[55/2025] Raport miesięczny za październik 2025
Publikujemy wydanie raportu miesięcznego o stanie cyberbezpieczeństwa w Polsce w październiku 2025 roku.
📌 Raport za październik 2025 jest dostępny pod tym linkiem – https://cert.pl/uploads/docs/Podsumowanie_CSIRT_NASK_2025_10.pdf
W każdym wydaniu raportu miesięcznego znajdziesz:
najnowsze statystyki incydentów,
opisy aktualnych kampanii i technik ataków,
działania zespołu na rzecz edukacji i współpracy,
rekomendacje, jak chronić siebie i swoje systemy.
Powiadomienie wygasło: 12 stycznia 2026 15:49
[54/2025] 🚨 Kolejna kampania wymierzona w klientów PKO BP.
✉️ Odbiorca wiadomości mailowej jest informowany o rzekomej potrzebie podjęcia działań, bo w innym przypadku jego karta płatnicza przestanie działać.
🔗 Link znajdujący się w treści przekierowuje na fałszywy panel logowania do banku, który służy do wykradania loginów i haseł do bankowości elektronicznej.
⚠️ Pamiętajcie, że przestępcy zmieniają szatę graficzną, ale regularnie korzystają z tych samych schematów oszustw.
✅ Umiejętność ich rozpoznawania i ograniczone zaufanie pozwolą Wam ochronić siebie i innych - podejrzane wiadomości zgłaszajcie przez formularz na stronie incydent.cert.pl
Załączone obrazy
Powiadomienie wygasło: 3 stycznia 2026 15:00
[53/2025] 🦠 Malware w fałszywej aplikacji banku
👾 Obserwujemy kampanię dystrybucji złośliwego oprogramowania NGate podszywającą się pod Spółdzielczą Grupę Bankową.
📲 Wiadomość zawiera informację o rzekomej aktywacji konta technicznego i nakłania do pobrania oraz zainstalowania złośliwej aplikacji z linku zawartego w treści.
💳 Złośliwe oprogramowanie służy do ataku typu NFC relay, który polega na przechwyceniu komunikacji zbliżeniowej (w tym na przykład danych karty płatniczej) i przekazaniu jej na odległość - na przykład do wspólnika przestępców czekającego przy bankomacie.
📜 Więcej szczegółów, w tym techniczną analizę przypadku, znajdziecie w artykule: https://cert.pl/posts/2025/11/analiza-ngate/
Załączone obrazy
Powiadomienie wygasło: 3 stycznia 2026 13:00
[52/2025] ⚕️ Obserwujemy kampanię oszustw, w której przestępcy podszywają się pod Narodowy Fundusz Zdrowia.
💊 Z adresów email zawierających "NFZ" w aliasie masowo wysyłane są do wiadomości zatytułowane "Twój oczekujący folder". W treści atakujący przekonują, że odbiorcy zostało przyznane prawo do zwrotu
🔗 Link zawarty w wiadomości kieruje do strony wyłudzającej dane osobowe oraz dane karty płatniczej, z szatą graficzną wykorzystującą logotypy instytucji państwowych.
⚠️ Pamiętaj żeby zgłaszać podejrzane wiadomości za pomocą formularza na stronie http://incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!
Załączone obrazy
Powiadomienie wygasło: 2 stycznia 2026 17:59
[51/2025] Uwaga! Ostrzegamy przed kampanią podszywającą się pod Ministerstwo Cyfryzacji.
Atakujący wysyłają do jednostek samorządu terytorialnego spreparowane wiadomości imitujące oficjalną komunikację Ministerstwa Cyfryzacji.
Pierwsza z wiadomości, wysłana 28.10.2025, zawierała szkodliwy plik arkusza kalkulacyjnego XLSX. Umieszczono w nim link do pliku rzekomo zawierającego dodatkowe informacje - w rzeczywistości był to złośliwy plik wykonywalny, który po uruchomieniu infekował hosta.
30.10.2025 miała miejsce kolejna wysyłka. Tym razem fałszywa wiadomość nie zawiera szkodliwego załącznika, lecz bazuje na socjotechnice - jej celem jest wyłudzenie danych osób odpowiedzialnych za bezpieczeństwo teleinformatyczne w danej organizacji.
IoC:
govministry[.]pl
security@govministry[.]pl - adres nadawcy wiadomości
gov.pl - tytuł wiadomości ze szkodliwym załącznikiem
Pilna weryfikacja kontaktów w ramach Krajowego Programu Cyberbezpieczeństwa 2024-2028 - tytuł szkodliwej wiadomości
45.61.149.41:443 - adres serwera C2 szkodliwego oprogramowania
Pliki:
database_part.xlsx (hash SHA256: ba58c0f03af5f266d3f69ad74b177177f587a6dd7e33241ae55d9c07f7050773)
database.хlsх.exe (hash SHA256: 3248ee3a6b9b03f13fc7b39c9214153dbd462ce00110357cf791d2c49f3b5666)
cleaner.exe (hash SHA256: 7f126df993b1200c6df310c33d14bdebaa7d6184e61bdb78bebc58f05afcde0a)
Full Database 2025.xlsx (hash SHA256: 99bf9020d85bbd2cd14feaddd3d1f55daecee672ce7e2cd9e7ceef09f02419a3)
Rekomendacje
Weryfikacja logów pod kątem powyższych IoC.
W przypadku wykrycia - zgłoszenie incydentu do właściwego CSIRT-u poziomu krajowego.
W przypadku uruchomienia szkodliwego pliku - bezzwłoczne odizolowanie maszyny.
Załączone obrazy
Powiadomienie wygasło: 29 grudnia 2025 13:17
[50/2025] 💵 Zwrot podatku - podobna kampania, inny wektor.
💰 Wczoraj informowaliśmy o kampanii mailowej, w której przestępcy podszywając się pod e-Urząd Skarbowy informują o rzekomej możliwości zwrotu podatku.
📲 Dziś obserwujemy bardzo podobny schemat, ale rozsyłany SMS-owo. Przestępcy do lakonicznej wiadomości o zwrocie dołączają link do strony phishingowej.
🎓 Jest to doskonały przykład tego, jak pozornie zróżnicowane mogą być zagrożenia w internecie, ale wszystkie sprowadzają się do tych samych sztuczek socjotechnicznych - podszyć pod instytucje, graniu na chęci zysku, presji czasu czy strachu odbiorcy.
✅ Podejrzane wiadomości SMS przesyłajcie na darmowy numer 8080 - chronicie w ten sposób siebie i innych!
Załączone obrazy
Powiadomienie wygasło: 23 grudnia 2025 13:31
[49/2025] Opublikowano informacje na temat krytycznej podatności wykrytej w Windows Server Update Service
Podatność występuje jedynie w instancjach, dla których WSUS Server Role jest włączone. W domyślnej konfiguracji, ta funkcja nie jest aktywna.
Podatność oznaczona jako CVE-2025-59287 umożliwia zdalne wykonanie kodu przez nieuwierzytelnionego atakującego, a w efekcie przejęcie kontroli nad urządzeniem.
W celu zabezpieczenia przed wykorzystaniem podatności, należy zaktualizować oprogramowanie do najnowszej wersji, udostępnionej dnia 23.10.2025.
Więcej informacji na temat zagrożenia znajduje się na stronie producenta: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287
Powiadomienie wygasło: 23 grudnia 2025 11:27
[48/2025] 💰 e-Urząd Skarbowy informuje o zwrocie pieniędzy? Uważaj, to może być oszustwo!
✉️ Obserwujemy dużą aktywność cyberprzestępców, którzy rozsyłają wiadomości podszywające się pod Urząd Skarbowy. W treści, poza informacją o rzekomym zwrocie, znajduje się link do strony internetowe
💳 Witryna pozwala na wybór banku, a następnie prosi o podanie danych karty płatniczej i danych kontaktowych. Dane te trafiają bezpośrednio do przestępców, a ich podanie grozi utratą pieniędzy z konta.
⚠️ Pamiętaj żeby zgłaszać podejrzane wiadomości za pomocą formularza na stronie http://incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!
Załączone obrazy
Powiadomienie wygasło: 22 grudnia 2025 13:30
[47/2025] 📦 Jesienna odsłona phishingu na paczkę.
🍂 Mamy jesień, za oknem coraz zimniej, więc wiele osób zamiast wychodzić z domu zamawia paczki - oszuści wykorzystują ten fakt i regularnie podszywają się pod firmy kurierskie!
✉️ W najnowszej odsłonie tej kampanii przestępcy rozsyłają wiadomości mailowe zawierające informację o paczce rzekomo oczekującej na odbiór. Zachęcają do otwarcia załącznika aby poznać szczegóły.
📦 W załączonym archiwum zip znajduje się plik ze złośliwym oprogramowaniem, najczęściej w formacie .js. Zanim otworzysz załącznik od nieznanego nadawcy, zwróć uwagę na detale!
⚠️ Wszelkie podejrzane wiadomości możesz zgłosić do naszego zespołu za pomocą formularza na stronie http://incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!
Załączone obrazy
Powiadomienie wygasło: 21 grudnia 2025 09:00
[46/2025] Krytyczna podatność w oprogramowaniu Samba używanym jako kontroler domeny Active Directory
Opublikowano informacje na temat krytycznej podatności odkrytej w oprogramowaniu Samba.
Występuje ona jedynie w instalacjach, które są wykorzystywane jako kontroler domeny Active Directory, mają włączoną obsługę protokołu WINS oraz parametr "wins hook".
Podatność oznaczona jako CVE-2025-10230 umożliwia zdalne wykonanie kodu przez nieuwierzytelnionego atakującego poprzez wykorzystanie parametru "wins hook", a w efekcie przejęcie kontroli przez atakującego.
Podatność występuje we wszystkich wersjach powyżej 4.0. Więcej informacji na temat zagrożenia znajduje się na stronie https://www.samba.org/samba/security/CVE-2025-10230.html
Powiadomienie wygasło: 15 grudnia 2025 20:09