[45/2026] Raport miesięczny za marzec 2026
Publikujemy wydanie raportu miesięcznego o stanie cyberbezpieczeństwa w Polsce w marcu 2026 roku.
📌 Raport za marzec 2026 jest dostępny pod tym linkiem – https://cert.pl/uploads/docs/Podsumowanie_CERT_Polska_2026_03.pdf
W każdym wydaniu raportu miesięcznego znajdziesz:
najnowsze statystyki incydentów,
opisy aktualnych kampanii i technik ataków,
działania zespołu na rzecz edukacji i współpracy,
rekomendacje, jak chronić siebie i swoje systemy.
[44/2026] 🎶 Ktoś gra nieczysto – „problem z płatnością” za muzykę
🎧 CERT Polska obserwuje kampanię phishingową wykorzystującą wizerunek Spotify. Oszuści informują o nieudanej płatności za konto premium i naciskają na reakcję użytkownika strasząc utratą dostępu.
📩 Wiadomość zawiera odnośnik prowadzący do fałszywej strony przypominającej prawdziwą platformę streamingową. Odbiorca proszony jest o podanie danych logowania i szczegółów karty płatniczej, które w rzeczywistości trafiają do przestępców.
🔐 Jak się chronić?
🔹 Zawsze weryfikuj adres nadawcy wiadomości oraz domenę strony internetowej przed podaniem danych – nawet drobna różnica świadczy o próbie oszustwa!
🔹 Sprawdź status subskrypcji bezpośrednio w aplikacji lub na oficjalnej stronie
🔹 Zachowaj czujność wobec komunikatów wymagających pilnego działania – presja czasu to częsty element oszustwa
📣 Podejrzane wiadomości i strony zgłaszaj do CERT Polska poprzez formularz na incydent.cert.pl lub w aplikacji mObywatel (usługa „Bezpiecznie w sieci”).
Załączone obrazy
[43/2026] Atak typu supply chain na oprogramowanie CPU-Z oraz HW-Monitor
Zespół CERT Polska informuje o ataku typu supply chain na dostawcę rozwiązań CPU-Z oraz HW-Monitor i zaleca niezwłoczną weryfikację posiadanej wersji oprogramowania.
Pomiędzy 09.04.2026 a 10.04.2026 strona producenta tych rozwiązań (cpuid.com) przekierowywała żądania pobrania plików do zasobów kontrolowanych przez atakującego, na których znajdowała się zmodyfikowana wersja oprogramowania zawierająca szkodliwy plik CRYPTBASE.dll (normalnie nie występujący w tym oprogramowaniu). Potencjalnie narażone są osoby, które w przeciągu ostatnich 24h instalowały nową wersję bądź aktualizowały to oprogramowanie do najnowszej wersji.
Lista IoC:
cpu-z_2.19-en.zip eff5ece65fb30b21a3ebc1ceb738556b774b452d13e119d5a2bfb489459b4a46
cpu-z_2.19-en.zip 9932fa8d24b3e9a1e39a722fe6e34e75cdd3feb51fcdab67d636d95b4f068935
hwmonitor_1.63.zip 3e791c88d49ac569bc130fc9f41bd7422b4fd24f32458e11e890647478005a7f
hwmonitor_1.63.zip 3d91f442ddc055e19e3710482e1605836c799249dacd43d99843257a3affd2d2
hwmonitor-pro_1.57.zip 1009987fe47573275735cc7a5d47b3b96800366784f4155ac416e70cad80ed34
HWMonitorPro_1.57_Setup.exe 66ad4aaf260a5173d8eaa14db52629fd361add8b772f6a4bcc5c10328f0cc3c0
HWiNFO_Monitor_Setup.exe eefc0f986dd3ea376a4a54f80ce0dc3e6491165aefdd7d5d6005da3892ce248f
CRYPTBASE.dll 49685018878b9a65ced16730a1842281175476ee5c475f608cadf1cdcc2d9524
CRYPTBASE.dll aec12d6547e34206a7213c813e6fb95e70a7f16b13a27dd1c50bd69dbebbefa8
CRYPTBASE.dll 98e0f9c8f5342c1924b3f4c3a7b6b1a566cec326e28b391c47ac7c24f6738dba
C2 hxxps://welcome[.]supp0v3[.]com/d/callback
Malware Hosting hxxps://pub-45c2577dbd174292a02137c18e7b1b5a[.]r2.dev
Zalecamy niezwłoczną weryfikację Państwa systemów pod kątem powyższych wskaźników, a w przypadku ich wykrycia prosimy o jak najszybszy kontakt.
[42/2026] Krytyczna podatność w oprogramowaniu FortiClient EMS
Zespół CERT Polska informuje o krytycznej podatności w oprogramowaniu FortiClientEMS i zaleca niezwłoczną aktualizację podatnych urządzeń.
Podatność CVE-2026-35616 umożliwia zdalne wykonanie kodu przez nieautoryzowanego użytkownika poprzez przesłanie odpowiednio przygotowanego żądania.
Lista podatnych wersji wraz z instrukcjami mitygacji zagrożenia została opublikowana na stronie producenta: https://fortiguard.fortinet.com/psirt/FG-IR-26-099
Zalecamy jak najszybszą weryfikację i aktualizację urządzeń, a w przypadku wykrycia śladów potencjalnego naruszenia prosimy o niezwłoczny kontakt.
[41/2026] 💳 „Błąd w naliczeniach składek” - komunikaty wykorzystywane przez cyberoszustów
📩 CERT Polska obserwuje kampanię wykorzystującą temat rozliczeń zdrowotnych.
Do użytkowników trafiają wiadomości informujące o rzekomych nieprawidłowościach w rozliczeniach składek NFZ. W treści pojawia się prośba o weryfikację danych oraz link prowadzący do strony, która ma sprawiać wrażenie oficjalnego serwisu.
🔗 Strona została przygotowana tak, aby przypominać zaufany portal – jej celem jest pozyskanie danych, takich jak loginy, dane osobowe czy informacje finansowe.
🔐 Jak zadbać o bezpieczeństwo swoich danych?
🔹 Sprawdź dokładnie adres strony, na którą prowadzi komunikat
🔹 Zamiast przechodzić przez linki zawarte w wiadomościach wyszukaj adres oficjalnej strony samodzielnie
🔹 Porównaj treść otrzymanej informacji z komunikatami publikowanymi w oficjalnych kanałach instytucji
📣 Podejrzane wiadomości i strony zgłoś do CERT Polska przez formularz na stronie incydent.cert.pl lub w aplikacji mObywatel (usługa „Bezpiecznie w sieci”).
Załączone obrazy
[40/2026] Krytyczna podatność w oprogramowaniu Cisco
Zespół CERT Polska informuje o krytycznej podatności w oprogramowaniu Cisco Integrated Management Controller (IMC) i zaleca niezwłoczną aktualizację podatnych urządzeń.
Podatność CVE-2026-20093 o CVSS 9.8 umożliwia przejęcie konta administratora poprzez przesłanie odpowiednio przygotowanego żądania HTTP. Szczegółowa lista podatnych urządzeń została opublikowana na stronie producenta: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-auth-bypass-AgG2BxTn
Cisco IMC to integralny moduł wielu urządzeniach tej firmy, dlatego podatność może obejmować szeroki zakres sprzętu sieciowego Cisco. Zalecamy zapoznanie się z wytycznymi producenta, zweryfikowanie, czy podatność dotyczy wykorzystywanych urządzeń, oraz niezwłoczne podjęcie wymaganych działań w celu jej wyeliminowania.
[39/2026] 🚨 Zwrot podatku do odebrania? Zweryfikuj zanim podasz swoje dane!
📢 Obserwujemy kolejną falę e-maili podszywających się pod Krajową Administrację Skarbową.
📩 Wiadomości zawierają link do strony przypominającej Platformę Usług Elektronicznych Skarbowo-Celnych i informują o rzekomej możliwości odebrania zwrotu podatku.
🔗 Po przejściu na stronę użytkownik proszony jest o podanie danych osobowych - w tym numeru PESEL - a następnie danych karty płatniczej. Strona może wyglądać wiarygodnie, jednak służy wyłudzeniu informacji.
🔍 Na co zwrócić uwagę?
🔹 adres strony (czy zgadza się z oficjalną domeną?)
🔹 sposób komunikacji (czy nakładana jest presja czasu?)
🔹 potwierdzenie w oficjalnych systemach (czy jeśli zaloguję się na samodzielnie znalezionej oficjalnej stronie instytucji zobaczę ten sam komunikat?)
🔔 Przypominamy także o możliwości zastrzeżenia numeru PESEL - zrobicie to w aplikacji mObywatel lub w urzędzie gminy.
📲 Podejrzane wiadomości i strony zgłaszaj do CERT Polska przez formularz na stronie incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!
Załączone obrazy
[38/2026] Krytyczna podatność w oprogramowaniu F5 BIG IP
Zespół CERT Polska przypomina o podatności w rozwiązaniu F5 BIG IP oraz zaleca niezwłoczną aktualizację oprogramowania
Producent zaktualizował zakres podatności CVE-2025-53521, który teraz zawiera Remote Code Execution, oraz CVSS 9.8. Poprawka bezpieczeństwa wydana pierwotnie w październiku 2025 chroni przed wykorzystaniem podatności.
Nasz zespół zaleca niezwłoczną weryfikację posiadanej wersji oprogramowania i sprawdzenie wskaźników infekcji również w przypadku, w którym oprogramowanie zostało zaktualizowane bez zbędnej zwłoki. W przypadku wykrycia śladów kompromitacji, prosimy o kontakt z naszym zespołem oraz z producentem.
Więcej informacji o podatności, wskaźnikach infekcji i potrzebnych działaniach można znaleźć na stronie producenta: https://my.f5.com/manage/s/article/K000156741
[37/2026] 🪙 „Masz punkty do wykorzystania”? Nowy wariant kampanii phishingowej 🎯
📩 Do CERT Polska trafiają zgłoszenia dotyczące SMS-ów o rzekomych punktach Allegro, które mają wkrótce wygasnąć.
🔗 Wiadomości zawierają link oraz zachętę do szybkiego wykorzystania punktów i wyboru nagrody. Kliknięcie w link prowadzi do strony przypominającej oficjalny serwis sprzedażowy. Użytkownik proszony jest o podanie danych karty płatniczej pod pretekstem „aktywacji nagrody”.
💡 Link nie jest aktywny? Przestępcy pomyśleli także o tym! Proszą o odesłanie wiadomości o treści „Tak”, co pozwala obejść zabezpieczenia telefonów przed linkami w niechcianej korespondencji.
🔐 Zawsze zwracaj uwagę na adres strony oraz sposób komunikacji – szczególnie gdy pojawia się presja czasu. Oszuści wykorzystują socjotechniki - sposoby manipulacji - by przekonać Cię do podjęcia błędnej decyzji.
📲 Podejrzane SMS-y przekaż na darmowy numer 8080 ✅ Chronisz w ten sposób siebie i innych!
Załączone obrazy
[36/2026] Zalecenia dla sektora ochrony zdrowia i innych podmiotów KSC
Komunikat Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa
W ostatnim czasie obserwowana jest wroga działalność grup hakerskich, szczególnie ukierunkowana na podmioty z sektora ochrony zdrowia. W odpowiedzi na cyberataki Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa przedstawił wskaźniki i zalecenia, które mają pomóc zwiększyć ochronę podmiotów krajowego systemu cyberbezpieczeństwa.
Zachęcamy do zapoznania się z pełną treścią komunikatu.
Źródło komunikatu: https://www.gov.pl/web/cyfryzacja/komunikat-pelnomocnika-rzadu-do-spraw-cyberbezpieczenstwa--zalecenia-dla-sektora-ochrony-zdrowia-i-innych-podmiotow-ksc