Podczas kontrolowanych testów phishingowych nawet 30-50% pracowników klika w złośliwy link. To nie tylko sucha statystyka – to główny wniosek ze Sprint Cyber Forum w Gdańsku, który potwierdzają najnowsze dane z 2025 roku. W pierwszym półroczu phishing stał się dominującą metodą początkowego dostępu w 50% wszystkich analizowanych cyberataków – to gwałtowny wzrost z poniżej 10% w poprzednim kwartale.
Jeszcze bardziej alarmujące? Użytkownikom potrzeba średnio mniej niż 60 sekund, aby paść ofiarą phishingu – 21 sekund na kliknięcie linka i kolejne 28 sekund na wprowadzenie danych na fałszywej stronie. A ataki z wykorzystaniem kodów QR, które właśnie (miejmy nadzieję) nie zeskanowałeś bez zastanowienia, zanotowały wzrost o ponad 500% w pierwszym półroczu 2025 roku.
Prawda jest brutalna: nawet najlepsze technologie, najdroższe firewall’e i najbardziej zaawansowane systemy EDR nie zatrzymają ataku, jeśli ktoś z zespołu:
•Kliknie w “pilną fakturę” od znanego dostawcy
•Poda dane logowania przez telefon “przedstawicielowi banku”
•Zeskanuje kod QR zamieszczonego w e-mail o rzekomej paczce
•Wpuści “kuriera” z pendrivem do siedziby firmy
•Uruchomi “ważną aktualizację” z fałszywego komunikatu
68% wszystkich naruszeń bezpieczeństwa wiąże się bezpośrednio z czynnikiem ludzkim. Nie mówimy tu o złośliwych intenacjach – po prostu o zwykłych błędach popełnianych przez dobrych pracowników w pośpiechu, pod presją czasu, lub w stresie.
Dlatego właśnie istnieją testy socjotechniczne.
Czym są testy socjotechniczne?
To kontrolowane próby ataku, które naśladują działania cyberprzestępców, ale nie uderzają w firmę – celem jest diagnoza i edukacja. Wyobraź sobie, że księgowy dostaje mejla z „pilną fakturą” od znanego dostawcy. Link wygląda znajomo, nagłówek brzmi realnie – ale to pułapka zaprojektowana przez audytorów bezpieczeństwa.
Najczęstsze scenariusze testów obejmują:
•Kampanie phishingowe (e-maile z linkami, fakturami, zaproszeniami)
•Próby wyłudzeń telefonicznych (tzw. vishing)
•Podszywanie się pod dostawcę / kontrahenta
•Testy fizyczne (np. próba wejścia na teren firmy z fałszywym identyfikatorem)
•Quishing – ataki z wykorzystaniem kodów QR
Nowa generacja zagrożeń: ataki przez kody QR
W 2025 roku wykryto wzrost ataków typu “quishing” – cyberprzestępcy umieszczają złośliwe kody QR w e-mailach, na parkometrach, a nawet w menu restauracji. Po zeskanowaniu takiego kodu, ofiara trafia na fałszywą stronę logowania lub automatycznie pobiera malware.
Dlaczego to działa?
Bo kody QR omijają tradycyjne filtry antyspamowe – są obrazkami, nie linkami. Dodatkowo użytkownicy skanują je smartfonem, który zazwyczaj ma słabsze zabezpieczenia niż komputer służbowy. W jednym z przypadków w Teksasie cyberprzestępcy naklejali fałszywe kody QR na parkomaty – kierowcy, myśląc że płacą za parking, podawali dane swojej karty kredytowej.
Dlaczego warto testować?
Statystyki są brutalne – w 2020 roku 75% przedsiębiorstw padło ofiarą phishingu, teraz ta liczba prawdopodobnie zbliża się do 90%. Testy socjotechniczne dają cztery kluczowe korzyści:
1.Realizm – pracownicy konfrontują się z atakiem „na żywo” w bezpiecznych warunkach
2.Diagnoza – widać dokładnie, które zespoły, działy i procesy są najbardziej podatne
3.Edukacja – każda akcja kończy się szczegółową informacją zwrotną i szkoleniem dostosowanym do wykrytych luk
4.Zmiana kultury – bezpieczeństwo przestaje być tematem “tylko dla IT” i staje się częścią codziennej pracy całej organizacji
Jak wygląda dobry program testów?
Profesjonalne podejście wymaga kilku elementów:
•Ustalony zakres i cele – nie testuj wszystkiego na raz. Zacznij od najbardziej narażonych działów (finanse, HR, helpdesk, zarząd)
•Realistyczne scenariusze – dostosowane do profilu firmy, branży i aktualnych zagrożeń. Jeśli firma współpracuje z rynkiem DACH, scenariusz może symulować kontakt od niemieckiego kontrahenta
•Jasne reguły “no harm” – test ma uczyć, nie karać. Żaden pracownik nie może zostać zwolniony za “oblanie” testu
•Szczegółowy raport końcowy – z podziałem na działy, typy błędów, rekomendacjami i planem szkoleń
•Plan następnych kroków – testy to proces, nie jednorazowe wydarzenie
Najczęstsze błędy firm
Nawet dobrze zaprojektowany test można zmarnować:
•Test tylko raz – zamiast regularnych powtórek co kwartał lub pół roku. Cyberprzestępcy nie odpuszczają, więc Ty też nie możesz
•Brak follow-up – przeprowadzasz test, wysyłasz raport i… koniec. Nie ma dedykowanych szkoleń, nie ma analizy przyczyn, nie ma planu poprawy
•Skupienie się tylko na IT – tymczasem najbardziej narażeni są często księgowi, HR, asystenci zarządu
•Traktowanie testów jako “happeningu” – to nie jest team building. To poważny element strategii bezpieczeństwa, który wymaga budżetu i zaangażowania zarządu
•Karanie za błędy – jeśli ludzie boją się konsekwencji, przestaną zgłaszać incydenty. A to najgorsze, co może się stać.
Co dalej po pierwszym teście?
Najważniejsze zaczyna się po raporcie. Firmy, które budują długoterminowe programy edukacyjne, widzą spadek podatności nawet o 70% w ciągu roku. To szczególnie istotne przy ekspansji zagranicznej – na przykład w DACH, gdzie bezpieczeństwo danych i zgodność z regulacjami jak NIS2 czy DORA są nie tylko przewagą, ale warunkiem wejścia na rynek.
Program powinien obejmować:
•Szkolenia dostosowane do ról – inne dla zarządu, inne dla działu finansowego, inne dla sprzedaży
•Symulacje na żywo – nie tylko e-maile, ale też telefony, wizyty “kurierów”, próby tailgatingu (wślizgnięcia się za kimś do biura)
•Regularną komunikację – newsletter z przykładami nowych ataków, alerty o aktualnych kampaniach
•Jasną procedurę zgłaszania – co zrobić, gdy ktoś zauważy coś podejrzanego? Kogo powiadomić? W jakim czasie?
Realne koszty vs. koszty prewencji.
Średni koszt incydentu związanego z naruszeniem danych w 2024 roku wyniósł 4,88 mln USD według raportu IBM. W przypadku firm działających na rynku DACH, gdzie obowiązuje RODO i gdzie kary mogą sięgać 4% globalnego obrotu, kwoty mogą być jeszcze wyższe.
Porównaj to z kosztem programu testów socjotechnicznych i szkoleń – to ułamek potencjalnej straty. Łatwiej (i taniej) jest nauczyć pracowników rozpoznawać manipulację niż leczyć skutki realnego ataku.
Podsumowanie
Kevin Mitnick, legendarny hacker, mawiał: “Można mieć najlepszą technologię, ale jeśli da się ludziom ominąć protokoły bezpieczeństwa przez telefon albo e-mail, to się zmarnowało pieniądze na technologię”.
Testy socjotechniczne to nie dodatkowy “ficzer” w cyberstrategii – to fundament odpornej organizacji.
Masz pytania o testy socjotechniczne dla swojej firmy? Napisz.
P.S. Jeśli jednak nie zeskanowałeś kodu QR na początku – świetnie! Właśnie zdałeś pierwszy test socjotechniczny. Ale pamiętaj: Twoi pracownicy nie zawsze będą tak ostrożni. Szczególnie gdy otrzymają “pilny” kod QR od “znanego kontrahenta” pięć minut przed końcem dnia pracy.