BlogAktualności

Phishing Q1 2026 według Microsoft — 8,3 mld ataków, upadek Tycoon2FA

Microsoft Q1 2026: 8,3 mld phishingów, quishing +146%, CAPTCHA-gated +125%, koniec Tycoon2FA. Co zmieniło się w taktykach napastników i jak na to reagować?

SecIQ Team8 min czytania

Kluczowe wnioski

  • Microsoft wykrył 8,3 mld zagrożeń phishingowych w Q1 2026 — 78% to linki, ale to QR i CAPTCHA-gated rosną najszybciej
  • Quishing wzrósł o 146% w kwartale (7,6 mln → 18,7 mln), 65-70% kodów dostarczono w załącznikach PDF, których filtry nie skanują
  • CAPTCHA-gated phishing eksplodował w marcu o 125% — fałszywa bramka 'nie jestem robotem' blokuje skanery filtra i buduje zaufanie ofiary
  • Po międzynarodowej akcji przeciw Tycoon2FA infrastruktura przeniosła się na domeny .RU (41% rejestracji do końca marca) — operacje policyjne nie kończą problemu, tylko go przemieszczają

Trzy dni, w których Tycoon2FA prawie zniknął — i co stało się potem

Microsoft Threat Intelligence opublikował 30 kwietnia 2026 raport za Q1 — pierwszy kwartał, w którym widać konsekwencje skoordynowanej akcji przeciw Tycoon2FA, najpopularniejszej platformie phishing-as-a-service ostatniego roku. Liczby z raportu to nie tylko statystyka. To zapis tego, jak rynek napastników reaguje, gdy fragment ekosystemu znika z dnia na dzień.

W skrócie: nie zniknął na długo. I nie tylko Tycoon2FA się zmienił.

8,3 miliarda zagrożeń w trzy miesiące

To liczba, która wymaga uważnej interpretacji. Microsoft wykrył 8,3 mld phishingów w skrzynkach klientów Defender for Office 365 — od stycznia do marca 2026. Średnio 2,8 mld miesięcznie, z trendem spadkowym (2,9 mld w styczniu, 2,6 mld w marcu).

Spadek wolumenu nie oznacza spadku zagrożenia. Strukturalnie:

  • 78% ataków to phishing oparty na linkach — klasyczne wabienie do fałszywej strony logowania
  • 19% → 13% to kampanie ze złośliwym ładunkiem (payload) — ale w tej grupie aż 89-94% celuje wyłącznie w kradzież credentiali
  • Klasyczny malware spadł do 5-6% payloadów

Widzimy migrację: napastnicy przestają dostarczać binarki, bo działają lepiej, kradnąc tokeny sesji. Token z przejętej sesji omija MFA, którego wirus na endpoint'cie musiałby najpierw obejść. To zmienia model obrony — coraz mniej chodzi o blokowanie złośliwych plików, coraz więcej o ochronę tożsamości.

Co stało się z Tycoon2FA — i dlaczego to nie jest koniec

Tycoon2FA pojawił się w sierpniu 2023 roku jako platforma adversary-in-the-middle (AiTM). Operowany przez grupę śledzoną przez Microsoft jako Storm-1747, oferował napastnikom gotowe szablony stron logowania Microsoft 365, mechanizm proxy do przechwytywania tokenów MFA i hosting w Cloudflare.

Co pokazuje raport za Q1 2026:

  • Styczeń: wolumen Tycoon2FA spadł o 54% względem grudnia (efekt akcji przeciw infrastrukturze)
  • Luty: odbicie o 44% — operatorzy odbudowują zasoby
  • Marzec: ponowny spadek o 15%, ale prawie jedna trzecia wolumenu z marca skoncentrowała się w trzech dniach na początku miesiąca — ślad pojedynczej, intensywnej kampanii
  • Do końca marca 41% nowych domen Tycoon2FA było pod TLD .RU — przeniesienie hostingu z Cloudflare na alternatywnych providerów, głównie rosyjskich

Dwa wnioski są tu istotne. Po pierwsze: operacje policyjne osłabiają, ale nie eliminują infrastruktury PhaaS — atakujący odbudowują się w tygodniach, nie miesiącach. Po drugie: udział Tycoon2FA w kampaniach CAPTCHA-gated spadł z 75%+ (koniec 2025) do 41% w marcu. To znaczy, że techniki Tycoon2FA przejmują inni operatorzy: Kratos/Sneaky2FA i EvilTokens.

Tycoon2FA jako brand słabnie. Tycoon2FA jako technika rozpływa się w całym ekosystemie.

Quishing — wzrost o 146% w jeden kwartał

Phishing przez kody QR był jedną z głównych anomalii Q1 2026:

  • Wzrost o 146% w skali kwartału (7,6 mln w styczniu → 18,7 mln w marcu)
  • 65-70% kodów QR dostarczono w załącznikach PDF — bo PDF jest „zaufanym" formatem, który większość filtrów przepuszcza
  • Embedding QR bezpośrednio w treści maila wzrósł o 336% w marcu (choć to wciąż 5% ogółu)

Mechanizm jest banalnie skuteczny. Filtr antyphishingowy analizuje linki w treści wiadomości i metadane załączników. Nie OCR-uje obrazów wewnątrz PDF-ów (lub robi to ograniczenie dobrze). Atakujący wkleja QR do PDF-a o nazwie „401K-update.pdf" lub „faktura-przelew.pdf" — i filtr przepuszcza, bo nie widzi linka.

Pisaliśmy szerzej o tym wektorze w artykule Quishing — QR Code Phishing. Dane z Q1 2026 potwierdzają: to nie chwilowa moda.

CAPTCHA-gated phishing — fałszywa bariera „nie jestem robotem"

To trend, który najbardziej zaskoczył analityków Microsoft. Ataki, w których ofiara musi przejść przez CAPTCHA przed zobaczeniem fałszywej strony logowania:

  • Styczeń: spadek o 45%
  • Luty: spadek o 8%
  • Marzec: wzrost o 125% — do 11,9 mln ataków, najwyższy odczyt kwartału

Po co napastnikowi CAPTCHA przed swoim własnym phishingiem? Dwa powody:

  1. Blokuje automatyczne skanery filtra antyphishingowego, który próbuje sprawdzić stronę docelową przed dostarczeniem maila. Skaner nie rozwiąże CAPTCHA, więc widzi tylko legalną bramkę i przepuszcza.
  2. Buduje fałszywe zaufanie u ofiary — „skoro pyta mnie czy jestem robotem, to prawdziwa strona".

Rotacja metod dostarczania w Q1 jest pouczająca:

  • PDF z linkiem do CAPTCHA wzrósł o 356% w marcu i stał się dominującą metodą
  • DOC/DOCX wzrosły o 373% w marcu
  • HTML potroił się (+175%) po lutowym dołku
  • SVG osiągnął szczyt w lutym (+49%) i spadł o 57% w marcu

Innymi słowy: napastnicy zmieniają format dostarczenia co kilka tygodni, żeby utrudnić budowanie sygnatur statycznych.

Pojedyncza kampania, która ilustruje skalę

23-25 lutego Microsoft odnotował kampanię obejmującą 1,2 mln wiadomości do 53 000+ organizacji w 23 krajach. Załącznik: SVG z zakodowanym base64 adresem ofiary, tematy „aktualizacja 401K", „blokada karty", „zapytanie o płatność". Trzy domeny przekierowywały przez CAPTCHA do strony zbierającej credentials.

17 marca kolejna fala: 1,5 mln wiadomości do 179 000+ organizacji w 43 krajach — pojedyncza kampania HTML powiązana z Tycoon2FA, Kratos/Sneaky2FA i EvilTokens jednocześnie. Sender'y miały sztucznie wydłużone nazwy użytkownika z osadzonymi URL-ami w samym adresie.

To skala, której pojedynczy SOC nie obroni samym filtrem. Wymaga warstw.

Darmowy ebook

Pobierz: SOC w 2026 — przewodnik dla firm

32-stronicowy poradnik: jak wybrać SOC, czym jest MDR i jak obniżyć koszty bezpieczeństwa o 60%.

Pobierz za darmo

BEC — co naprawdę piszą napastnicy w pierwszym mailu

Business Email Compromise w Q1 2026: 10,7 mln ataków, z dynamiką sezonową (styczeń +24%, luty -8%, marzec +26%).

Najciekawsza obserwacja dotyczy treści pierwszej wiadomości. Wbrew popularnemu wyobrażeniu, napastnicy rzadko proszą wprost o przelew w pierwszym mailu:

  • 82-84% to generyczne otwarcie w stylu „Czy jesteś przy biurku?" lub „Masz chwilę?"
  • Tylko 9-10% zawiera wprost żądanie finansowe
  • Reszta: prośba o pilne zadanie (7%), aktualizacja payroll (4,2%), faktura (3,1%), karta podarunkowa (2,2%)

Sezonowość: prośby o aktualizację payroll wzrosły o 15% w lutym (sezon zeznań podatkowych w USA). Karty podarunkowe: spadek o 37% w lutym, odbicie o 108% w marcu.

Implikacja praktyczna: trening rozpoznawania BEC oparty na „nie ufaj mailom proszącym o przelew" jest niewystarczający. Atakujący najpierw zdobywa odpowiedź („tak, jestem przy biurku"), dopiero potem rozwija scenariusz. Próg wykrycia w skanerze treści jest niski, bo pierwsza wiadomość nie zawiera żadnych słów-kluczy. To też wyjaśnia, dlaczego w naszych analizach ataków na polskie firmy (BEC — jak rozpoznać) tak często widzimy „niewinne" otwarcie maila przed właściwym uderzeniem.

Co z tego wynika dla polskich firm

Raport Microsoft jest globalny, ale każda z opisanych technik dotyczy bezpośrednio polskich organizacji korzystających z Microsoft 365 — czyli zdecydowanej większości MŚP i dużych firm. CERT Polska w ostrzeżeniach z marca i kwietnia 2026 raportuje wzrost kampanii podszywających się pod ZUS, e-Urząd Skarbowy i InPost — w wielu przypadkach z mechanizmem CAPTCHA przed właściwą stroną phishingową.

Cztery rzeczy, które warto sprawdzić u siebie w tym tygodniu:

  1. Czy Defender for Office 365 ma włączone Safe Links i Safe Attachments? Większość klientów ma, ale konfiguracja per-domain bywa niespójna — zwłaszcza po fuzjach lub migracjach
  2. Czy Zero-Hour Auto Purge (ZAP) jest aktywny? Usuwa wiadomości retroaktywnie, gdy zostaną sklasyfikowane jako phishing po dostarczeniu — kluczowe przy szybko ewoluujących kampaniach
  3. Czy Conditional Access wymusza phishing-resistant MFA dla kont z wysokimi uprawnieniami? Czyli FIDO2/passkeys, nie SMS i nie zwykły push
  4. Czy SOC monitoruje tworzenie reguł skrzynkowych? To klasyczny ślad po przejęciu konta przez AiTM proxy — atakujący tworzy regułę przekierowującą pocztę, żeby ofiara nie widziała odpowiedzi

Co faktycznie działa — cztery warstwy obrony

Microsoft w raporcie podaje zestaw rekomendacji, które są spójne z tym, co rekomendujemy klientom od miesięcy. W skrócie:

Warstwa pocztowa. Safe Links, Safe Attachments i ZAP w Defender for Office 365. To nie jest „dodatkowa licencja" — to funkcje, za które już zapłaciłeś w M365 Business Premium / E5. Wystarczy je włączyć i skonfigurować strict policy.

Warstwa tożsamości. Klucze FIDO2 lub passkeys dla kont z dostępem do finansów, kadr i IT. Conditional Access wymuszający zarządzane urządzenie. Number matching w Authenticatorze. To są mechanizmy, które kryptograficznie odpierają proxy AiTM — żaden Tycoon2FA, Kratos ani EvilTokens nie obejdzie klucza, który weryfikuje domenę.

Warstwa wykrywania. SOC monitorujący nietypowe logowania, tworzenie reguł skrzynkowych, eksfiltrację, dostęp z .RU lub anonimizujących VPN-ów. Automatic attack disruption w Defender XDR — funkcja, która wyłącza konto z aktywną sesją AiTM zanim atakujący wykona lateral movement. To jest różnica między wykryciem incydentu a zatrzymaniem go.

Warstwa ludzka. Symulacje phishingowe z aktualnymi technikami — z PDF-ami zawierającymi CAPTCHA, z QR kodami, z generycznym otwarciem typu „Czy jesteś przy biurku?". Symulacja wzorowana na kampaniach z 2022 roku nie kalibruje pracowników na to, co dzieje się dzisiaj.

SOC SecIQ operacyjnie pokrywa warstwy 1, 3 i 4 — z dedykowanym analitykiem, który zna Twoje środowisko M365, a nie anonimowym L1 oglądającym alerty po raz pierwszy.

Co wiemy, a czego jeszcze nie

Dane Microsoft pochodzą z telemetrii Defender for Office 365 — co oznacza próbę dużą, ale specyficzną (klienci M365). Phishing kierowany do Google Workspace, Zimbra czy on-premise Exchange jest poza tym zbiorem. Realna skala globalna jest większa.

Dla Polski nie mamy jeszcze pełnego ekwiwalentu — CERT Polska publikuje dane zagregowane, ale nie wyodrębnia jeszcze osobno quishingu czy CAPTCHA-gated phishingu w raportach kwartalnych. Trend kierunkowo się pokrywa, ale dokładne udziały dla polskiego rynku to na razie ekstrapolacja.

I jedna rzecz, której nie ma w raporcie Microsoft, a która jest kluczowa: device code phishing. Microsoft wymienia go jako wschodzący wektor, ale bez liczb. To kolejna technika, która omija klasyczne MFA poprzez wykorzystanie legalnego flow OAuth dla urządzeń bez przeglądarki — np. konsoli, IoT, smart TV. EvilTokens już ją oferuje jako gotowy pakiet. Spodziewamy się, że Q2 2026 pokaże eksplozję.

Źródła

FAQ

Czym jest Tycoon2FA i dlaczego Microsoft pisze o nim w raporcie?
Tycoon2FA to platforma phishing-as-a-service działająca od sierpnia 2023, oferująca napastnikom gotowe strony logowania Microsoft 365 z mechanizmem proxy przechwytującym tokeny MFA. Operowana przez grupę Storm-1747. W Q1 2026 jej infrastruktura została zakłócona, ale techniki rozprzestrzeniły się na innych operatorów (Kratos/Sneaky2FA, EvilTokens).
Dlaczego QR phishing (quishing) jest skuteczny mimo filtrów antyphishingowych?
Filtr e-mailowy analizuje linki w treści wiadomości, ale nie czyta zawartości obrazów wewnątrz załączników PDF. Atakujący wkleja kod QR do PDF-a o nazwie 'faktura' lub '401K-update' — i filtr go przepuszcza, bo nie widzi linka. Według Microsoft 65-70% kodów QR w Q1 2026 dostarczono właśnie w PDF-ach.
Jak działa CAPTCHA-gated phishing?
Atakujący umieszcza CAPTCHA przed fałszywą stroną logowania. CAPTCHA blokuje automatyczne skanery filtra antyphishingowego (które nie potrafią jej rozwiązać), więc widzą tylko legalną bramkę i przepuszczają stronę. Jednocześnie u ofiary buduje fałszywe zaufanie: skoro pyta o weryfikację 'nie jestem robotem', to musi być prawdziwa strona.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą.

O zespole →

Powiązane artykuły

Aktualności

Ransomware w 2026 — statystyki, trendy i co to oznacza dla polskich firm

4 min czytania

Aktualności

Phishing w 2026 — od masowych kampanii do chirurgicznych operacji

10 min czytania

Alert

Atak na Vercel a KSC 2.0 — łańcuch dostaw w 2026

10 min czytania
Wróć do bloga