Wróć do encyklopedii
Socjotechnika
Wysoki
ZarządPracownicyFinanse

Vishing — phishing głosowy

Voice Phishing (Vishing)

Vishing to phishing przez telefon — fałszywe połączenia od banku, policji lub przełożonego. Deepfake audio czyni ataki wiarygodnymi.

2 min czytaniaPrzykład: Deepfake CEO — brytyjska firma energetyczna straciła 220 000 EUR (2019)
Udostępnij
Vishing — phishing głosowy

MITRE ATT&CK

Kluczowe wnioski

  • Vishing to phishing telefoniczny — atakujący dzwoni podszywając się pod bank, policję lub przełożonego
  • W 2026 deepfake audio pozwala klonować głos CEO z publicznych nagrań
  • Nigdy nie podawaj danych logowania, kodów SMS ani BLIK przez telefon
  • Rozłącz się i zadzwoń samodzielnie na oficjalny numer instytucji

Czym jest vishing?

Vishing (Voice Phishing) to atak socjotechniczny przeprowadzany przez telefon. Atakujący dzwoni do ofiary podszywając się pod zaufaną instytucję — bank, policję, urząd skarbowy, dział IT firmy, a nawet przełożonego — i manipuluje ofiarą w celu wyłudzenia danych lub pieniędzy.

W 2026 roku vishing stał się szczególnie niebezpieczny dzięki technologii deepfake audio, która pozwala klonować głos dowolnej osoby na podstawie kilku sekund nagrania.

Jak działa atak?

  1. Spoofing numeru — atakujący fałszuje numer telefonu (caller ID spoofing), by wyświetlał się jako numer banku lub firmy
  2. Budowanie presji — "Panie Kowalski, tu bank PKO. Wykryliśmy nieautoryzowaną transakcję na 15 000 PLN. Muszę potwierdzić Pana tożsamość"
  3. Wyłudzenie danych — prosi o login, hasło, kod SMS, numer BLIK lub dane karty
  4. Deepfake wariant — klonowany głos CEO dzwoni do księgowej: "Pilny przelew, 50 000 PLN na konto dostawcy, zrób to teraz"
  5. Realizacja — ofiara wykonuje przelew lub podaje dane, które atakujący natychmiast wykorzystuje

Kogo dotyczy w Polsce?

Vishing w Polsce przybiera najczęściej formy:

  • "Fałszywy policjant" — dzwoni "komisarz" informujący o zagrożeniu i proszący o przelanie pieniędzy na "bezpieczne konto"
  • "Fałszywy bankier" — prosi o potwierdzenie transakcji i wyłudza kody SMS
  • "Fałszywy przełożony" — deepfake głosu CEO proszący o pilny przelew
  • "Fałszywy support IT" — prosi o zainstalowanie oprogramowania zdalnego dostępu

Ofiarami są szczególnie osoby starsze, pracownicy działów finansowych i asystenci zarządu.

Jak się chronić?

  1. Rozłącz się i oddzwoń — na numer z oficjalnej strony, nie z wyświetlacza telefonu
  2. Nigdy nie podawaj kodów SMS/BLIK — bank nigdy o to nie prosi
  3. Ustal hasło weryfikacyjne — z przełożonym ustal tajne hasło do potwierdzania pilnych próśb
  4. Szkolenia — regularne treningi rozpoznawania vishingu
  5. MFA aplikacyjne — zamiast kodów SMS, używaj aplikacji authenticator lub FIDO2

Jak SecIQ pomaga?

  • IQ Academy prowadzi symulacje vishingowe — kontrolowane scenariusze telefoniczne
  • SecIQ SOC monitoruje podejrzane logowania po potencjalnych atakach vishingowych
  • Polityki Conditional Access — blokowanie dostępu z nieznanych urządzeń
  • Procedury bezpieczeństwa — pomagamy wdrożyć protokoły weryfikacji przelewów

Umów szkolenie z ochrony przed vishingiem.

VishingVoice PhishingDeepfakeSocial Engineering

Najczęściej zadawane pytania

Jak rozpoznać vishing?
Red flags: dzwoniący wywiera presję czasową, prosi o dane logowania/kody SMS/BLIK, grozi konsekwencjami prawnymi, prosi abyś nie rozmawiał z nikim o tym połączeniu. Prawdziwy bank nigdy nie prosi o pełne hasło ani kody autoryzacyjne przez telefon.
Czy deepfake audio jest realne w 2026?
Tak. Klonowanie głosu wymaga zaledwie 3-5 sekund próbki audio. Publiczne nagrania CEO (webinary, YouTube, podcasty) wystarczą do stworzenia wiarygodnego deepfake. Atakujący używają sklonowanego głosu do pilnych próśb o przelewy.
Co zrobić gdy podejrzewam vishing?
Rozłącz się natychmiast. Nie używaj opcji 'oddzwoń' — numer może być sfałszowany (spoofing). Samodzielnie znajdź oficjalny numer instytucji i zadzwoń. Jeśli podałeś dane — natychmiast zmień hasło i zgłoś incydent bankowi i działowi IT.
SECIQ

SecIQ Team

Zespół inżynierów bezpieczeństwa SecIQ. Monitorujemy zagrożenia 24/7, reagujemy w minutach i dzielimy się wiedzą, aby Twoja organizacja była bezpieczna.

Powiązane ataki

Socjotechnika
Krytyczny

Deepfake i AI Social Engineering

2 min czytania

Socjotechnika
Wysoki

Phishing — atak e-mailowy

2 min czytania

Socjotechnika
Wysoki

Quishing — QR Code Phishing

2 min czytania

Chroń swoją organizację

SecIQ SOC monitoruje zagrożenia 24/7 i reaguje na incydenty w minutach. Umów bezpłatną konsultację.

Umów konsultacjęPoznaj SecIQ SOC

Bezpłatna konsultacja · 15 min · bez zobowiązań