Fałszywe powiadomienia KSeF i gov.pl — phishing na firmy
Przestępcy podszywają się pod KSeF, e-Urząd i domeny gov.pl, atakując księgowość firm. Pokazujemy, jak wygląda ten phishing i jak się zabezpieczyć.
Gdy zmienia się otoczenie regulacyjne, przestępcy natychmiast to wykorzystują. Wdrażanie Krajowego Systemu e-Faktur (KSeF) i cyfryzacja kontaktów z administracją stworzyły idealny pretekst do phishingu wymierzonego w firmy — bo księgowość spodziewa się wiadomości o fakturach i obowiązkach urzędowych.
Jak wygląda atak
CERT Polska ostrzegał przed kampaniami z fałszywymi powiadomieniami KSeF oraz phishingiem wykorzystującym domeny łudząco podobne do gov.pl. Typowa wiadomość informuje o „nowej fakturze w systemie”, „błędzie w rozliczeniu” albo „konieczności potwierdzenia danych” i prowadzi do:
- fałszywego panelu logowania (do KSeF, e-Urzędu, bankowości firmowej), gdzie ofiara oddaje dane dostępowe, albo
- załącznika lub linku z malware — makro w „fakturze”, plik, który uruchamia downloader.
Celem bywa przejęcie skrzynki e-mail księgowości — a stąd już blisko do oszustwa „na prezesa” (BEC) i podmiany numeru konta na fakturach.
Dlaczego firmy są łatwym celem
- Rutyna — dział księgowy otwiera dziesiątki faktur dziennie; jedna podrobiona nie rzuca się w oczy.
- Autorytet urzędu — „to z Ministerstwa / KSeF” zniechęca do kwestionowania.
- Rozproszona odpowiedzialność — nie zawsze jasne, kto weryfikuje autentyczność powiadomienia.
Na co zwracać uwagę
- Pełna domena w adresie nadawcy i linku. Oficjalne usługi kończą się na
gov.pl.ksef.gov.pl.rozliczenia.infoto domenarozliczenia.info. - Nietypowe załączniki (pliki z makrami, archiwa, „faktura.pdf.exe”).
- Presja i groźby — kary, terminy, blokady.
- Prośba o logowanie przez link zamiast wejścia do systemu bezpośrednio.
Jak zabezpieczyć organizację
Techniczne minimum: poprawnie skonfigurowane SPF, DKIM i DMARC (utrudniają podszywanie się pod Waszą domenę), filtrowanie załączników, blokada makr z internetu i 2FA na skrzynkach oraz systemach. Do KSeF, e-Urzędu i bankowości loguj się wyłącznie przez ręcznie wpisany adres lub zakładkę, nigdy z linka w wiadomości.
Proceduralnie: wprowadźcie weryfikację zmiany numeru konta drugim kanałem (telefon do znanego kontaktu) i jasną ścieżkę zgłaszania podejrzanych maili do działu IT. To dokładnie te same zasady „ograniczania skutków”, o których piszemy przy reagowaniu na wyciek — bo przejęta skrzynka księgowości potrafi kosztować firmę znacznie więcej niż pojedyncza faktura.
Przygotowujesz firmę do KSeF? Upewnij się, że księgowość odróżni prawdziwe powiadomienia od phishingu — oferujemy szkolenia i testy socjotechniczne oraz konsultacje dla zespołów finansowych.
Źródła i dalsza lektura: CERT Polska — lista ostrzeżeń, Sekurak, Niebezpiecznik.