Krajobraz zagrożeń email Q1 2026: Microsoft

Wprowadzenie

Analiza zagrożeń email Microsoft za Q1 2026 pokazuje, jak szybko zmieniają się taktyki phishingowe. Dla administratorów IT i bezpieczeństwa raport stanowi przydatny obraz tego, na czym koncentrują się atakujący i które mechanizmy ochrony powinny być priorytetowe w środowiskach Microsoft 365 i Defender.

Co nowego w Q1 2026

Microsoft Threat Intelligence wykrył około 8,3 miliarda phishingowych zagrożeń opartych na emailu między styczniem a marcem 2026 roku. Chociaż całkowity miesięczny wolumen nieznacznie spadł, kilka technik ataku stało się bardziej zaawansowanych i skuteczniejszych.

Główne trendy

• Phishing z użyciem kodów QR gwałtownie wzrósł z 7,6 miliona ataków w styczniu do 18,7 miliona w marcu, co oznacza wzrost o 146%.
• Phishing oparty na linkach dominował, odpowiadając za 78% zagrożeń email w kwartale.
• Złośliwe payloady stanowiły 19% ataków w styczniu, po czym spadły do 13% w lutym i marcu, co sugeruje, że atakujący coraz częściej wybierali hostowane strony phishingowe zamiast dostarczania plików.
• Business email compromise (BEC) pozostał istotnym problemem — w Q1 zaobserwowano 10,7 miliona ataków.
• Phishing z bramką CAPTCHA nadal ewoluował, ponieważ atakujący wykorzystywali fałszywe kroki weryfikacji, aby spowolnić zautomatyzowaną analizę i zwiększyć zaufanie użytkowników.

Wpływ zakłócenia Tycoon2FA

Microsoft zwrócił również uwagę na efekty marcowego zakłócenia działania platformy Tycoon2FA phishing-as-a-service w 2026 roku. Po skoordynowanych działaniach z Europol i partnerami wolumen wiadomości email powiązanych z Tycoon2FA spadł o 15% w pozostałej części marca, a dostęp do aktywnych stron phishingowych został znacząco ograniczony.

Chociaż platforma dostosowała się poprzez zmianę dostawców hostingu i schematów rejestracji domen, Microsoft twierdzi, że odbudowa wydaje się częściowa, a nie pełnym powrotem do wcześniejszych możliwości.

Dlaczego to ważne dla administratorów

Te trendy potwierdzają, że phishing nadal koncentruje się na kradzieży poświadczeń, nawet jeśli metody dostarczania się zmieniają. Phishing z użyciem kodów QR jest szczególnie niepokojący, ponieważ może kierować użytkowników na niezarządzane urządzenia mobilne, omijając część tradycyjnych zabezpieczeń skupionych na desktopach.

Dla administratorów Microsoft 365 i Defender raport jest również przypomnieniem, że operacje zakłócające mają znaczenie, ale nie eliminują zagrożenia. Atakujący są odporni i często szybko zmieniają infrastrukturę po przejęciach i wyłączeniach.

Zalecane kolejne kroki

• Przejrzyj zabezpieczenia przed phishingiem z użyciem kodów QR w emailach, załącznikach i osadzonych obrazach.
• Wzmocnij ochronę przed AiTM phishing za pomocą phishing-resistant MFA, tam gdzie to możliwe.
• Monitoruj wzorce BEC, szczególnie proste próby podszywania się i ogólne wiadomości inicjujące kontakt.
• Korzystaj z mechanizmów wykrywania i narzędzi huntingowych Microsoft Defender, aby badać phishing oparty na linkach i podejrzaną aktywność payloadów.
• Edukuj użytkowników, aby zachowywali ostrożność wobec kodów QR, ekranów CAPTCHA i nieoczekiwanych monitów uwierzytelniania.

Najważniejszy wniosek

Dane Microsoft za Q1 2026 pokazują, że atakujący nadal przesuwają się w stronę skalowalnego phishingu poświadczeń opartego na linkach, jednocześnie eksperymentując z kodami QR, omijaniem CAPTCHA i nowszymi metodami, takimi jak device code phishing. Zespoły bezpieczeństwa powinny potraktować te ustalenia jako sygnał do zaostrzenia detekcji, wzmocnienia ochrony tożsamości i aktualizacji programów podnoszenia świadomości użytkowników.