KSeF - fałszywe powiadomienie o fakturze. Phishing i malware w firmach

2026-04-17

TL;DR

CERT Polska ostrzega przed kampanią wymierzoną w użytkowników KSeF. Oszuści rozsyłają fałszywe powiadomienia o nowej fakturze i zachęcają do kliknięcia w link, który rzekomo ma prowadzić do pobrania dokumentu. W praktyce kliknięcie kończy się pobraniem złośliwego oprogramowania, a Scenariusz nie bazuje na egzotycznym pretekście. Bazuje na rutynie. Faktury są w organizacjach czymś zwyczajnym, a właśnie zwyczajne procesy najłatwiej wykorzystać przeciw użytkownikowi.

O co chodzi w kampanii podszywającej się pod KSeF

W komunikacie CERT Polska opisano kampanię wymierzoną w użytkowników KSeF. Mechanizm ataku jest prosty. Ofiara dostaje wiadomość z informacją o nowej fakturze i linkiem, który ma prowadzić do jej pobrania. Po kliknięciu zamiast dokumentu pobiera się malware, a uruchomienie pliku skutkuje infekcją komputera.

Najciekawsze w tym ostrzeżeniu jest jedno zdanie. CERT wprost wskazuje, że powiadomienia o fakturach są rutyną w większości firm, więc oszuści liczą na automatyczne kliknięcie bez weryfikacji nadawcy czy adresu linku. To bardzo trafnie pokazuje, gdzie dziś leży prawdziwe ryzyko. Nie w technicznej złożoności wiadomości, ale w tym, że wszystko wygląda jak zwykła codzienna czynność.

Dlaczego właśnie KSeF jest tak dobrym pretekstem

Ten scenariusz nie pojawia się przypadkiem właśnie teraz. Jak przypomina Ministerstwo Finansów, od 1 lutego 2026 roku wszyscy przedsiębiorcy odbierają faktury w KSeF, a obowiązek wystawiania dokumentów został wdrożony etapami dla kolejnych grup firm. To oznacza, że KSeF nie jest już niszowym tematem dla działów księgowych, tylko coraz bardziej codziennym elementem działania przedsiębiorstw.

Im bardziej proces staje się powszedni, tym łatwiej zbudować wokół niego skuteczną kampanię phishingową. Gdy pracownik lub właściciel firmy widzi komunikat o nowej fakturze, nie odbiera tego jak czegoś nadzwyczajnego. Odbiera to jak kolejną sprawę do odhaczenia. I właśnie na ten automatyzm grają oszuści.

To nie jest zwykła fałszywa faktura

W wielu kampaniach związanych z fakturami chodzi o wyłudzenie przelewu albo danych do logowania. W tym przypadku problem jest jeszcze poważniejszy, bo kliknięcie prowadzi do pobrania złośliwego oprogramowania. To znaczy, że skutkiem może być nie tylko pojedyncza pomyłka użytkownika, ale realna kompromitacja stacji roboczej.

Dla firmy taki incydent może oznaczać dużo więcej niż utratę jednego dokumentu. Zainfekowany komputer może stać się punktem wejścia do dalszych działań napastnika, takich jak wykradanie danych, przejęcie zapisanych haseł, dostęp do poczty, ruch lateralny albo przygotowanie kolejnego etapu ataku.

Jeżeli chcesz zobaczyć podobny mechanizm w innym wariancie, sprawdź też materiał Złośliwy załącznik w mailu. Uważaj na wiadomości z fakturą w archiwum ZIP. Tam również zwykły temat wiadomości finansowej służył jako nośnik malware.

KSeF jako nowy temat, stary mechanizm

To ostrzeżenie nie oznacza, że KSeF jest niebezpiecznym systemem. Oficjalny serwis KSeF podkreśla, że priorytetem systemu jest wysoki poziom bezpieczeństwa i ochrona danych. Problem nie polega więc na tym, że ktoś łamie KSeF. Problem polega na tym, że napastnik podszywa się pod czynność związaną z KSeF i wyciąga użytkownika poza właściwy, bezpieczny proces.

To bardzo ważne rozróżnienie. Współczesny phishing coraz częściej nie polega na ataku na system, tylko na przejęciu decyzji człowieka. Użytkownik nie jest proszony o coś absurdalnego. Jest proszony o coś, co wygląda na normalny element pracy.

Jeżeli chcesz uporządkować sam fundament tego problemu, wróć też do wpisu Co to jest phishing? Mechanizm oszustw e-mailowych. KSeF zmienia tylko temat wiadomości. Mechanika manipulacji pozostaje bardzo podobna.

Dlaczego ten scenariusz będzie wracał

Faktury, korekty, rozliczenia, wezwania i dokumenty księgowe należą do najbardziej skutecznych przynęt w komunikacji mailowej. Nie wymagają skomplikowanej historii i pretekstu. Nie muszą wzbudzać sensacji. Wystarczy, że wyglądają znajomo i pasują do codziennego rytmu firmy.

To właśnie dlatego warto połączyć ten nowy case z materiałem Fałszywa faktura od Orange w mailu. Uwaga na Formbook w załączniku. Tam pretekstem była faktura od konkretnej marki, tutaj nowa faktura w KSeF. W obu przypadkach sedno jest identyczne: odbiorca ma zobaczyć coś, co wydaje się wystarczająco normalne, żeby kliknąć bez chwili zatrzymania.

Jak powinien wyglądać bezpieczny nawyk

CERT Polska podaje bardzo prostą i bardzo dobrą zasadę: dokumenty należy pobierać wyłącznie po samodzielnym zalogowaniu bezpośrednio na platformę KSeF. To powinno stać się podstawowym nawykiem w każdej firmie, która pracuje z e-fakturami.

Nie chodzi tylko o unikanie jednego konkretnego linku. Chodzi o zmianę sposobu działania. Jeśli komunikat dotyczy KSeF, to nie wchodzisz do dokumentu z maila. Najpierw otwierasz oficjalny system własną ścieżką i dopiero tam sprawdzasz, czy rzeczywiście pojawiła się nowa faktura.

To prosty nawyk, ale właśnie takie nawyki najskuteczniej odcinają oszustów od celu.

Co zrobić, jeśli taka wiadomość trafi do firmy

Najpierw nie klikać odruchowo i zweryfikować nadawcę. Jeśli wiadomość budzi choć minimalne wątpliwości, trzeba potraktować ją jak potencjalny incydent, a nie jak kolejne zadanie księgowe. Jeśli link został kliknięty, ale plik nie został uruchomiony, sytuacja nadal wymaga ostrożności i sprawdzenia, co dokładnie się pobrało. Jeśli plik został uruchomiony, trzeba zakładać możliwość infekcji.

W praktyce oznacza to odłączenie urządzenia od sieci, szybkie zgłoszenie do zespołu IT lub SOC i powstrzymanie się od dalszej pracy na tej stacji. Samą wiadomość lub stronę warto zgłosić do CERT Polska, zgodnie z instrukcją z komunikatu.

Testowanie odporności cyfrowej z PHISHLY

Fałszywa faktura w KSeF to bardzo dobry przykład współczesnego phishingu dla firm. Nie trzeba tu budować skomplikowanej historii. Wystarczy wykorzystać proces, który jest już znany, ważny i powtarzalny. Gdy wiadomości o fakturach stają się codziennością, jedno automatyczne kliknięcie może wystarczyć, żeby uruchomić malware.

Dlatego ten temat warto potraktować szerzej niż jako pojedynczy alert. To sygnał, że wraz z popularyzacją KSeF będą rosły także kampanie podszywające się pod ten system. Obrona nie polega tu wyłącznie na filtrach pocztowych. Polega też na prostym nawyku: nie pobieraj faktur z linku w wiadomości, tylko wyłącznie po samodzielnym zalogowaniu do właściwej platformy.

Jeżeli chcesz sprawdzić, czy pracownicy wychwycą taki sygnał ostrzegawczy zanim klikną, zacznij od krótkiego quizu phishingowego PHISHLY.