W świecie, w którym komunikacja sieciowa jest szyfrowana, tożsamości chronione wieloskładnikowo, a dostęp do systemów projektowany zgodnie z zasadami Zero Trust, jednym z najskuteczniejszych wektorów ataku pozostaje… rozmowa telefoniczna. Vishing, czyli oszustwa oparte na inżynierii społecznej realizowanej głosem, nie tylko nie zniknął wraz z rozwojem cyberbezpieczeństwa – stał się jednym z jego największych paradoksów.
Nie dlatego, że omija technologię. Dlatego, że technologia kończy się tam, gdzie zaczyna się decyzja człowieka.
Spis Treści
Dlaczego vishing działa, mimo że „wszystko jest zabezpieczone”.
Z perspektywy architektury bezpieczeństwa większość organizacji oraz użytkowników indywidualnych funkcjonuje dziś w środowisku, które jeszcze dekadę temu uznano by za bardzo dojrzałe. TLS jest standardem, MFA stało się normą, a bankowość i usługi cyfrowe inwestują ogromne środki w systemy antyfraudowe.
Mimo to w latach 2023-2025 jednym z najczęściej zgłaszanych incydentów w Europie były oszustwa telefoniczne podszywające się pod banki. Mechanizm tych ataków był zaskakująco powtarzalny.
Klient odbierał telefon z numeru, który na ekranie wyświetlał się jako oficjalna infolinia banku. Rozmówca przedstawiał się imieniem i nazwiskiem, często podając nawet wewnętrzny identyfikator pracownika. Informował o „zablokowanej próbie przelewu” lub „podejrzanej aktywności” i prowadził rozmowę w sposób uspokajający, proceduralny, dokładnie taki, jakiego klienci oczekują od działu bezpieczeństwa.
Kluczowe było to, że ofiara nie była proszona o dane wprost. Zamiast tego słyszała, że system „już wykrył problem”, a jej zadaniem jest jedynie potwierdzenie tożsamości lub „zabezpieczenie środków”. W praktyce oznaczało to podanie kodu SMS, zatwierdzenie operacji w aplikacji mobilnej lub – w skrajnych przypadkach – wykonanie przelewu na tzw. rachunek techniczny.
Z punktu widzenia systemów bankowych wszystko przebiegało prawidłowo. Autoryzacja była silna, użytkownik potwierdził operację, nie doszło do włamania. Zawiódł nie mechanizm, lecz kontekst decyzyjny.
Presja czasu i iluzja autorytetu.
W wielu krajach Europy Zachodniej, szczególnie w Niemczech, obserwowano dodatkowy wariant tego samego schematu. Atakujący wykorzystywali spoofing numerów telefonicznych w taki sposób, że rozmowa wyglądała jak kontynuacja wcześniejszego, realnego kontaktu z bankiem. Ofiara była przekonana, że oddzwania do znanej instytucji. Rozmówcy posługiwali się językiem wewnętrznych procedur: mówili o ticketach, eskalacjach, czasowych oknach bezpieczeństwa. Wprowadzali element presji, informując, że brak reakcji w ciągu kilku minut doprowadzi do blokady konta lub wstrzymania usług.
Pod wpływem stresu i autorytetu instytucji ofiary instalowały aplikacje umożliwiające zdalny dostęp, zatwierdzały logowania z nowych urządzeń i autoryzowały transakcje. Technicznie wszystko było „zgodne z regulaminem”. Psychologicznie była to perfekcyjnie przeprowadzona manipulacja.
Gdy vishing wchodzi do świata B2B.
Jeszcze poważniejsze skutki vishing przynosi w środowisku biznesowym. W odróżnieniu od klientów indywidualnych, tutaj stawką są często setki tysięcy euro, a decyzje podejmowane są w kontekście bieżących projektów, audytów czy presji operacyjnej. W wielu udokumentowanych przypadkach ataki były poprzedzone dokładnym rozpoznaniem. Atakujący analizowali strony internetowe firm, profile pracowników na LinkedInie, publiczne rejestry i komunikaty prasowe. Dzięki temu byli w stanie prowadzić rozmowę w sposób, który nie budził podejrzeń.
Do działu finansowego dzwoniła osoba podszywająca się pod zewnętrznego audytora, firmę compliance lub partnera technologicznego. Znała nazwiska, strukturę organizacyjną, aktualne projekty. Informowała o „niezgodnościach w rozliczeniach” lub „konieczności pilnej korekty danych płatniczych kontrahenta”. W rozmowie pojawiał się subtelny, ale bardzo skuteczny nacisk: sprawa jest już znana zarządowi, działowi prawnemu lub audytorom. Wystarczy „tymczasowo” zmienić numer rachunku lub wykonać jeden przelew, aby nie eskalować problemu.
W takich przypadkach nie zawodzi technologia. Zawodzi proces, który pozwala na zmianę krytycznych danych na podstawie rozmowy telefonicznej.
Głos, który brzmi znajomo.
Jednym z najbardziej przełomowych momentów w historii vishingu był publicznie opisany przypadek z Wielkiej Brytanii, w którym wykorzystano syntetyczne klonowanie głosu dyrektora generalnego. Dyrektor finansowy europejskiej spółki odebrał telefon od osoby, która brzmiała identycznie jak jego przełożony – ten sam akcent, tempo mowy, sposób formułowania poleceń. Rozmowa dotyczyła pilnej, poufnej transakcji związanej z przejęciem. Ofiara została poproszona o natychmiastowe wykonanie przelewu i zachowanie pełnej dyskrecji. Przelew został zrealizowany. Dopiero później ustalono, że głos był syntetyczny.
Dziś, w dobie generatywnej AI, ten przypadek nie jest już anomalią, lecz zapowiedzią nowej normy. Autorytet głosu staje się silniejszy niż jakikolwiek identyfikator techniczny.
Atak nie zawsze zaczyna się od klienta.
Vishing coraz częściej wymierzony jest również w pracowników pierwszej linii wsparcia. W jednym z udokumentowanych przypadków w USA celem ataku był pracownik call center. Atakujący zadzwonił, podszywając się pod nowego pracownika IT, zgłaszając problem z dostępem do systemu. Posługiwał się wewnętrznym żargonem, znał nazwy aplikacji i procedur. Pracownik infolinii, działając zgodnie z obowiązującymi zasadami wsparcia, zresetował hasło i przekazał tymczasowe dane dostępowe.
Ten jeden telefon otworzył drogę do dalszych nadużyć. Vishing okazał się skuteczniejszy niż exploit techniczny.
Vishing jako problem zaufania, nie technologii.
Wszystkie te przypadki łączy jeden element: decyzja została podjęta w rozmowie głosowej, bez niezależnej weryfikacji innym kanałem. Nie zawiodła kryptografia. Nie zawiódł TLS ani MFA. Zawiodło założenie, że głos jest wystarczającym dowodem autentyczności. Dlatego vishing nie jest kolejną odmianą phishingu. Jest atakiem na relację zaufania między człowiekiem a systemem, w której technologia pełni jedynie rolę narzędzia.
W 2026 roku pytanie nie brzmi już „czy ktoś zadzwoni”. Pytanie brzmi, czy użytkownik i organizacja mają odwagę oraz procedury, aby powiedzieć „nie” – nawet wtedy, gdy wszystko brzmi wiarygodnie.