Pewnie niejednokrotnie słyszałeś terminy: inżynieria społeczna, socjotechnika, phishing. Główne portale informacyjne, telewizja, radio, prasa często nagłaśniają różnego rodzaju oszustwa cyfrowe.
Domyślam się, że zapewne chcesz bardziej szczegółowo poznać czym jest socjotechnika, na czym polega inżynieria społeczna oraz co tak naprawdę kryje się pod tak często używanym terminem „phishing”.
W tym artykule wyjaśnię Ci te pojęcia oraz zaprezentuję najnowsze i najbardziej popularne techniki ataku płynące z manipulacji ludzką psychiką i ludzkimi emocjami.
Inżynieria społeczna
Często pojęcia „inżynieria społeczna” i „socjotechnika” są używane zamiennie, szczególnie jeżeli dotyczy to cyberbezpieczeństwa. Natomiast istnieją między nimi pewne różnice.
Mianowicie inżynieria społeczna to zbiór technik manipulacyjnych, których celem jest skłonienie osoby do wykonania określonego działania — najczęściej ujawnienia poufnych informacji, udzielenia dostępu do systemów lub podjęcia decyzji sprzyjającej atakującemu. W przeciwieństwie do klasycznych cyberataków, inżynieria społeczna nie polega na łamaniu zabezpieczeń technicznych lecz na wykorzystywaniu ludzkich emocji, błędów poznawczych i zaufania.
Natomiast Kevin Mitnick, słynny były haker i późniejszy ekspert w dziedzinie bezpieczeństwa cyfrowego wskazywał, że inżynieria społeczna to proces wpływania na zachowanie jednostki poprzez manipulację informacyjną, mającą na celu uzyskanie dostępu do zasobów chronionych, bez konieczności stosowania siły lub technologii łamiącej zabezpieczenia.
Jako przykłady inżynierii społecznej można wymienić następujące techniki:
– phishing, do którego można zaliczyć fałszywe wiadomości email, czy SMS’y z linkami do stron podszywających się pod prawdziwe, np. konkretnych instytucji,
– vishing, czyli oszustwa telefoniczne, często z użyciem spoofingu,
– pretexting, czyli tworzenie wiarygodnej historii (np. podszywanie się pod pracownika działu IT),
– baiting, czyli oferowanie nagrody w zamian za określone działanie (np. nagroda w postaci pendriva, który jest zainfekowany złośliwym oprogramowaniem),
– tailgaiting, czyli fizyczne wejście do chronionej strefy za pomocą manipulacji.
Skoro już wiesz czym jest inżynieria społeczna, przejdźmy do omówienia socjotechniki.
Socjotechnika
Socjotechnika to interdyscyplinarna dziedzina wiedzy, która bada i wykorzystuje mechanizmy wpływu społecznego, komunikacji, psychologii, socjologii i manipulacji w celu kształtowania zachowań jednostek lub grup. Może być stosowana zarówno w celach pozytywnych (np. edukacja, marketing, zarządzanie zmianą), jak i negatywnych (np. oszustwa, propaganda, manipulacja).
Socjotechnika opiera się na naukach społecznych i psychologii. Stosowana jest w różnych dziedzinach, m.in. polityce, edukacji, reklamie, czy nawet cyberbezpieczeństwie. Może mieć charakter strategiczny i długofalowy, a co najważniejsze stosowanie socjotechniki nie zawsze wiąże się z popełnieniem przestępstwa i może być etyczne.
Podsumowując, socjotechnika polega na systematycznym oddziaływaniu na jednostki i grupy społeczne w celu wywołania określonych i pożądanych zmian w ich zachowaniach, postawach lub przekonaniach.
Inżynieria społeczna, a socjotechnika – różnice
Warto, abyś potrafił rozróżnić inżynierię społeczną od socjotechniki, dlatego zaprezentuję Ci kluczowe różnice:
– dziedzina – socjotechnika jest powiązana z socjologią, psychologią i komunikacją, natomiast inżynieria społeczna związana jest cyberbezpieczeństwem, informatyką i także psychologią,
– cel – socjotechnika ukierunkowana jest na kształtowanie zachowań, wywieranie wpływu społecznego, natomiast inżynieria społeczna nastawiona jest na uzyskanie dostępu, danych, przełamanie zabezpieczeń,
– charakter – socjotechnika może być wykorzystana zarówno w celach etycznych, jak i nieetycznych, natomiast inżyniera społeczna zazwyczaj ma charakter nieetyczny lub przestępczy,
– narzędzia – do podstawowych narzędzi socjotechniki możemy zaliczyć perswazję, narrację, manipulację i edukację, podczas gdy głównymi narzędziami inżynierii społecznej są phishing, vishing, pretexting, spoofing,
– zakres – w przypadku socjotechniki szeroki, czyli reklama, polityka, edukacja, HR, natomiast zakres inżynierii społecznej jest wąski i koncentruje się na atakach na pojedyncze osoby lub grupy osób, w szczególności w kontekście IT,
– relacja – socjotechnika stanowi fundament inżynierii społecznej, natomiast inżynieria społeczna, to zastosowanie socjotechniki.
Różnice dobrze obrazują poniższe przykłady:
- kampania społeczna zachęcająca do szczepień, wykorzystująca emocje, autorytety i narrację, to przykład socjotechniki,
- fałszywy e-mail od „Ministerstwa Zdrowia” z linkiem do „rejestracji szczepienia”, który prowadzi do strony phishingowej, to przykład inżynierii społecznej.
Skoro już poznałeś szczegółowe definicje inżynierii społecznej i socjotechniki oraz wiesz jakie są między nimi różnice, przejdę teraz do omówienia phishingu.
Phishing
Phishing to technika oszustwa polegająca na podszywaniu się pod zaufaną instytucję, osobę lub usługę w celu nakłonienia ofiary do ujawnienia poufnych informacji, takich jak dane logowania, numery kart płatniczych, dane osobowe czy inne wrażliwe informacje. Atak odbywa się najczęściej za pośrednictwem wiadomości e-mail, SMS, komunikatorów lub fałszywych stron internetowych.
Ważne, abyś wiedział, że do kluczowych cech phishingu zalicza się:
– podszywanie, czyli przyjęcie fałszywej tożsamości, np. banku, urzędu, firmy kurierskiej, znajomego,
– komunikację kanałami, takimi jak e-mail, SMS (smishing), telefon (vishing), komunikatory, social media,
– manipulację emocjami, np. wywoływanie strachu, presji czasu, ciekawości, zaufania,
– wysyłanie fałszywych linków, często prowadzących do spreparowanych stron logowania,
– wysyłanie złośliwych załączników, czyli plików zawierających malware, keyloggery, trojany.
Typowymi odmianami phishingu są:
– spear phishing, czyli celowany atak na konkretną osobę, często z użyciem danych z mediów społecznościowych,
– whaling, czyli atak na osoby na wysokich stanowiskach (np. dyrektorzy, członkowie zarządu),
– smishing, czyli phishing przez SMS,
– vishing, czyli phishing przez rozmowę telefoniczną,
– clone phishing, czyli fałszywa kopia wcześniej otrzymanej wiadomości,
– angler phishing, czyli podszywanie się pod obsługę klienta w mediach społecznościowych.
Znając już bardziej szczegółowo najczęściej występujące w mediach pojęcia związane z manipulacją ludźmi, przejdźmy do omówienia najnowszych rodzajów ataków, których celem są emocje i psychika człowieka.
Nowe rodzaje ataków
Inżynieria społeczna w 2025 roku ewoluowała w sposób, który sprawia, że nawet najbardziej zaawansowane zabezpieczenia techniczne stają się bezradne wobec sprytnej manipulacji psychologicznej.
A więc, co się zmieniło?
- Deepfake i AI jako broń manipulacji
Rozwój technologii deepfake pozwala na tworzenie realistycznych nagrań wideo i audio, które podszywają się pod konkretne osoby. W połączeniu z AI, przestępcy mogą generować głos dyrektora, który „prosi” o przelew lub dostęp do systemu.
Przykład: w 2024 roku firma z Hongkongu straciła 25 mln dolarów po tym, jak pracownik został zmanipulowany przez deepfake wideo przedstawiające dyrektora finansowego podczas „wideokonferencji”.
- Ataki na help desk i MFA
Grupy takie jak SCATTERED SPIDER stosują zaawansowaną socjotechnikę, by obejść zabezpieczenia wieloskładnikowe (MFA). Dzwonią do działu IT, podszywając się pod pracownika, twierdząc że „zgubili telefon” i proszą o reset hasła.
Ich mechanizm działania opiera się na:
– użyciu danych pracownika pobranych z portali społecznościowych, jak LinkedIn lub z wycieków,
– kontakcie z działem IT (np. Service Desk) poza godzinami pracy,
– wywoływaniu presji czasowej, np. „Klient czeka!”,
– wykorzystywaniu narzędzi do zdalnego dostępu, np. AnyDesk.
- Rekrutacja oszustów na forach eCrime
Cyberprzestępcy zatrudniają osoby z umiejętnościami interpersonalnymi do prowadzenia rozmów telefonicznych. Na forach typu BreachForums pojawiają się ogłoszenia: „Szukam native speakera do rozmów z help desk”.
Co ciekawe, niektóre grupy płacą nawet 5000 USD za udany dostęp do konta administratora — bez użycia malware.
- Phishing nowej generacji z pomocą ChatGPT i innych modeli sztucznej inteligencji
Sztuczna inteligencja, taka jak ChatGPT, jest wykorzystywana do tworzenia hiperrealistycznych wiadomości phishingowych. Są one spersonalizowane, pozbawione błędów językowych i często trudne do odróżnienia od prawdziwych.
Jako przykład może posłużyć odnotowana w Polsce kampania phishingowa podszywająca się pod ZUS, w której AI generowała wiadomości o „braku składek” i groźbie kary.
- Fałszywe inwestycje z wykorzystaniem AI i wizerunków celebrytów
Przestępcy tworzą strony phishingowe podszywające się pod znane spółki Skarbu Państwa i wykorzystują wizerunki celebrytów (np. youtuberów, aktorów) do promowania nieistniejących inwestycji. Ofiary są kierowane na te strony przez reklamy w mediach społecznościowych i serwisach informacyjnych.
Tylko w tym roku (2025) zespół CSIRT KNF wykrył ponad 50 tys. stron phishingowych, z czego ponad 40 tys. było powiązanych z fałszywymi inwestycjami.
Sam mechanizm oszustwa polega na przeprowadzeniu rozmowy telefonicznej (vishing), w której „doradca” nakłania do wpłaty środków.
- Phishing w aplikacjach mobilnych i komunikatorach
Ataki coraz częściej przenoszą się na platformy takie jak WhatsApp, Telegram, Signal, a nawet gry online, tu przykładem może być rozsyłana przez Telegram wiadomość z fałszywą promocją na Allegro prowadząca do strony z certyfikatem SSL, która wyglądała identycznie jak oryginalna. Na fałszywej stronie ofiary były proszone o podanie danych logowania i numeru karty płatniczej. - Kampanie phishingowe po atakach ransomware
Po atakach ransomware, także na polskie firmy, przestępcy wykorzystują wycieki danych do przeprowadzania kampanii phishingowych. Przykłądem może być kampania przeprowadzona po ataku na sklepBaterie.pl i EuroCert, po którym wyciekły dane klientów (e-maile, numery telefonów, PESEL). Dane te posłużyły do wysyłania fałszywych wiadomości z prośbą o „potwierdzenie tożsamości” lub „aktualizację danych”.
A jak wyglądają statystyki?
75% wszystkich cyberataków w 2025 roku, to ataki phishingowe.
W Polsce kwartalnie udaremnia się próby wyłudzeń na kwotę ponad 48 mln zł.
68% pracowników przyznaje, że nie potrafi rozpoznać zaawansowanego phishingu.
Obrona przed atakami
Choć statystyki wyglądają przerażająco, to jednak można się bronić, w szczególności przez:
– szkolenia z rozpoznawania manipulacji, stosowania inżynierii społecznej i manipulacji, jak choćby moje szkolenie, które dostępne jest pod tym linkiem: https://helion.pl/kurs/socjotechnika-kurs-video-inzynieria-spoleczna-w-atakach-phishingowych-michal-mamica,vsocjo.htm#format/w;
– weryfikację tożsamości przez wiele kanałów – nigdy nie można ufać słyszanemu w telefonie głosowi, czy otrzymanej wiadomości e-mail, konieczne jest stosowanie dodatkowych kanałów potwierdzenia;
– monitorowanie aktywności poza godzinami pracy, szczególnie dotyczy to pracowników działów IT, np. help desk;
– ograniczenie publicznych danych – należy minimalizować ilość informacji dostępnych w mediach społecznościowych czy na stronie firmowej;
– nie klikanie w linki z nieznanych źródeł – nie wszystkie linki prowadzą do bezpiecznych stron internetowych;
– korzystanie z menedżerów haseł i MFA – co znacząco utrudni cyberprzestępcy przejęcie Twoich kont;
– zgłaszanie podejrzanych wiadomości do CERT Polska – jako element walki z cyberprzestępczością.
Podsumowanie
Rok 2025 przynosi radykalną zmianę w sposobie, w jaki cyberprzestępcy atakują swoje ofiary — nie przez łamanie kodów, lecz przez łamanie zaufania. Socjotechnika, wspierana przez sztuczną inteligencję, deepfake, dane z mediów społecznościowych i zaawansowane techniki psychologiczne, stała się najpotężniejszym narzędziem manipulacji w świecie cyfrowym.
Ataki phishingowe, vishing, spoofing czy spear phishing nie są już prostymi próbami oszustwa — to precyzyjnie zaplanowane operacje, które wykorzystują nasze emocje, nawyki i luki w świadomości. Ofiary nie są przypadkowe, a komunikaty są coraz bardziej spersonalizowane i trudne do wykrycia.
W obliczu tej nowej rzeczywistości kluczowe staje się nie tylko wzmacnianie zabezpieczeń technicznych, ale przede wszystkim edukacja użytkowników, budowanie świadomości zagrożeń i rozwijanie kompetencji cyfrowych. Tylko połączenie technologii z czujnością człowieka może skutecznie przeciwdziałać nowej erze manipulacji.
Autor: Michał Mamica