Ministerstwo Cyfryzacji i NASK alarmują: Nowa fala oszustw „na fakturę” zalewa polskie skrzynki

Ministerstwo Cyfryzacji oraz zespół CSIRT NASK wydały pilne ostrzeżenie przed nową, zmasowaną kampanią phishingową, w której cyberprzestępcy podszywają się pod dostawców energii (m.in. PGNiG, PGE) oraz działy księgowości. Oszuści rozsyłają wiadomości e-mail z informacją o rzekomych zaległościach w płatnościach lub nadpłatach, wykorzystując presję czasu i groźbę odcięcia usług, aby wymusić na ofiarach kliknięcie w złośliwy link prowadzący do fałszywych bramek płatności.

Eksperci z CSIRT NASK wskazują, że obecna fala ataków charakteryzuje się wysokim poziomem profesjonalizmu. Wiadomości zawierają autentycznie wyglądające logotypy firm energetycznych, numery spraw oraz podstawy prawne, co ma na celu uśpienie czujności odbiorcy. W jednym ze scenariuszy oszuści informują o niewielkiej niedopłacie za fakturę, grożąc windykacją, w innym zaś kuszą informacją o rzekomej nadpłacie wynikającej z błędnego naliczenia taryfy, którą można “odebrać” po zalogowaniu się na fałszywej stronie. W obu przypadkach celem jest wyłudzenie danych logowania do bankowości elektronicznej lub danych kart płatniczych.

Szczególnie narażone są działy finansowe w firmach i instytucjach publicznych. Przestępcy stosują techniki inżynierii społecznej, podszywając się pod kancelarie prawne lub znanych kontrahentów, a adresy nadawców są tak spreparowane, by zawierały nazwiska rzeczywistych pracowników atakowanej instytucji. Ministerstwo Cyfryzacji przypomina, że prawdziwi dostawcy usług nigdy nie proszą o podawanie pełnych danych kart płatniczych czy haseł poprzez linki w wiadomościach e-mail. Weryfikacja nadawcy (np. poprzez sprawdzenie mechanizmów SPF/DKIM) oraz bezpośredni kontakt z infolinią usługodawcy to podstawowe metody obrony przed tym typem oszustwa.

W obliczu rosnącej skali zagrożeń – w samym październiku 2025 roku odnotowano 11 tysięcy incydentów phishingowych – resort cyfryzacji zapowiada dalsze wzmacnianie systemów obronnych, w tym rozwój listy ostrzeżeń przed złośliwymi domenami, która zawiera już blisko 200 tysięcy pozycji. Użytkownicy, którzy otrzymają podejrzaną wiadomość, proszeni są o jej niezwłoczne zgłoszenie na stronie incydent.cert.pl lub przesłanie SMS-a na numer 8080, co pozwala operatorom na szybsze blokowanie nowych wariantów ataku.