Fałszywy Interpol i ransomware w e-mailu
2026-07-03
Fałszywy e-mail od Interpolu prowadzi do archiwum z ransomware. Wyjaśniamy mechanizm, sygnały ostrzegawcze i reakcję firmy.

TL;DR
Fałszywy e-mail od rzekomej jednostki Interpolu może wyglądać jak formalna korespondencja dotycząca dochodzenia, zgodności albo podejrzanej aktywności firmy. W opisanej kampanii odbiorca był kierowany do zewnętrznego pliku, pobierał archiwum chronione hasłem, a następnie mógł uruchomić plik udający materiał dowodowy. W praktyce był to ransomware.
Ten scenariusz działa nie dlatego, że malware jest wyjątkowo zaawansowany. Najsilniejszym elementem jest presja autorytetu: „to organ ścigania”, „są dowody”, „firma może mieć problem”, „trzeba działać szybko”. To klasyczny phishing, w którym techniczny ładunek jest tylko ostatnim etapem manipulacji.
Dla firm w Polsce najważniejszy wniosek operacyjny jest konkretny: pracownik nie powinien samodzielnie otwierać archiwów, nagrań ani dokumentów z wiadomości od rzekomych służb, regulatorów lub urzędów. Taki kontakt wymaga weryfikacji poza treścią e-maila, zgłoszenia do IT/Security i zachowania materiału do analizy.
O co chodzi w kampanii z fałszywym Interpolem
Bitdefender opisał kampanię phishingową, w której przestępcy podszywali się pod Interpol i wysyłali wiadomości do firm. E-mail sugerował, że organizacja jest powiązana z podejrzaną aktywnością, a odbiorca powinien przejrzeć rzekome materiały dowodowe.
Przynęta była zbudowana wokół emocji, które w firmie działają bardzo mocno: obawa przed kontrolą, odpowiedzialnością, reputacją i eskalacją do przełożonych. To nie jest przypadkowy temat. Wiadomość od organu ścigania może ominąć normalny sposób myślenia, bo pracownik próbuje szybko „wyjaśnić sprawę”, zamiast spokojnie sprawdzić kanał kontaktu.
Według opisu kampanii link prowadził do pliku hostowanego w legalnej usłudze chmurowej. To ważny szczegół: zaufana platforma nie oznacza automatycznie zaufanej treści. Przestępcy często nadużywają znanych usług do dystrybucji plików, bo taki link może wyglądać mniej podejrzanie niż przypadkowa domena.
Po pobraniu archiwum odbiorca dostawał plik udający nagranie lub materiał dowodowy. Uruchomienie pliku mogło aktywować ransomware, czyli złośliwe oprogramowanie szyfrujące pliki i wymuszające kontakt z napastnikami.
Dlaczego podszycie się pod Interpol działa na pracowników
Wiadomości podszywające się pod służby, policję, prokuraturę, regulatora albo międzynarodową instytucję wykorzystują trzy warstwy nacisku.
Pierwsza to autorytet. Odbiorca może założyć, że skoro wiadomość dotyczy organu ścigania, to nie powinien jej ignorować. Druga to niejasność. Pracownik nie wie, czy sprawa dotyczy jego osobiście, firmy, klienta, działu prawnego czy zarządu. Trzecia to wstyd albo lęk przed konsekwencjami. Napastnik nie musi od razu żądać pieniędzy. Wystarczy, że skłoni odbiorcę do wykonania pierwszego kroku.
W polskich realiach podobny schemat może wykorzystywać nie tylko nazwę Interpolu. W grę wchodzą również podszycia pod Policję, Centralne Biuro Zwalczania Cyberprzestępczości, Europol, prokuraturę, urząd skarbowy, Krajową Administrację Skarbową, UODO, sąd, dostawcę systemu e-Doręczeń albo kancelarię obsługującą sprawę. CERT Polska i CBZC ostrzegały już przed wiadomościami, które podszywały się pod organy ścigania i groziły odpowiedzialnością za rzekome przestępstwa internetowe.
W firmie taki e-mail może trafić do sekretariatu, księgowości, działu prawnego, HR, zarządu albo ogólnej skrzynki kontaktowej. Ryzyko rośnie tam, gdzie nie ma jasnej procedury: kto weryfikuje korespondencję od instytucji, kto może otworzyć załącznik i kto decyduje o odpowiedzi.
Jak wygląda łańcuch ataku
Mechanizm można opisać jako ciąg kilku decyzji. Każda z nich jest szansą na zatrzymanie incydentu.
Najpierw pracownik dostaje e-mail, który udaje formalną korespondencję. Temat wiadomości sugeruje dochodzenie, kontrolę albo potrzebę pilnej weryfikacji. Następnie e-mail kieruje do pliku w zewnętrznej usłudze. Odbiorca pobiera archiwum, a hasło do niego znajduje w treści wiadomości. Po rozpakowaniu widzi plik, który ma wyglądać jak nagranie, dokument albo materiał dowodowy. Dopiero uruchomienie tego pliku tworzy realne ryzyko infekcji.
Ważne jest rozróżnienie między pobraniem, rozpakowaniem i uruchomieniem. Sam fakt otrzymania wiadomości nie oznacza jeszcze kompromitacji. Kliknięcie linku i pobranie pliku zwiększa ryzyko, ale kluczowym momentem jest wykonanie pliku na urządzeniu firmowym. To właśnie ten punkt trzeba ćwiczyć w komunikacji wewnętrznej i testach.

Schemat pokazuje najważniejszy punkt decyzyjny: wiadomość od rzekomej instytucji trzeba zweryfikować poza e-mailem, zanim ktokolwiek pobierze lub uruchomi plik.
Sygnały ostrzegawcze w takim e-mailu
W tego typu wiadomości nie warto szukać jednego „magicznego” objawu. Lepsze jest zestawienie kilku sygnałów, które razem tworzą ryzykowny obraz.
Pierwszym sygnałem jest presja formalna. Jeśli e-mail sugeruje dochodzenie, dowody, naruszenie prawa albo konsekwencje dla firmy, a jednocześnie wymaga szybkiej reakcji, trzeba zatrzymać proces i przekazać sprawę do właściwej osoby.
Drugim sygnałem jest zewnętrzny link do pliku. Legalna usługa chmurowa nie rozwiązuje problemu wiarygodności. Link do archiwum, folderu, nagrania lub dokumentu powinien być oceniany tak samo jak załącznik.
Trzecim sygnałem jest archiwum chronione hasłem, zwłaszcza gdy hasło znajduje się w tej samej wiadomości. Taki układ może utrudniać automatyczną analizę pliku i jednocześnie buduje wrażenie, że dokument jest poufny.
Czwartym sygnałem jest plik, który udaje inny typ treści. Jeżeli „nagranie” okazuje się plikiem wykonywalnym, skrótem, skryptem albo nietypowym formatem, pracownik nie powinien go otwierać. W firmach warto wymusić pokazywanie rozszerzeń plików w systemie, bo nazwa podobna do video.mp4.exe może oszukać osobę, która widzi tylko pierwszą część nazwy.
Piątym sygnałem jest brak zgodności z normalną ścieżką kontaktu. Oficjalne sprawy prawne, procesowe i administracyjne nie powinny zaczynać się od przypadkowego e-maila z archiwum ZIP, hasłem i presją natychmiastowego otwarcia pliku.
Co powinna zrobić osoba, która dostaje taki e-mail
Pracownik nie musi samodzielnie rozstrzygać, czy wiadomość jest prawdziwa. Powinien mieć prostą ścieżkę działania.
Najpierw nie otwierać pliku i nie odpowiadać na adres wskazany w wiadomości. Potem zgłosić e-mail do IT, SOC, zespołu bezpieczeństwa, przełożonego albo przez firmowy przycisk zgłaszania phishingu. Następnie zweryfikować sprawę kanałem niezależnym od otrzymanej wiadomości: przez oficjalną stronę instytucji, znany numer telefonu, kancelarię prawną obsługującą firmę albo formalny obieg korespondencji.
Warto też zachować wiadomość w stanie umożliwiającym analizę. Przeklejony zrzut ekranu bywa pomocny edukacyjnie, ale dla zespołu bezpieczeństwa ważniejsze są nagłówki wiadomości, adres nadawcy, linki, załączniki i czas dostarczenia.
W kontrolowanych testach phishingowych dla firm taki scenariusz pozwala sprawdzić nie tylko kliknięcie. Ważniejsze jest to, czy pracownik zatrzyma się przed uruchomieniem pliku, czy zgłosi wiadomość i czy organizacja potrafi szybko ostrzec inne osoby.
Co zrobić, jeśli to już się stało
Jeżeli plik został pobrany, ale nie został uruchomiony, nie należy go otwierać „żeby sprawdzić”. Trzeba zgłosić wiadomość i przekazać plik do analizy zgodnie z procedurą organizacji.
Jeżeli plik został uruchomiony, liczy się szybka izolacja i zachowanie materiału dowodowego. Odłącz urządzenie od sieci przewodowej i Wi-Fi. Nie kasuj wiadomości, archiwum, plików ani notatki z żądaniem okupu. Nie przenoś plików między komputerami i nie podłączaj dysków zewnętrznych „na próbę”.
Następnie zgłoś incydent do IT, SOC albo osoby odpowiedzialnej za bezpieczeństwo. Zespół techniczny powinien sprawdzić, czy proces szyfrowania nadal działa, czy zagrożone są udziały sieciowe, czy doszło do komunikacji z infrastrukturą atakujących i czy inne urządzenia otrzymały podobną wiadomość.
Hasła do poczty, systemów chmurowych i kont firmowych zmieniaj z czystego urządzenia. Jeżeli firma używa Microsoft 365, Google Workspace albo innego środowiska SaaS, warto sprawdzić aktywne sesje, reguły pocztowe, logowania z nietypowych lokalizacji oraz działania na plikach.
W polskim kontekście incydent można zgłosić do CERT Polska przez formularz incydent.cert.pl. Jeżeli firma podlega szczególnym obowiązkom sektorowym, dalszą ścieżkę zgłoszeń trzeba ocenić według wewnętrznych procedur, umów, regulacji i charakteru danych. Sam test phishingowy ani pojedyncze szkolenie nie zastępują pełnego procesu obsługi incydentu.
Wnioski dla IT, SOC i osób od awareness
Ten scenariusz dobrze nadaje się do ćwiczeń, bo łączy phishing, malware, presję autorytetu i reakcję organizacji. Nie trzeba pokazywać pracownikom technicznych szczegółów ransomware. Wystarczy przećwiczyć decyzje, które naprawdę mają znaczenie.
IT powinno zadbać o podstawy: widoczne rozszerzenia plików, kontrolę uruchamiania plików wykonywalnych z katalogów pobierania, ochronę poczty, skanowanie załączników, filtrowanie linków, ograniczenie uprawnień lokalnych oraz kopie zapasowe odseparowane od zwykłej stacji roboczej.
SOC powinien mieć gotowy sposób wyszukania podobnych wiadomości w skrzynkach, zablokowania linków, sprawdzenia pobrań, izolacji hosta i komunikacji do użytkowników. Przydatna jest też krótka ścieżka triage: kto ocenia wiadomość, kto decyduje o izolacji, kto kontaktuje się z działem prawnym i kto komunikuje sprawę pracownikom.
Zespół odpowiedzialny za program security awareness powinien ćwiczyć moment zatrzymania procesu. W tym przypadku nie chodzi o ogólną lekcję „nie klikaj”. Chodzi o rozpoznanie kilku konkretnych elementów: autorytet instytucji, rzekome dowody, zewnętrzny link, archiwum z hasłem, plik udający nagranie i brak oficjalnego kanału weryfikacji.
W sektorach takich jak finanse, biura rachunkowe, kancelarie, medycyna, produkcja i administracja publiczna, podobny scenariusz może trafić do osób obsługujących korespondencję z klientami, dostawcami i urzędami. To nie są wyłącznie techniczne role. Dlatego procedura zgłoszenia musi być prosta również dla osób spoza IT.
Jak przełożyć ten scenariusz na bezpieczną symulację
Symulacja nie powinna straszyć pracowników ani udawać prawdziwego postępowania karnego w sposób, który narusza zaufanie do firmy. Bezpieczniejszy wariant to neutralny scenariusz formalnej korespondencji: rzekome materiały do weryfikacji, presja terminu, zewnętrzny link i archiwum, które w kontrolowanym środowisku prowadzi do edukacyjnej strony po kliknięciu.
Warto mierzyć kilka momentów, nie tylko pierwszy klik. Czy użytkownik otworzył wiadomość? Czy kliknął link? Czy próbował pobrać plik? Czy zatrzymał się przy archiwum? Czy zgłosił wiadomość? Czy po mikrolekcji rozumie, dlaczego hasło w treści e-maila jest sygnałem ryzyka?
Dobrze przygotowana kampania nie kończy się rankingiem osób, które kliknęły. Powinna dać zespołowi konkretne dane: które grupy potrzebują krótkiej mikrolekcji, które procedury są niejasne, jak szybko przychodzą zgłoszenia i czy komunikacja po incydencie dociera do pracowników.
Jeżeli chcesz sprawdzić, jak Twoja firma reaguje na scenariusze z załącznikiem, presją autorytetu i malware, możesz zaplanować testy phishingowe dla firm jako część szerszego programu edukacji. Przy scenariuszach dla działów prawnych, księgowości, HR lub zarządu warto dobrać przynęty do realnych procesów, a nie do generycznych e-maili. W sprawie doboru scenariuszy możesz skorzystać z formularza kontaktowego.
Konkretna zasada dla pracownika i firmy
Jeżeli wiadomość od rzekomej instytucji wymaga pobrania archiwum, użycia hasła z e-maila i otwarcia pliku z „dowodami”, to nie jest zadanie do samodzielnego sprawdzenia przez pracownika. To materiał do weryfikacji oficjalnym kanałem i zgłoszenia do zespołu odpowiedzialnego za bezpieczeństwo.
W takim scenariuszu kliknięcie nie jest jedynym problemem. Krytyczny moment pojawia się chwilę później: gdy odbiorca ma uruchomić plik, bo chce samodzielnie wyjaśnić sprawę. Procedura, technologia i awareness powinny zatrzymać właśnie ten moment.
Najczęstsze pytania
Czy Interpol wysyła firmom e-maile z archiwum ZIP i hasłem?
Taki scenariusz należy traktować jako podejrzany. INTERPOL ostrzega, że oszuści nadużywają jego nazwy, a oficjalną korespondencję trzeba weryfikować poza treścią otrzymanej wiadomości.
Dlaczego archiwum chronione hasłem jest sygnałem ryzyka?
Hasło podane w e-mailu może utrudniać automatyczną analizę załącznika i skłaniać odbiorcę do samodzielnego otwarcia pliku. W kampaniach phishingowych taki mechanizm często ukrywa malware.
Co zrobić po uruchomieniu pliku z podejrzanej wiadomości?
Odłącz urządzenie od sieci, zgłoś sprawę do IT lub zespołu bezpieczeństwa, zachowaj wiadomość i pliki do analizy, nie usuwaj śladów incydentu i wykonaj dalsze działania z czystego urządzenia.
Czy ten scenariusz nadaje się do testów phishingowych?
Tak, ale w bezpiecznej symulacji należy ćwiczyć moment zatrzymania procesu: rozpoznanie presji autorytetu, nieotwieranie archiwum, weryfikację oficjalnym kanałem i zgłoszenie wiadomości.
Źródła
- Bitdefender: Fake Interpol investigation emails target small businesses with ransomware— Źródło pierwotne opisujące kampanię phishingową podszywającą się pod Interpol, archiwum chronione hasłem i ransomware.
- INTERPOL: Beware of scams using INTERPOL’s name— Oficjalne ostrzeżenie INTERPOL-u dotyczące nadużywania nazwy organizacji w oszustwach.
- CERT Polska: Uważaj na fałszywe wezwania z Policji i Europolu— Polski kontekst kampanii podszywających się pod organy ścigania i wymuszających kontakt poza oficjalnym kanałem.
- CBZC: Uwaga na fałszywe e-maile— Komunikat o fałszywych wiadomościach podszywających się pod Policję, CBZC, Europol i Interpol.
- Gov.pl: Zgłaszanie incydentów— Informacje o zgłaszaniu incydentów do CERT Polska i czasie reakcji.