Przejdź do treści
Breachroad
Wróć do bloga
Phishing

Fałszywe powiadomienia KSeF i gov.pl — phishing na firmy

Przestępcy podszywają się pod KSeF, e-Urząd i domeny gov.pl, atakując księgowość firm. Pokazujemy, jak wygląda ten phishing i jak się zabezpieczyć.

KR
Karol Rapacz
18 czerwca 2026 · 6 min czytania
Fałszywe powiadomienia KSeF i gov.pl — phishing na firmy

Gdy zmienia się otoczenie regulacyjne, przestępcy natychmiast to wykorzystują. Wdrażanie Krajowego Systemu e-Faktur (KSeF) i cyfryzacja kontaktów z administracją stworzyły idealny pretekst do phishingu wymierzonego w firmy — bo księgowość spodziewa się wiadomości o fakturach i obowiązkach urzędowych.

Jak wygląda atak

CERT Polska ostrzegał przed kampaniami z fałszywymi powiadomieniami KSeF oraz phishingiem wykorzystującym domeny łudząco podobne do gov.pl. Typowa wiadomość informuje o „nowej fakturze w systemie”, „błędzie w rozliczeniu” albo „konieczności potwierdzenia danych” i prowadzi do:

  • fałszywego panelu logowania (do KSeF, e-Urzędu, bankowości firmowej), gdzie ofiara oddaje dane dostępowe, albo
  • załącznika lub linku z malware — makro w „fakturze”, plik, który uruchamia downloader.

Celem bywa przejęcie skrzynki e-mail księgowości — a stąd już blisko do oszustwa „na prezesa” (BEC) i podmiany numeru konta na fakturach.

Dlaczego firmy są łatwym celem

  • Rutyna — dział księgowy otwiera dziesiątki faktur dziennie; jedna podrobiona nie rzuca się w oczy.
  • Autorytet urzędu — „to z Ministerstwa / KSeF” zniechęca do kwestionowania.
  • Rozproszona odpowiedzialność — nie zawsze jasne, kto weryfikuje autentyczność powiadomienia.

Na co zwracać uwagę

  • Pełna domena w adresie nadawcy i linku. Oficjalne usługi kończą się na gov.pl. ksef.gov.pl.rozliczenia.info to domena rozliczenia.info.
  • Nietypowe załączniki (pliki z makrami, archiwa, „faktura.pdf.exe”).
  • Presja i groźby — kary, terminy, blokady.
  • Prośba o logowanie przez link zamiast wejścia do systemu bezpośrednio.

Jak zabezpieczyć organizację

Techniczne minimum: poprawnie skonfigurowane SPF, DKIM i DMARC (utrudniają podszywanie się pod Waszą domenę), filtrowanie załączników, blokada makr z internetu i 2FA na skrzynkach oraz systemach. Do KSeF, e-Urzędu i bankowości loguj się wyłącznie przez ręcznie wpisany adres lub zakładkę, nigdy z linka w wiadomości.

Proceduralnie: wprowadźcie weryfikację zmiany numeru konta drugim kanałem (telefon do znanego kontaktu) i jasną ścieżkę zgłaszania podejrzanych maili do działu IT. To dokładnie te same zasady „ograniczania skutków”, o których piszemy przy reagowaniu na wyciek — bo przejęta skrzynka księgowości potrafi kosztować firmę znacznie więcej niż pojedyncza faktura.

Przygotowujesz firmę do KSeF? Upewnij się, że księgowość odróżni prawdziwe powiadomienia od phishingu — oferujemy szkolenia i testy socjotechniczne oraz konsultacje dla zespołów finansowych.

Źródła i dalsza lektura: CERT Polska — lista ostrzeżeń, Sekurak, Niebezpiecznik.

Udostępnij artykuł

Usługi Umów konsultację