Fałszywa wiadomość z RVO. Gdy urzędowa skrzynka staje się przynętą dla przedsiębiorcy

2026-05-13

TL;DR

Fałszywa wiadomość podszywająca się pod RVO wykorzystuje motyw urzędowej skrzynki i aktualizacji danych przedsiębiorcy. Odbiorca ma sprawdzić wiadomość, przejść do systemu, uzupełnić informacje i uniknąć problemów związanych z działalnością firmy.

To konkretny holenderski case, ale jego polski odpowiednik jest bardzo łatwy do wyobrażenia. Zamiast RVO może pojawić się e-Doręczenia, ePUAP, biznes.gov.pl, CEIDG, KRS, ZUS, urząd skarbowy, portal dotacyjny albo system do obsługi przetargów. Mechanika będzie taka sama: urzędowy ton, skrzynka, dane firmowe, termin i link.

Urzędowa skrzynka brzmi wiarygodnie

RVO, czyli Rijksdienst voor Ondernemend Nederland, to holenderska agencja obsługująca programy, wsparcie i sprawy przedsiębiorców. Dla odbiorcy taka nazwa kojarzy się z administracją, formalnościami i obowiązkami firmowymi. Właśnie dlatego może zostać wykorzystana jako przynęta.

Fałszywe powiadomienie o wiadomości w skrzynce działa inaczej niż zwykły spam. Nie obiecuje prezentu. Nie musi straszyć dramatycznie. Wystarczy, że wygląda jak urzędowa czynność, którą przedsiębiorca powinien wykonać.

W polskich warunkach ten sam efekt może wywołać wiadomość o e-Doręczeniach, ePUAP albo portalu biznes.gov.pl. Właściciel firmy albo księgowość nie chcą przegapić dokumentu z urzędu, więc link w mailu może wyglądać jak wygodny skrót do sprawy.

Aktualizacja danych jako administracyjny nacisk

W opisanym scenariuszu pojawia się także aktualizacja danych przedsiębiorcy. To jedna z najczęstszych i najskuteczniejszych przynęt. Użytkownik wie, że dane firmowe muszą być aktualne. Wie też, że błędne dane mogą utrudnić komunikację, dotacje, rejestrację albo kontakty z instytucjami.

Oszust wykorzystuje tę świadomość. Fałszywy formularz może prosić o dane firmy, dane osoby reprezentującej, numer telefonu, adres e-mail, login, hasło albo informacje potrzebne do dalszego ataku. Czasem nie chodzi nawet o kradzież pieniędzy od razu. Chodzi o zebranie danych, które później pozwolą przygotować bardziej przekonującą wiadomość.

To szczególnie groźne w firmach, gdzie kilka osób obsługuje administrację i nie zawsze wiadomo, kto odpowiada za dany portal. Phishing może zostać przekazany dalej jako wewnętrzne zadanie.

Polski odpowiednik: e-Doręczenia i portale firmowe

e-Doręczenia to cyfrowy odpowiednik listu poleconego w komunikacji z administracją. Właśnie dlatego fałszywe powiadomienie o nowej wiadomości, aktywacji skrzynki albo braku aktualnych danych może wyglądać bardzo wiarygodnie.

Podobny scenariusz może dotyczyć ePUAP, CEIDG, KRS, ZUS, urzędu skarbowego, platform dotacyjnych, BDO, systemów przetargowych albo portali samorządowych. W każdej z tych wersji oszust opiera się na tym samym odruchu: przedsiębiorca nie chce przegapić pisma, terminu ani obowiązku.

To nie jest tylko problem właściciela firmy. Taki mail może trafić do księgowości, administracji, sekretariatu, zarządu albo osoby, która kiedyś zakładała konto w systemie publicznym.

Jak powinien reagować odbiorca

Spraw urzędowych nie należy zaczynać z linku w mailu. Jeśli wiadomość mówi o skrzynce, dokumencie, aktualizacji danych albo terminie, trzeba wejść do systemu samodzielnie. Adres najlepiej wpisać ręcznie albo użyć zapisanej zakładki.

Jeżeli komunikat naprawdę istnieje, powinien być widoczny w oficjalnym portalu. Jeśli go tam nie ma, wiadomość należy traktować jako podejrzaną.

Nie należy też przesyłać takiego maila dalej bez komentarza. Formuła w stylu proszę pilnie sprawdzić może sprawić, że inna osoba potraktuje phishing jak potwierdzone zadanie. Lepiej przekazać wiadomość do weryfikacji z jasnym opisem: podejrzany mail, proszę nie klikać przed sprawdzeniem.

Co powinna zrobić firma

Firma powinna mieć mapę kanałów urzędowych. Kto obsługuje e-Doręczenia, ePUAP, CEIDG, KRS, ZUS, podatki, dotacje i przetargi. Gdzie sprawdza się prawdziwe wiadomości. Kto może logować się do systemów. Kto zatwierdza zmiany danych i płatności.

Bez takiej mapy każdy formalny mail może stać się pilnym zadaniem dla przypadkowej osoby. To ryzyko operacyjne, nie tylko problem świadomości użytkownika.

W testach phishingowych dla firm warto ćwiczyć takie sytuacje. Fałszywa faktura to tylko jeden wariant. Równie realistyczny jest fałszywy urząd, skrzynka, rejestr, aktualizacja danych albo komunikat o sankcjach.

Wniosek

Fałszywa wiadomość z RVO pokazuje, że phishing na przedsiębiorców może wyglądać jak nudna administracja. I właśnie dlatego jest skuteczny. Odbiorca nie widzi oszustwa. Widzi sprawę urzędową, którą trzeba załatwić.

Najważniejsza zasada jest prosta: urzędowych spraw firmowych nie obsługujemy z linku w mailu. Wchodzimy do systemu samodzielnie, sprawdzamy, czy wiadomość istnieje, i dopiero wtedy działamy.