Phishing na KAS i Profil Zaufany. Jak rozpoznać fałszywą notyfikację

2026-03-10

TL;DR

CERT Polska ostrzega przed kampanią phishingową, w której oszuści podszywają się pod Krajową Administrację Skarbową i informują o rzekomej nowej informacji. Link z wiadomości prowadzi do fałszywego formularza logowania do Profilu Zaufanego. Najbezpieczniejsza zasada jest prosta: nie loguj się z linku z maila, tylko wpisz adres ręcznie i sprawdź sprawę w oficjalnym serwisie.

Czym jest phishing podszywający się pod KAS

Phishing to atak oparty na socjotechnice, w którym przestępca udaje zaufaną instytucję, żeby skłonić odbiorcę do wykonania niebezpiecznej akcji. Jeżeli chcesz uporządkować podstawy tego mechanizmu, zacznij od materiału czym jest phishing.

W tym scenariuszu atakujący wykorzystują rozpoznawalność KAS i naturalny odruch sprawdzenia spraw urzędowych. Odbiorca dostaje wiadomość o rzekomej nowej notyfikacji, a potem jest prowadzony do fałszywego logowania. Dokładnie taki mechanizm opisał CERT Polska w komunikacie CERT Polska.

To groźny wariant oszustwa, bo nie chodzi tylko o samo kliknięcie. Celem jest przejęcie danych dostępowych do usługi, która jest powiązana z załatwianiem spraw urzędowych i potwierdzaniem tożsamości online. Dlatego nawet dobrze napisana wiadomość z urzędowym tonem nie może być traktowana jako dowód autentyczności.

Jak oszuści próbują wyłudzić dane do Profilu Zaufanego

Wiadomość udająca nową notyfikację lub pismo

Atak zwykle zaczyna się od krótkiej, rzeczowej wiadomości. Nie musi zawierać wielu błędów językowych, bo jej głównym zadaniem jest wywołanie poczucia, że czeka na Ciebie ważna sprawa urzędowa. Sama wzmianka o nowej notyfikacji wystarcza, żeby wiele osób kliknęło bez dodatkowej weryfikacji.

Link prowadzący do fałszywego logowania

Najważniejszym elementem wiadomości jest odnośnik. To on przenosi ofiarę na stronę, która ma wyglądać wystarczająco wiarygodnie, by użytkownik wpisał login i hasło. W praktyce to właśnie tu kończy się etap socjotechniki, a zaczyna etap przejęcia danych.

Przejęcie danych i możliwe skutki

Jeżeli użytkownik poda dane na podstawionej stronie, oddaje je bezpośrednio w ręce atakującego. Od tego momentu ryzyko nie ogranicza się już do jednego incydentu mailowego. Problemem staje się przejęcie dostępu, możliwość dalszych prób podszycia się pod ofiarę i konieczność szybkiej reakcji.

Jak sprawdzić, czy wiadomość z KAS jest prawdziwa

Adres nadawcy i domena strony

Pierwsza rzecz do sprawdzenia to nie wygląd wiadomości, tylko adres nadawcy i domena strony, do której prowadzi link. To właśnie tutaj najczęściej widać, że coś się nie zgadza. Przestępcy liczą na to, że odbiorca zobaczy nazwę instytucji, ale nie sprawdzi pełnego adresu.

Czy instytucja naprawdę wymaga logowania z linku

Drugi sygnał ostrzegawczy to sama logika wiadomości. Jeżeli mail albo powiadomienie próbuje wymusić szybkie logowanie po kliknięciu w link, należy przerwać ten schemat i przejść do niezależnej weryfikacji. To szczególnie ważne przy sprawach urzędowych i usługach związanych z tożsamością cyfrową.

Samodzielne wejście na oficjalny serwis zamiast klikania

Najbezpieczniejszy nawyk jest bardzo prosty: nie korzystaj z linku z wiadomości, tylko samodzielnie wpisz adres właściwego serwisu albo użyj zapisanego wcześniej adresu w przeglądarce. W przypadku Profilu Zaufanego oznacza to wejście na oficjalną stronę Profilu Zaufanego, a dopiero potem sprawdzenie, czy rzeczywiście czeka na Ciebie jakaś sprawa.

Jakie błędy najczęściej popełniają ofiary

Najczęstszy błąd to działanie w pośpiechu. Użytkownik widzi nazwę instytucji, słowo notyfikacja albo informację o konieczności pilnego sprawdzenia sprawy i automatycznie przechodzi dalej.

Drugi błąd to ocenianie wiarygodności wyłącznie po wyglądzie wiadomości lub strony. Dzisiaj fałszywy formularz nie musi zawierać błędów. Często wystarczy, że jest wystarczająco podobny do prawdziwego serwisu i pojawia się w odpowiednim momencie.

Trzeci błąd pojawia się już po incydencie. Wiele osób zamyka stronę i uznaje temat za zakończony, mimo że wcześniej podało dane albo weszło na podejrzany formularz. Tymczasem właśnie wtedy liczy się szybka i uporządkowana reakcja.

Co zrobić krok po kroku po otrzymaniu takiej wiadomości

Gdy nie kliknąłeś linku

Usuń wiadomość, ale wcześniej możesz zabezpieczyć ją jako materiał do zgłoszenia. Nie odpowiadaj nadawcy, nie pobieraj załączników i nie próbuj sprawdzać linku przez klikanie. Jeżeli wiadomość trafiła na służbową skrzynkę, poinformuj o tym dział IT albo osobę odpowiedzialną za bezpieczeństwo.

Gdy kliknąłeś, ale nie wpisałeś danych

Zamknij stronę i nie wykonuj na niej żadnych dodatkowych działań. W środowisku firmowym warto zgłosić incydent, żeby sprawdzić, czy domena nie powinna zostać zablokowana i czy inni użytkownicy nie dostali podobnej wiadomości. Jeżeli urządzenie zaczęło zachowywać się nietypowo, zgłoś sytuację do .

Gdy wpisałeś dane do fałszywego formularza

Tutaj liczy się czas. Jak najszybciej zmień hasło do właściwej usługi oraz do innych miejsc, gdzie używałeś tego samego albo podobnego hasła. Pomocniczo możesz też wrócić do materiału co zrobić po wpisaniu danych na fałszywej stronie, bo sam schemat reakcji po wyłudzeniu danych jest bardzo podobny niezależnie od marki ataku.

Dobrą praktyką jest także sprawdzenie, czy po incydencie nie trzeba podjąć dodatkowych działań ochronnych wobec swojej tożsamości lub innych kont powiązanych z tym samym adresem e-mail.

Jak zgłosić incydent do CERT Polska

Jeżeli wiadomość albo strona wygląda podejrzanie, warto ją zgłosić incydent do CERT Polska. To ważne nie tylko z perspektywy jednej ofiary. Zgłoszenia pomagają szybciej analizować domeny, wzorce kampanii i powtarzające się scenariusze oszustw.

W organizacji taki incydent powinien być zgłoszony równolegle wewnętrznie. Dzięki temu można szybciej ostrzec innych pracowników, zaktualizować blokady i sprawdzić, czy atak nie objął większej liczby skrzynek lub użytkowników.

Jak organizacja może ograniczyć ryzyko podobnych ataków

Największym błędem firm jest traktowanie takich wiadomości jak pojedynczego problemu użytkownika. Kampania podszywająca się pod KAS to dobry przykład ataku, który może trafić jednocześnie do wielu osób i wykorzystać ich prywatne przyzwyczajenia również na służbowym sprzęcie.

Długofalowo najskuteczniejsze są dwa elementy: regularne szkolenia z rozpoznawania socjotechniki oraz cykliczne testowanie odporności użytkowników na realistyczne scenariusze phishingowe. Właśnie takie połączenie buduje nawyk zatrzymania się przed kliknięciem, a nie dopiero po incydencie.