CERT Polska: phishing w kwietniu 2026

TL;DR

Raport miesięczny CERT Polska za kwiecień 2026 pokazuje, że phishing w Polsce nie jest pojedynczym typem oszustwa, ale stałym tłem pracy użytkowników, firm i instytucji. W kwietniu CERT Polska otrzymał łącznie 56,9 tys. zgłoszeń i zarejestrował 23,7 tys. incydentów. Od początku roku do końca kwietnia na Listę Ostrzeżeń wpisano 86,9 tys. szkodliwych domen, z czego 22,3 tys. w samym kwietniu. CERT Polska przyjął też 12,2 tys. zgłoszeń podejrzanych SMS-ów w kwietniu, a na podstawie wzorców fałszywych wiadomości zablokowano szacunkowo 14,4 tys. SMS-ów.

Najważniejszy wniosek dla firm nie brzmi: pracownicy muszą bardziej uważać. Wniosek jest bardziej praktyczny: phishing wchodzi w codzienne procesy biznesowe. W raporcie pojawiają się kampanie wykorzystujące zwrot podatku, rozliczenia NFZ, aktualizację karty SIM, subskrypcję Spotify, faktury KSeF, paczki DPD, ZUS, home.pl, arkusze XLS z malware, nadpłatę za energię, fałszywe inwestycje, Allegro, Telegram, OLX, Lidl i fałszywe sklepy.

To dobry moment, żeby potraktować awareness jako inwestycję w zachowania, a nie jako roczne szkolenie do odhaczenia. Jeżeli ataki dotyczą podatków, faktur, paczek, płatności, logowania i dokumentów, firma powinna regularnie sprawdzać, czy pracownicy potrafią zatrzymać proces, zweryfikować sprawę poza linkiem i zgłosić podejrzaną wiadomość.

Co pokazuje kwiecień 2026 według CERT Polska

CERT Polska opublikował raport miesięczny za kwiecień 2026 jako podsumowanie zgłoszeń, incydentów, podatności, ostrzeżeń i najczęściej obserwowanych kampanii. Dane z kwietnia trzeba czytać z uwzględnieniem zmiany prawnej: 3 kwietnia 2026 roku weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która zmieniła definicje ustawowe, wprowadziła kategorie podmiotów kluczowych i ważnych oraz rozszerzyła zakres raportowania. Sam raport zaznacza, że dane publikowane od kwietnia 2026 roku mogą nie być w pełni porównywalne z wcześniejszymi okresami.

Mimo tego zastrzeżenia skala jest czytelna. 56,9 tys. zgłoszeń w jednym miesiącu oznacza, że polska cyberprzestrzeń generuje ogromny wolumen sygnałów o zagrożeniach. 23,7 tys. zarejestrowanych incydentów pokazuje, że duża część zgłoszeń nie jest szumem informacyjnym, ale realnymi zdarzeniami wymagającymi obsługi.

Lista Ostrzeżeń CERT Polska pozostaje jednym z najważniejszych mechanizmów ograniczania skutków phishingu w Polsce. W raporcie opisano, że na listę trafiają domeny wprowadzające użytkowników w błąd i wyłudzające dane, a blokada trwa 6 miesięcy. To ważna warstwa techniczna, ale nie zamyka problemu. Lista może ograniczyć dostęp do części szkodliwych stron, lecz użytkownik nadal musi rozpoznać sytuację, zgłosić wiadomość i nie kontynuować procesu z linku.

W kwietniu szczególnie istotne są też dane o SMS-ach. CERT Polska przyjął 12,2 tys. zgłoszeń podejrzanych wiadomości SMS, a fałszywe wiadomości stanowiły 16% ogółu przyjętych SMS-ów. Podejrzane SMS-y można zgłaszać pod numer 8080, a z raportu wynika, że na podstawie wzorców CERT Polska zablokowano 14,4 tys. SMS-ów. To pokazuje, że użytkownicy są nie tylko celem ataków, ale też elementem systemu wczesnego ostrzegania.

Phishing działa przez codzienne sprawy

Największa wartość raportu nie leży tylko w liczbach. Znacznie ważniejsze jest to, jakie preteksty wykorzystują kampanie. W kwietniu pojawiały się między innymi fałszywe wiadomości o zwrocie podatku z Krajowej Administracji Skarbowej, nieprawidłowościach w rozliczeniach NFZ, aktualizacji karty SIM, nieudanej płatności za Spotify, fałszywych fakturach KSeF, przesyłkach DPD, błędach w rozliczeniach ZUS, logowaniu do home.pl, nadpłacie za energię elektryczną i fałszywych ofertach inwestycyjnych.

To nie są odległe, techniczne scenariusze. To normalne czynności, które ludzie wykonują w pracy i prywatnie: odbierają faktury, sprawdzają paczki, opłacają usługi, logują się do kont, komunikują się z urzędami, czytają powiadomienia o subskrypcjach, obsługują domeny, rozliczenia i dokumenty. Phishing wykorzystuje rytm dnia, a nie tylko brak wiedzy.

Dlatego sama definicja phishingu nie wystarczy. Pracownik może wiedzieć, czym jest phishing, a mimo to kliknąć, jeśli wiadomość przychodzi w momencie dużego obciążenia, dotyczy realnego procesu i wygląda jak coś, co powinno zostać szybko załatwione. Wiedza musi zostać przećwiczona w sytuacjach podobnych do codziennej pracy.

Właśnie w tym miejscu zaczyna się sens inwestowania w awareness. Nie chodzi o przypomnienie ludziom, że w internecie są oszuści. Chodzi o wyrobienie nawyku zatrzymania decyzji wtedy, gdy wiadomość dotyczy pieniędzy, konta, hasła, faktury, paczki, zwrotu, kodu, dokumentu albo instalacji aplikacji.

KAS, NFZ, ZUS i zwroty środków: oszustwo na oczekiwaną korzyść

Jednym z najmocniejszych motywów w raporcie są fałszywe zwroty i rozliczenia. CERT Polska opisał kolejną falę e-maili podszywających się pod Krajową Administrację Skarbową. Wiadomości informowały o rzekomej możliwości odebrania zwrotu podatku i prowadziły do strony przypominającej Platformę Usług Elektronicznych Skarbowo-Celnych. Użytkownik był proszony o dane osobowe, w tym PESEL, a następnie o dane karty płatniczej.

Podobny mechanizm dotyczył rozliczeń zdrowotnych. CERT Polska informował o kampanii wykorzystującej temat rzekomych nieprawidłowości w rozliczeniach składek NFZ. Wiadomości zawierały link do strony przypominającej oficjalny serwis, a celem było pozyskanie loginów, danych osobowych i informacji finansowych. W raporcie pojawia się też wariant SMS-owy podszywający się pod ZUS i informujący o błędzie w stanie rozliczeń ubezpieczenia zdrowotnego.

Tego typu scenariusze działają, bo łączą autorytet instytucji z obietnicą albo ryzykiem finansowym. Zwrot podatku, zwrot kosztów, nadpłata, rozliczenie zdrowotne lub błąd w ubezpieczeniu nie brzmią jak abstrakcyjne zagrożenie. Brzmią jak sprawa, którą trzeba wyjaśnić, aby nie stracić pieniędzy albo odzyskać należną kwotę.

Dla firm oznacza to konieczność ćwiczenia scenariuszy urzędowych i finansowych. Pracownicy działów administracji, finansów, HR i księgowości częściej stykają się z dokumentami, rozliczeniami i komunikacją instytucjonalną, więc ich testy powinny być inne niż testy dla pracowników terenowych albo zespołów sprzedaży. Dobry security awareness program nie traktuje całej organizacji jak jednej grupy odbiorców.

KSeF, faktury i dokumenty: phishing w procesie firmowym

Szczególnie ważny dla firm jest fragment raportu dotyczący kampanii wymierzonej w użytkowników KSeF. CERT Polska opisał fałszywe powiadomienia o nowej fakturze. Link w wiadomości miał rzekomo prowadzić do jej pobrania, ale kliknięcie powodowało pobranie złośliwego oprogramowania, a otwarcie pobranego pliku skutkowało infekcją komputera.

Ten przykład jest bardzo istotny, bo faktury są jednym z najbardziej rutynowych elementów pracy. W wielu firmach dokumenty finansowe krążą codziennie między kontrahentami, księgowością, sprzedażą, zakupami, administracją i zarządem. Oszust nie musi wymyślać egzotycznej historii. Wystarczy, że wyśle coś, co wygląda jak element normalnego obiegu dokumentów.

Raport pokazuje też kampanię dystrybucji malware przez dokumenty XLS. Oszuści podszywali się pod prawdziwe firmy i zachęcali do otwarcia rzekomej faktury lub opisu zamówienia. Dokument wykorzystywał podatności w starszych wersjach pakietu Office i po otwarciu pobierał stealer, czyli złośliwe oprogramowanie wykradające dane użytkownika.

To bardzo dobry argument za tym, żeby testy phishingowe dla firm obejmowały nie tylko kliknięcie w link, ale też pobranie pliku, reakcję na załącznik, zgłoszenie podejrzanej wiadomości, weryfikację nadawcy i potwierdzenie sprawy niezależnym kanałem. W środowisku firmowym ryzyko nie kończy się na stronie logowania. Może zaczynać się od dokumentu, arkusza, faktury albo linku do pobrania pliku.

SMS-y, SIM i Telegram: numer telefonu jako brama do konta

Raport CERT Polska wyraźnie pokazuje znaczenie smishingu. Jedna z kampanii SMS-owych wykorzystywała motyw rzekomej aktualizacji karty SIM. Wiadomość informowała o konieczności weryfikacji numeru telefonu, aby uniknąć blokady karty. Link prowadził do strony podszywającej się pod operatora, a użytkownik był proszony o login, hasło i kod z wiadomości SMS.

W opisie najczęściej występujących kampanii pojawia się również Telegram. Oszuści wysyłali SMS z informacją, że konto mogło brać udział w wysyłce spamu. Link prowadził do fałszywej strony wyłudzającej numer telefonu, a następnie kod weryfikacyjny. Podanie kodu umożliwiało przejęcie konta Telegram.

Te przykłady pokazują, że numer telefonu jest częścią tożsamości cyfrowej. Może służyć do odzyskiwania dostępu, autoryzacji, komunikacji z bankiem, konta w komunikatorze, potwierdzenia logowania albo kontaktu z operatorem. Dlatego smishing nie powinien być traktowany jako osobny, mniej ważny temat konsumencki. W firmie telefon bywa narzędziem pracy, kanałem MFA, czyli wieloskładnikowego uwierzytelniania, i nośnikiem decyzji operacyjnych.

Awareness powinien obejmować SMS-y, kody, komunikatory i rozmowy telefoniczne. Jeżeli program szkoleniowy zatrzymuje się na wiadomościach e-mail, pomija kanały, które w realnym życiu bardzo często prowadzą do przejęcia konta albo pieniędzy.

Paczki, subskrypcje i usługi: presja drobnej opłaty

W kwietniowym raporcie pojawia się również kampania SMS-owa podszywająca się pod DPD. Wiadomości informowały o nieudanej próbie dostarczenia paczki i konieczności umówienia nowego terminu. Link prowadził do fałszywej strony kuriera, gdzie użytkownik był proszony o dane kontaktowe i dane karty płatniczej, rzekomo w celu uiszczenia opłaty za zmianę terminu dostawy.

Podobny mechanizm wystąpił w kampanii wykorzystującej Spotify. Oszuści informowali o rzekomo nieudanej płatności za subskrypcję premium i grozili utratą dostępu do usługi. Fałszywa strona wyłudzała dane logowania i dane karty płatniczej.

Takie scenariusze są skuteczne, bo opierają się na małej decyzji. Dopłata do paczki, odnowienie subskrypcji, aktualizacja płatności, zmiana terminu dostawy albo odblokowanie usługi wydają się mało ryzykowne. Użytkownik nie czuje, że podejmuje ważną decyzję bezpieczeństwa. Chce tylko szybko zamknąć drobną sprawę.

W testach awareness warto odtwarzać właśnie takie sytuacje. Nie każda symulacja musi być dramatyczna. Często najlepszy test pokazuje zwykłą wiadomość, która pojawia się w złym momencie i prosi o mały krok: kliknij, dopłać, zaktualizuj, pobierz, potwierdź.

Fałszywe inwestycje i marketplace: phishing nie kończy się na loginie

Najczęściej występujące kampanie opisane w raporcie obejmowały między innymi fałszywe strony oferujące wysokodochodowe inwestycje, fałszywe strony Allegro, Gazeta.pl, Polsat News, OLX, Onet.pl, Orlen, Lidl oraz fałszywe sklepy internetowe. W przypadku inwestycji oszuści podszywali się pod koncerny paliwowo-energetyczne, firmy i instytucje, reklamując nieistniejące programy dla akcjonariuszy i platformy inwestycyjne. Po pozostawieniu danych z użytkownikiem kontaktował się rzekomy konsultant.

To ważny fragment raportu, bo pokazuje przejście od phishingu do oszustwa prowadzonego przez wiele etapów. Najpierw jest reklama, fałszywa strona albo artykuł. Potem formularz z danymi. Następnie telefon, rozmowa, presja, kolejne wpłaty i obietnica zysku. Login i hasło nie zawsze są celem. Celem może być przejęcie decyzji finansowej człowieka.

Fałszywe strony marketplace i sklepów działają podobnie. Użytkownik może stracić dane logowania, pieniądze, dane karty albo dostęp do konta w serwisie. W firmach takie ataki też mają znaczenie, bo pracownicy korzystają z prywatnych i służbowych kont w tych samych przeglądarkach, telefonach i skrzynkach. Granica między ryzykiem prywatnym i służbowym jest dużo cieńsza, niż wynika z regulaminów.

Program awareness powinien więc pokazywać nie tylko klasyczny formularz logowania, ale też fałszywe sklepy, inwestycje, marketplace, konsultanta telefonicznego i kolejne etapy manipulacji. Pracownik powinien umieć rozpoznać moment, w którym reklama albo wiadomość zmienia się w próbę wyłudzenia danych, pieniędzy lub dostępu.

Dlaczego warto inwestować w awareness

Raport CERT Polska pokazuje, że użytkownik jest jednocześnie celem, sensorem i pierwszą linią reakcji. To użytkownik otrzymuje SMS, e-mail, link do faktury, wiadomość o paczce, komunikat o zwrocie podatku, prośbę o aktualizację SIM albo fałszywy dokument. To on może kliknąć, ale też on może zgłosić wiadomość, zatrzymać proces i uruchomić reakcję organizacji.

Dlatego inwestycja w awareness nie powinna być traktowana jako miękki dodatek do technicznych zabezpieczeń. Filtry poczty, Lista Ostrzeżeń, blokowanie SMS-ów, EDR, DNS, proxy i SIEM są potrzebne, ale nie zastąpią zachowania człowieka w chwili decyzji. W raporcie widać, że wiele kampanii używa legalnie wyglądających pretekstów i codziennych procesów. Takich sytuacji nie da się skutecznie pokryć samymi zasadami zapisanymi w polityce bezpieczeństwa.

Dojrzały program awareness powinien ćwiczyć decyzje, które pracownicy podejmują naprawdę: czy pobrać fakturę z linku, czy podać PESEL i dane karty, czy wpisać kod SMS, czy kliknąć w wiadomość o paczce, czy otworzyć arkusz od kontrahenta, czy zgłosić podejrzany mail, czy potwierdzić sprawę poza wiadomością.

Największą wartość daje powtarzalność. Jednorazowe szkolenie może powiedzieć, czym jest phishing. Cykliczny program pokazuje, czy zachowanie się zmienia. Czy spada odsetek kliknięć. Czy rośnie odsetek zgłoszeń. Czy skraca się czas reakcji. Czy te same osoby powtarzają ryzykowne zachowania. Czy konkretne działy potrzebują innych scenariuszy. Czy organizacja potrafi usuwać wiadomości z innych skrzynek i komunikować się po incydencie.

Co firma powinna ćwiczyć po takim raporcie

Na podstawie kwietniowego raportu CERT Polska można zbudować bardzo praktyczny zestaw scenariuszy do ćwiczeń. Dla finansów i księgowości naturalnym motywem są KSeF, faktury, arkusze XLS, zwroty podatku, dane karty i zmiana płatności. Dla HR i administracji: rozliczenia zdrowotne, ZUS, NFZ, dokumenty pracownicze i komunikacja z instytucjami. Dla wszystkich pracowników: paczki, SMS-y, subskrypcje, aktualizacja SIM, fałszywe logowania, marketplace i komunikatory.

W testach phishingowych dla firm nie chodzi o przygotowanie jednej wiadomości i sprawdzenie, kto się pomylił. Chodzi o sprawdzenie konkretnych zachowań: kliknięcia, podania danych, pobrania pliku, zeskanowania kodu QR, zgłoszenia wiadomości, czasu reakcji i tego, czy pracownik przerwał proces przed najgroźniejszym krokiem.

Warto też łączyć testy z mikrolekcjami. Jeżeli ktoś kliknął wiadomość o fałszywej fakturze, najlepszy moment edukacyjny jest natychmiast po błędzie. Krótka lekcja może wyjaśnić, co było sygnałem ryzyka, jak sprawdzić dokument poza linkiem i gdzie zgłosić podobną wiadomość. To działa lepiej niż ogólne przypomnienie wysłane raz w roku do całej firmy.

Dodatkowo raporty z kampanii awareness pomagają rozmawiać z zarządem, IT, HR, compliance i audytem. Dane z testów pokazują nie tylko błędy, ale też poprawę: rosnącą liczbę zgłoszeń, krótszy czas reakcji i spadek ryzykownych zachowań po kolejnych kampaniach. To jest dużo mocniejszy dowód działania niż lista obecności ze szkolenia.

Co zrobić, jeśli pracownik kliknął podobną wiadomość

Reakcja zależy od tego, co wydarzyło się po kliknięciu. Jeżeli użytkownik tylko otworzył link i niczego nie podał ani nie pobrał, powinien zgłosić wiadomość do IT, helpdesku lub SOC i zachować oryginalny e-mail albo SMS. Zespół techniczny powinien sprawdzić domenę, podobne wiadomości w innych skrzynkach, logi proxy, DNS i możliwość centralnego usunięcia kampanii.

Jeżeli użytkownik podał login, hasło, PESEL, dane osobowe, numer telefonu, kod SMS, dane karty lub zatwierdził operację, sprawa wymaga szybszej eskalacji. Trzeba zmienić hasło w prawdziwym systemie, unieważnić sesje, sprawdzić aktywne logowania, urządzenia, reguły pocztowe i ewentualne operacje finansowe. Przy danych karty priorytetem jest kontakt z bankiem i zastrzeżenie karty.

Jeżeli pobrano lub uruchomiono plik, szczególnie arkusz, archiwum, instalator albo aplikację APK, urządzenie powinno zostać odizolowane zgodnie z procedurą. Nie należy usuwać plików ani czyścić śladów bez konsultacji z IT, bo logi, procesy i artefakty mogą pomóc ustalić zakres incydentu.

Jeżeli wiadomość przyszła SMS-em, podejrzany SMS można przekazać pod numer 8080. Podejrzane strony, wiadomości e-mail i incydenty można zgłaszać przez kanały CERT Polska. Dla firmy takie zgłoszenie nie zastępuje własnej reakcji, ale wspiera szerszy system ochrony i może pomóc blokować podobne kampanie.

Wniosek

Kwietniowy raport CERT Polska pokazuje, że phishing w Polsce nie jest jedną kampanią, którą da się po prostu przeczekać. To stały mechanizm nadużywania zaufania do instytucji, marek, dokumentów, płatności, paczek, faktur, telefonów i codziennych usług. Techniczne blokady są potrzebne, ale nie wystarczą, jeśli pracownik w stresie nie wie, kiedy przerwać proces.

Najlepsza inwestycja w awareness zaczyna się od prostego założenia: ludzie będą widzieć takie wiadomości regularnie. Celem firmy nie jest udawać, że nikt nigdy nie kliknie. Celem jest sprawić, żeby pracownik umiał zatrzymać decyzję, zgłosić podejrzaną wiadomość, nie podać danych i uruchomić reakcję organizacji szybciej niż oszust zdąży wykorzystać błąd.