Dlaczego strony phishingowe wyglądają tak żałośnie. I dlaczego to nie jest przypadek.
Share
Widziałeś maila z błędami ortograficznymi od "twojego banku." Pomyślałeś że tylko idiota by się na to nabrał. Może właśnie o to chodzi. A może odpowiedź jest prostsza i mniej filmowa.
Jest takie pytanie które pada na szkoleniu z cyberbezpieczeństwa.
"Dlaczego strony phishingowe wyglądają tak słabo? Przecież oszuści mogliby zrobić to porządnie."
I zaraz pojawia się teoria która brzmi przekonująco.
Że to celowe. Że błędy w mailu są filtrem. Że oszust który potrafi napisać przekonującego phishinga nie chce tracić czasu na ofiary które mają podstawową czujność – woli złowić tylko tych którzy na błędy nie reagują. Bo taka ofiara jest bardziej podatna na kolejne etapy ataku i mniej prawdopodobne że w połowie procesu się wycofa.
Teoria jest elegancka. Psychologicznie spójna. Intuicyjnie atrakcyjna.
Problem polega na tym że prawdopodobnie nie jest głównym powodem.
Brzytwa Ockhama wchodzi na salę
Jest taka zasada w logice która mówi że przy braku dowodów na skomplikowane wyjaśnienie warto wybrać najprostsze.
I najprostsze wyjaśnienie słabej jakości phishingu jest znacznie mniej filmowe niż teoria o świadomym filtrowaniu ofiar.
Masowa produkcja.
Zestaw narzędzi do tworzenia stron dobrych phishingowych pewnie troche kosztuje. Kampania mailingowa do miliona adresów – kilka godzin pracy skryptu. Fejkowa strona banku – szablon do pobrania, zmiana logo, gotowe.
Gdy produkujesz tysiąc kampanii miesięcznie automatycznie – jakość każdej z nich jest odwrotnie proporcjonalna do skali. Nie ma ekonomicznego uzasadnienia żeby dopracowywać każdy mail jeśli wystarczy że jeden procent odbiorców kliknie.
Błędy ortograficzne nie są strategią. Są efektem ubocznym masowej taśmowej produkcji przez narzędzia które tłumaczą treści automatycznie, przez ludzi dla których polska ortografia jest obca i przez tempo które nie przewiduje korekty.
Ale teoria o filtrowaniu ma ziarnko prawdy
Anality zauważyli korelację między jakością phishingu a etapem ataku na który trafiają ofiary. Tylko że dotyczy konkretnej kategorii oszustw: zaawansowanych ataków socjotechnicznych gdzie oszust buduje długotrwałą relację z ofiarą. Tam rzeczywiście opłaca się zainwestować czas w wstępne filtrowanie.
Ale to nie jest typowy phishing masowy który trafia do skrzynki każdego z nas kilka razy w tygodniu.
Typowy phishing masowy to nie jest zaplanowana operacja psychologiczna. To jest sieć rybacka rzucona na ocean w nadziei że cokolwiek się złapie.
Jak wygląda prawdziwa fabryka phishingu
Żeby zrozumieć dlaczego phishing wygląda jak wygląda – warto wiedzieć jak powstaje.
Istnieją gotowe zestawy narzędzi zwane phishing kits. Zawierają szablony stron podszywających się pod banki, sklepy, platformy streamingowe, urzędy. Ktoś kupuje zestaw, podmienia logo i adres URL, uruchamia hosting na zhakowanym serwerze i wypuszcza kampanię.
Cały proces od zakupu do działającej kampanii zajmuje kilka godzin. Koszt – kilkadziesiąt dolarów.
Automatyczne tłumaczenie treści przez narzędzia AI jest teraz tak tanie że nie ma sensu zatrudniać native speakera do korekty. Jeśli na tysiąc maili trafi sto osób które klikną – misja wykonana niezależnie od tego ile było błędów ortograficznych.
Ekonomia masowej produkcji eliminuje potrzebę jakości.
Gdzie teoria o filtrowaniu ma realne zastosowanie
Jest jedna kategoria ataków gdzie celowa słaba jakość może być świadomą strategią.
Oszustwa na romantyczną relację. Długotrwałe budowanie zaufania przed prośbą o pieniądze lub dane. Tu rzeczywiście opłaca się filtrować na wejściu – bo ofiara która zacznie wątpić w połowie jest kłopotem.
Oszustwa inwestycyjne gdzie buduje się relację przez tygodnie albo miesiące. Pierwsza wiadomość może być celowo nieperfekcyjna żeby odsiać tych którzy natychmiast zadają trudne pytania.
Spear phishing – celowany atak na konkretną osobę lub organizację. Tu jakość jest wysoka bo zwrot z inwestycji jest konkretny i wiadomy z góry.
Ale to nie jest phishing który dostaje każdy z nas codziennie. To jest mały procent wszystkich ataków.
Dlaczego to rozróżnienie ma znaczenie praktyczne
Bo jeśli wierzysz że phishing jest łatwy do rozpoznania bo "zawsze wygląda słabo" – jesteś w niebezpiecznym miejscu.
Narzędzia AI sprawiają że jakość phishingu rośnie w tempie którego nie było jeszcze dwa lata temu. Dziś możliwe jest automatyczne generowanie perfekcyjnie napisanych maili w każdym języku, spersonalizowanych na podstawie publicznie dostępnych danych o odbiorcy, z poprawną polszczyzną i bez jednego błędu.
Jeśli Twoja jedyna linia obrony to "rozpoznam phishing po błędach ortograficznych" – ta linia obrony właśnie znika.
Phishing który wygląda perfekcyjnie już istnieje. I będzie coraz powszechniejszy.
Dlatego zasada "nie klikam w linki w mailach od banku niezależnie jak profesjonalnie wyglądają" jest ważniejsza niż "sprawdzam czy są błędy ortograficzne."
Błędy ortograficzne były wskazówką. Nie były i nigdy nie były gwarancją.
Jak wygląda phishing w 2026 roku
Dla porządku – bo teoria o celowym filtrowaniu pochodzi z czasów gdy phishing był tworzony ręcznie przez ludzi.
Dziś phishing jest generowany masowo przez narzędzia AI które nie popełniają błędów ortograficznych. Strony phishingowe mają certyfikat SSL – ta kłódka w przeglądarce która kiedyś była sygnałem bezpieczeństwa. Nadawca maila wygląda identycznie jak prawdziwy adres banku z powodu technik spoofingu. Treść jest spersonalizowana na podstawie danych które wyciekły w poprzednich incydentach – Twoje imię, nazwisko, ostatnie cztery cyfry karty.
Ewolucja phishingu poszła dokładnie w kierunku który teoria o filtrowaniu wykluczała.
Stał się lepszy. Nie dlatego że zmienił strategię. Dlatego że narzędzia stały się tańsze i potężniejsze.
Jedna zasada która działa niezależnie od jakości ataku
Nie ma znaczenia jak dobry jest phishing jeśli stosujesz jedną zasadę konsekwentnie.
Nigdy nie klikaj w link z maila żeby zalogować się do czegokolwiek. Zawsze wpisuj adres ręcznie w przeglądarce albo używaj zakładki którą sam dodałeś.
Nie dlatego że link wygląda podejrzanie. Nie dlatego że mail ma błędy. Zawsze. Niezależnie od tego jak profesjonalnie wygląda wiadomość.
Phishing który wygląda perfekcyjnie i phishing który wygląda jak robił go pięciolatek – obu nie powiedzie się jeśli nie klikniesz.
To jest brzytwa Ockhama zastosowana do obrony.
Najprostsze rozwiązanie które działa niezależnie od skomplikowania ataku.
Realne pytania które dostaniesz pod tym artykułem:
Skoro phishing staje się coraz lepszy to jak w ogóle go rozpoznać?
Przestań szukać błędów ortograficznych – to już nie jest wystarczający sygnał. Zamiast tego skup się na kontekście i presji. Każda wiadomość która wymaga natychmiastowego działania, straszy konsekwencjami lub oferuje coś zbyt dobrego – jest podejrzana niezależnie od jakości języka. Prawdziwy bank nie dzwoni i nie pisze żebyś "natychmiast potwierdził dane bo konto zostanie zablokowane." Presja czasowa to najsilniejszy sygnał ataku socjotechnicznego – i jedyny którego AI nie usunie bo jest wbudowany w mechanizm oszustwa.
Czy kłódka SSL przy adresie strony gwarantuje że jest bezpieczna?
Nie – i to jest mit który kosztował już wiele ofiar. Kłódka SSL oznacza tylko że połączenie między Twoją przeglądarką a serwerem jest szyfrowane. Nie oznacza że serwer należy do kogoś godnego zaufania. Strona phishingowa z certyfikatem SSL – a takich jest coraz więcej – wygląda w przeglądarce dokładnie tak samo jak prawdziwa strona banku. Kłódka przestała być sygnałem bezpieczeństwa mniej więcej w 2018 roku gdy certyfikaty stały się darmowe i powszechnie dostępne.
Jak działa spoofing adresu nadawcy? Mogę mu zaufać jeśli wygląda jak prawdziwy mail banku?
Nie możesz – i to jest jeden z najtrudniejszych aspektów phishingu do wytłumaczenia. Adres nadawcy w mailu można sfałszować tak żeby wyglądał identycznie jak prawdziwy adres banku. To co widzisz w polu "od" nie musi być tym czym jest w rzeczywistości. Jedyną niezawodną metodą weryfikacji jest wejście na stronę banku przez zakładkę którą sam dodałeś albo przez ręczne wpisanie adresu – i sprawdzenie tam czy jest jakiekolwiek powiadomienie. Nie przez link z maila. Nigdy przez link z maila.
Czy phishing przez SMS jest groźniejszy niż przez mail?
W pewnym sensie tak – i robi się coraz groźniejszy. SMS ma wyższy wskaźnik otwarć niż mail bo jesteśmy przyzwyczajeni że SMS to pilna komunikacja. Nie mamy w telefonie takich samych nawyków ostrożności jak przy komputerze. Linki w SMS-ach są skracane co ukrywa prawdziwy adres. I coraz częściej phishing SMS-owy jest spersonalizowany – zawiera Twoje imię, fragment numeru karty albo numer paczki która faktycznie do Ciebie jedzie. Zasada jest ta sama co z mailem: nie klikasz w link z SMS-a żeby się zalogować. Wchodzisz przez aplikację lub ręcznie wpisany adres.
Dostałem podejrzanego maila. Co robię zanim go usunę?
Zależy od kontekstu. Jeśli jesteś w firmie – zgłoś go do działu IT lub osoby odpowiedzialnej za bezpieczeństwo zanim usuniesz. Phishing celowany w organizację jest cenną informacją dla zespołu. Jeśli jesteś prywatną osobą – możesz zgłosić go do CERT Polska przez stronę incydent.cert.pl. To zajmuje dwie minuty i realnie pomaga ostrzegać innych. Potem usuń. Nigdy nie odpowiadaj na podejrzanego maila – nawet żeby napisać "wiem że jesteście oszustami." Odpowiedź potwierdza że adres jest aktywny i generuje więcej ataków.
Czy antywirus chroni przed phishingiem?
Częściowo. Dobry antywirus z modułem ochrony przeglądarki może ostrzec przed wejściem na znany adres phishingowy który jest w jego bazie. Problem polega na tym że nowe strony phishingowe powstają szybciej niż bazy są aktualizowane. Świeży atak przez pierwszych kilka godzin jest niewidoczny dla antywirusów. Jedyna obrona która działa niezależnie od tego czy strona jest w bazie antywirusowej – to nawyk nieklikania w linki z maili i SMS-ów niezależnie od tego jak wyglądają.
Mój znajomy twierdzi że rozpozna phishing zawsze bo ma dobre oko. Czy to możliwe?
Nie – i to jest niebezpieczne przekonanie. Badania pokazują że nawet specjaliści od cyberbezpieczeństwa dają się nabrać na dobrze przygotowany spear phishing bo jest spersonalizowany na podstawie ich własnych danych i kontekstu zawodowego. Przekonanie że "mnie się to nie przydarzy" to dokładnie ten stan umysłu który ataki socjotechniczne próbują osiągnąć – bo obniża czujność. Jedyna skuteczna obrona to nawyk a nie ocena każdego przypadku z osobna. Nawyk nie wymaga "dobrego oka." Działa automatycznie nawet gdy jesteś zmęczony i nieuwazny.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.