzić, zanim się kliknie albo przeleje. Dlatego u klientów zaczynam nie od drogiego sprzętu, tylko od włączenia MFA, ustawienia backupu i wspólnego ustalenia tej jednej zasady. Tanio, nudno - i skutecznie.
Sprawdźmy, gdzie Twoja firma jest odsłonięta
Przejdę z Tobą podstawy: czy macie MFA, działający backup, procedurę przy przelewach i czy zespół wie, na co patrzeć. Powiem wprost, co jest największą dziurą i od czego zacząć - bez straszenia i bez wciskania drogich rozwiązań. Pierwsza rozmowa bezpłatna.
Czytaj dalej
Najczęstsze pytania
Po czym dziś poznać oszustwo, skoro maile są bezbłędne?
Już nie po literówkach - AI je wyeliminowało. Patrz na intencję, nie na formę: każda wiadomość, która wywołuje presję czasu ("pilne", "dziś", "bo będą konsekwencje"), prosi o pieniądze, hasło, kod lub zmianę numeru konta - jest podejrzana, choćby wyglądała idealnie. Zasada jest prosta: zanim zadziałasz, potwierdź prośbę innym kanałem (oddzwoń na znany numer). Forma może być doskonała, ale prośba o pilny przelew telefonicznie to zawsze sygnał ostrzegawczy.
Czy oszuści naprawdę potrafią podrobić głos szefa?
Tak, i to coraz częściej. Do sklonowania głosu wystarczy kilka-kilkanaście sekund nagrania - z webinaru, filmiku, nawet z poczty głosowej. Potem pracownik odbiera telefon, słyszy znajomy głos i prośbę o pilny przelew albo dane. Obrona jest nietechniczna: ustal w firmie, że żaden przelew ani zmiana numeru konta nie dzieje się "na telefon" bez potwierdzenia drugim kanałem albo przez drugą osobę.
Dlaczego małe firmy są celem - przecież nie mamy milionów?
Bo jesteście łatwiejszym celem niż korporacja: macie realne pieniądze i dane klientów, a zwykle słabsze zabezpieczenia i brak działu IT, który by tego pilnował. Dla oszustów to najlepszy stosunek zysku do wysiłku. Dobra wiadomość: podstawy (MFA, procedura przelewów, backup, szkolenie) są tanie i zatrzymują większość ataków - nie trzeba budżetu korporacji, trzeba je po prostu mieć włączone.
Co zrobić od ręki, żeby zmniejszyć ryzyko?
Trzy rzeczy na już. Po pierwsze: włącz MFA (dwuskładnikowe logowanie) na poczcie, w banku i w Microsoft 365 - to kilka minut, a blokuje większość przejęć kont. Po drugie: ustal zasadę drugiego kanału przy każdej prośbie o pieniądze lub dane. Po trzecie: sprawdź, czy macie działający backup (taki, który ktoś realnie przetestował, że da się z niego odtworzyć). Resztę - szkolenie zespołu i procedury - można dołożyć spokojnie w kolejnym kroku.
Źródła
12 lat w IT - od banku, przez Kancelarię Prezydenta RP, do własnej firmy. Outsourcing IT dla firm, które nie mogą sobie pozwolić na przestoje.
Poznaj mnie lepiejPowiązane artykuły
Phishing w firmie - jak ochronić pracowników i nie stracić danych
W zeszłym roku ratowałem trzy firmy po atakach phishingowych. Księgowa kliknęła link - atakujący miał dostęp do 200 skrzynek. Pokazuję, jak wyglądają prawdziwe ataki, po czym je rozpoznać, co realnie wdrożyć, żeby się chronić, i ile to kosztuje. Z perspektywy informatyka, który wolałby, żebyś nie musiał do niego dzwonić w panice.
NIS2 w praktyce - co musisz wdrożyć w swojej firmie
Nowa ustawa o cyberbezpieczeństwie wchodzi w życie 3 kwietnia 2026. Kogo dotyczy, jakie są terminy, co musisz mieć technicznie i ile kosztuje brak działania. Bez paragrafów - checklist od informatyka z przykładami z praktyki.
NIS2 weszło w życie - 5 rzeczy do zrobienia w tym tygodniu
3 kwietnia 2026 ustawa weszła w życie. Odebrałem więcej telefonów niż zwykle - właściciele firm pytają: czy mnie to dotyczy? Oto 5 rzeczy, które powinieneś zrobić w tym tygodniu. Z perspektywy informatyka, który już wdrażał to u klientów.