Fałszywa faktura od Orange w mailu. Uwaga na Formbook w załączniku

Fałszywa faktura od Orange w mailu. Uwaga na Formbook w załączniku

2026-04-09

TL;DR

CERT Orange ostrzega przed wiadomościami e-mail, które podszywają się pod fakturę od Orange Polska. Kluczowym elementem ataku nie jest sama treść maila, ale załącznik ZIP, w którym ukryto malware Formbook. To złośliwe oprogramowanie służy do wykradania danych z komputera ofiary.

Pamiętaj: jeśli nie czekasz na taką fakturę, nie otwieraj załącznika. W przypadku wiadomości finansowych pośpiech działa na korzyść oszustów.

Jak wygląda ten atak

Według ostrzeżenia opublikowanego przez CERT Orange Polska kampania polega na wysyłaniu wiadomości udających oficjalną korespondencję od Orange. Mail ma wyglądać wiarygodnie, ale zawiera elementy, które powinny wzbudzić podejrzenia. Jednym z nich jest adres nadawcy, który może zawierać nazwę Orange, a faktycznie pochodzić z zupełnie innej domeny.

W samym mailu mogą pojawiać się poprawne odnośniki do prawdziwych usług Orange, co ma dodatkowo obniżyć czujność odbiorcy. Sedno oszustwa jest jednak w załączniku. To właśnie on prowadzi do infekcji.

Co jest ukryte w załączniku

Załącznik ma postać archiwum ZIP. Po rozpakowaniu plik może wyglądać jak dokument PDF, ale w praktyce nie jest zwykłą fakturą. CERT Orange wskazuje, że w analizowanym przypadku końcówka nazwy pliku sugerowała dokument, podczas gdy faktycznie był to plik wykonywalny uruchamiający kolejne etapy infekcji.

Po uruchomieniu pliku na komputerze może zostać zainstalowany Formbook. To znane od lat złośliwe oprogramowanie, które służy do przechwytywania danych, w tym loginów, haseł i innych informacji wpisywanych przez użytkownika. Dla ofiary oznacza to realne ryzyko utraty dostępu do kont, przejęcia poczty albo wykorzystania danych do kolejnych oszustw.

Na co zwrócić uwagę w takiej wiadomości

W tego typu kampaniach najważniejsze są proste sygnały ostrzegawcze. Nie trzeba prowadzić zaawansowanej analizy technicznej, żeby uznać wiadomość za ryzykowną. Wystarczy zatrzymać się na chwilę i sprawdzić podstawy.

W praktyce powinny zaniepokoić przede wszystkim:

  1. nieznany lub nietypowy adres nadawcy,
  2. niespodziewana faktura, której nie oczekujesz,
  3. załącznik ZIP zamiast zwykłego dokumentu PDF,
  4. plik, który wygląda jak PDF, ale ma inne rzeczywiste rozszerzenie,
  5. presja, by szybko otworzyć dokument i coś sprawdzić.

Podobny wzorzec wykorzystują też inne kampanie oparte na dokumentach i zaufaniu do znanych marek, o czym pisaliśmy już we wpisie złośliwy załącznik w mailu. Uważaj na wiadomości z fakturą w archiwum ZIP.

Rekomendowane działania

Jeśli dostaniesz taką wiadomość, nie otwieraj załącznika odruchowo. Najpierw sprawdź, czy naprawdę czekasz na fakturę i czy nadawca jest zgodny z wcześniejszą korespondencją. Jeżeli cokolwiek się nie zgadza, potraktuj mail jako podejrzany.

Najbezpieczniejsze kroki to:

  1. nie otwieraj archiwum ZIP ani pliku w środku,
  2. zweryfikuj nadawcę i kontekst wiadomości,
  3. nie loguj się nigdzie z linków lub plików powiązanych z takim mailem,
  4. przekaż wiadomość do IT, security albo osoby odpowiedzialnej za bezpieczeństwo,
  5. jeśli pracujesz samodzielnie, usuń wiadomość i zgłoś ją do zespołu reagowania na incydenty, jeśli masz taką możliwość.

Co zrobić, jeśli plik został uruchomiony

Jeśli załącznik został już otwarty, nie zakładaj, że brak widocznych objawów oznacza brak problemu. Malware tego typu może działać w tle i zbierać dane bez wyraźnych sygnałów na ekranie.

W takiej sytuacji najlepiej od razu przerwać dalszą pracę na urządzeniu, nie wpisywać żadnych haseł ani danych płatniczych. Zalecane jest przeskanowanie urządzenia pod kątem obecności malware specjalistycznym oprogramowaniem lub skorzystanie z usług specjalisty w tym zakresie. W środowisku firmowym liczy się szybka reakcja. Im wcześniej zespół IT dostanie informację, tym większa szansa na ograniczenie skutków.

Dlaczego warto zachować ostrożność

Mail z fakturą brzmi zwyczajnie, dlatego takie kampanie są skuteczne. Nie opierają się na wyjątkowo skomplikowanej historii, tylko na rutynie. Odbiorca ma działać automatycznie i potraktować załącznik jak codzienną korespondencję.

W praktyce najlepszą ochroną pozostaje krótka pauza przed kliknięciem. Jeśli wiadomość dotyczy pieniędzy, dokumentów lub rozliczeń i zawiera nieoczekiwany załącznik, ostrożność jest rozsądniejsza niż szybka reakcja.

Najczęstsze pytania

Po czym najłatwiej rozpoznać taką wiadomość

Po pośpiechu, podejrzanym nadawcy, niespodziewanym załączniku ZIP i pliku, który tylko udaje dokument PDF.

Czy samo pobranie załącznika oznacza infekcję

Nie zawsze. Największe ryzyko pojawia się po otwarciu archiwum i uruchomieniu znajdującego się w nim pliku.

Co zrobić, jeśli kliknąłem plik z takiego maila

Trzeba potraktować to jak incydent bezpieczeństwa, przerwać dalszą pracę, odłączyć urządzenie od sieci jeśli procedury na to pozwalają i jak najszybciej zgłosić sprawę do IT lub security.

Źródła

  1. CERT Orange Polska: E-mail z fałszywą fakturą od Orange – sprawdź, co wykrada wirus FormbookŹródłowe ostrzeżenie o kampanii phishingowej z malware Formbook ukrytym w załączniku