Vishing i smishing – jak hakerzy atakują firmy przez telefon i SMS

Czym są vishing i smishing?

Większość właścicieli firm słyszała o phishingu – atakach przez fałszywe e-maile. Mniej znane są jednak jego głosowy i SMS-owy wariant, które w latach 2025–2026 odnotowują gwałtowny wzrost liczby incydentów.

Vishing (ang. voice phishing) to atak przeprowadzany przez telefon. Przestępca dzwoni do pracownika lub właściciela firmy, podszywając się pod bank, urząd skarbowy, dostawcę IT lub inną zaufaną instytucję. Celem jest wyłudzenie danych logowania, danych karty płatniczej lub nakłonienie ofiary do wykonania przelewu.

Smishing (ang. SMS phishing) działa na tej samej zasadzie, ale za pośrednictwem wiadomości tekstowych. Fałszywy SMS może informować o nieodebranej przesyłce, podejrzanej aktywności na koncie bankowym lub konieczności pilnej weryfikacji danych – i prawie zawsze zawiera link prowadzący do sfałszowanej strony.

Oba ataki należą do szerokiej kategorii social engineeringu – technik, które zamiast na lukach w oprogramowaniu, opierają się na manipulowaniu ludźmi i ich emocjami.

Jak wyglądają te ataki w praktyce?

Scenariusze vishingowe i smishingowe bywają bardzo przekonujące. Oto przykłady, z którymi spotykają się polskie firmy:

• Fałszywy support IT: Dzwoni osoba podająca się za pracownika Microsoft lub dostawcy oprogramowania, informuje o wykrytym wirusie i prosi o zdalny dostęp do komputera albo podanie danych logowania.
• Pilny przelew od szefa: Pracownik działu finansów otrzymuje SMS lub telefon rzekomo od prezesa z prośbą o natychmiastowy przelew na nowe konto. Często atak ten łączy się z wcześniejszym przejęciem skrzynki e-mail szefa (Business Email Compromise).
• Fałszywy bank: SMS informuje o zablokowanej karcie lub podejrzanej transakcji. Link prowadzi do strony imitującej panel bankowości elektronicznej – łącznie z logotypem i layoutem.
• Weryfikacja podatkowa: Telefoniczny rzekomy pracownik US lub ZUS żąda podania numeru NIP, REGON i danych księgowych pod pretekstem rutynowej kontroli.

Wspólnym mianownikiem jest zawsze presja czasu i emocje – przestępcy celowo wywołują poczucie pilności lub strachu, by ofiara nie miała chwili na refleksję i weryfikację.

AI zmienia oblicze ataków głosowych

Kiedyś vishing był stosunkowo łatwy do wykrycia dzięki obcemu akcentowi czy dziwnym sformułowaniom. Dziś sztuczna inteligencja dramatycznie podniosła poziom zagrożenia i wiarygodność ataków.

Klonowanie głosu (ang. voice cloning) pozwala przestępcom odtworzyć głos konkretnej osoby na podstawie zaledwie kilkudziesięciu sekund nagrania dostępnego publicznie – na przykład z wywiadu wideo, podcastu lub mediów społecznościowych. Pracownik może odebrać telefon, który brzmi dokładnie jak głos jego szefa lub dyrektora finansowego.

W 2025 roku odnotowano kilka głośnych przypadków w Europie, gdzie firmy straciły setki tysięcy euro w wyniku takich ataków. Technologia klonowania głosu jest już dostępna dla przestępców za pośrednictwem gotowych narzędzi w darknecie – nierzadko za mniej niż kilkaset dolarów miesięcznie.

Podobnie AI-generowane SMS-y są coraz lepiej stylizowane: pozbawione błędów językowych, spersonalizowane i dostosowane do kontekstu ofiary. Przestępcy korzystają z danych wyciekłych przy poprzednich atakach, by wiadomość wyglądała jak najbardziej wiarygodnie.

Dlaczego małe i średnie firmy są szczególnie narażone?

Duże korporacje mają zazwyczaj rozbudowane procedury weryfikacji, regularne szkolenia pracowników i dedykowane działy bezpieczeństwa. MŚP często nie mogą sobie na to pozwolić – i właśnie dlatego stają się łatwiejszym celem.

• Brak formalnych procedur weryfikacji: W małej firmie pracownik często wykonuje polecenia właściciela lub kierownika bez pytania. Przestępca to bezlitośnie wykorzystuje.
• Ograniczone budżety na szkolenia: Pracownicy MŚP rzadziej przechodzą regularne szkolenia z cyberbezpieczeństwa, przez co łatwiej ich zaskoczyć.
• Publiczne dane kontaktowe: Właściciele małych firm często mają publicznie dostępne numery telefonów i adresy e-mail, co ułatwia ataki ukierunkowane.
• Nieformalna kultura komunikacji: W małych zespołach polecenia przez SMS czy szybki telefon są na porządku dziennym, co naturalnie zmniejsza czujność pracowników.

Według danych CERT Polska za 2025 rok, incydenty związane z vishingiem i smishingiem wzrosły o ponad 60% rok do roku, a podmioty z sektora MŚP stanowiły zdecydowaną większość poszkodowanych w Polsce.

Jak skutecznie chronić firmę?

Ochrona przed atakami głosowymi i SMS-owymi opiera się przede wszystkim na procedurach i świadomości pracowników. Oto konkretne kroki, które warto wdrożyć już dziś:

1. Zasada weryfikacji drugiego kanału: Każda prośba o przelew, udostępnienie danych lub instalację oprogramowania – jeśli przyszła przez telefon lub SMS – musi być potwierdzona innym kanałem (e-mail, rozmowa twarzą w twarz).
2. Regularne szkolenia pracowników: Minimum raz w roku przeprowadź szkolenie z rozpoznawania ataków social engineeringowych. Uwzględnij konkretne scenariusze vishingowe i smishingowe.
3. Firmowe słowo kodowe: W gronie kierownictwa i działu finansów wprowadź umówione hasło weryfikacyjne używane przy podejrzanych, pilnych prośbach.
4. Filtrowanie SMS i MDM: Rozwiązania do zarządzania urządzeniami mobilnymi (MDM) pozwalają blokować SMS-y z podejrzanych numerów i zawierające złośliwe linki.
5. Ogranicz publiczne dane kontaktowe: Nie publikuj bezpośrednich numerów telefonów do kluczowych pracowników na stronie firmowej ani w katalogach branżowych.
6. Monitoruj wycieki danych: Regularnie sprawdzaj, czy dane Twojej firmy – e-maile, telefony – nie pojawiły się w bazach skradzionych danych.

Zapamiętaj jedną żelazną zasadę: żaden bank, urząd ani dostawca IT nie poprosi Cię przez telefon o podanie hasła, kodu SMS ani o zainstalowanie programu do zdalnego dostępu.

Co zrobić, gdy firma padnie ofiarą ataku?

Nawet najlepsze procedury nie dają stuprocentowej gwarancji. Ważne jest, by wiedzieć, jak reagować natychmiast po wykryciu incydentu:

• Natychmiast zmień hasła do wszystkich kont, do których mógł uzyskać dostęp atakujący – zacznij od poczty firmowej i systemów finansowych.
• Zadzwoń do banku – jeśli doszło do nieautoryzowanej transakcji, liczy się każda minuta. Wiele banków może zablokować lub cofnąć przelew, jeśli zgłoszenie nastąpi odpowiednio szybko.
• Zgłoś incydent do CERT Polska (cert.pl). Jeśli doszło do wycieku danych osobowych, masz obowiązek poinformować Urząd Ochrony Danych Osobowych (UODO) w ciągu 72 godzin.
• Przeprowadź wewnętrzne dochodzenie: Ustal, jakie dane zostały ujawnione, kto był zaangażowany i jaką drogą przebiegł atak.
• Skorzystaj ze wsparcia zewnętrznego IT: Specjalista oceni skalę naruszenia, zabezpieczy systemy i pomoże wdrożyć działania zapobiegawcze.

Traktuj każdy incydent jako sygnał do przeglądu procedur bezpieczeństwa w całej firmie – jeden atak bardzo często ujawnia luki, o których wcześniej nikt nie wiedział.