Złośliwy załącznik w mailu. Uważaj na wiadomości z fakturą w archiwum ZIP

Złośliwy załącznik w mailu. Uważaj na wiadomości z fakturą w archiwum ZIP

2026-03-25

TL;DR

Mail z tematem Faktura i załącznikiem w archiwum ZIP może nie być zwykłym dokumentem do rozliczenia, ale próbą dostarczenia malware. W aktualnym alercie CERT Polska ostrzega, że taki schemat może prowadzić do uruchomienia złośliwego oprogramowania typu RAT, a dalej do utraty kontroli nad komputerem, wycieku danych i strat finansowych.

Najważniejsza zasada jest prosta: nie oceniaj wiadomości tylko po temacie i krótkiej treści. W przypadku załączników większe znaczenie niż sam opis ma to, kto wysłał wiadomość, jakiego pliku oczekujesz.

O co chodzi w kampanii z fałszywą fakturą

W komunikacie opublikowanym 25 marca 2026 CERT Polska opisał kampanię, w której oszuści wysyłają prosty mail o temacie Faktura i zachęcają odbiorcę do otwarcia załącznika. Problem polega na tym, że w archiwum nie musi znajdować się dokument księgowy, tylko plik prowadzący do infekcji urządzenia.

To scenariusz bardzo skuteczny, bo wykorzystuje coś zwyczajnego i znajomego. Faktura, korekta, rozliczenie, potwierdzenie płatności albo dokument od kontrahenta brzmią na tyle wiarygodnie, że wiele osób chce sprawdzić załącznik od razu, zanim zastanowi się nad szczegółami. Właśnie ten odruch jest tu wykorzystywany.

Jak działa atak krok po kroku

Wiadomość wygląda zwyczajnie

Atak nie musi zaczynać się od rozbudowanej, perfekcyjnie napisanej wiadomości. Czasem działa wręcz odwrotnie. Krótki mail z prostym tematem bywa skuteczny właśnie dlatego, że przypomina codzienną komunikację biznesową i nie budzi podejrzeń samą objętością.

W praktyce odbiorca widzi temat związany z fakturą, krótką treść i załącznik. Jeśli jest zajęty, działa automatycznie i traktuje wiadomość jak kolejną sprawę do odhaczenia.

Załącznik nie jest tym, czym się wydaje

W tym scenariuszu szczególne znaczenie ma format pliku. Archiwum ZIP może być użyte po to, by ukryć prawdziwą zawartość albo ominąć ostrożność użytkownika, który spodziewa się dokumentu, a dostaje paczkę z innym typem pliku.

Dlatego sama nazwa pliku nie wystarcza. Liczy się rozszerzenie, kontekst i to, czy naprawdę spodziewasz się wiadomości od tego nadawcy. Jeżeli nie czekasz na żadną fakturę, to nawet neutralnie wyglądający załącznik powinien zapalić lampkę ostrzegawczą.

Otwarcie pliku uruchamia malware

Po otwarciu archiwum i uruchomieniu zawartości może dojść do infekcji. W opisywanym przypadku CERT wskazuje na malware typu RAT, czyli oprogramowanie dające napastnikowi zdalny dostęp do komputera.

Na tym etapie problem przestaje być zwykłą pomyłką w obsłudze poczty. Zainfekowana stacja może stać się punktem wejścia do dalszych działań, takich jak kradzież danych, obserwacja aktywności użytkownika, wykorzystanie zapisanych sesji albo próba dalszego ruchu w środowisku firmowym.

Jak rozpoznać złośliwy załącznik w mailu

Pierwszy sygnał ostrzegawczy to brak kontekstu. Jeśli nie czekasz na fakturę, nie rozpoznajesz nadawcy albo wiadomość pojawia się bez żadnego wcześniejszego kontaktu, nie traktuj jej jak zwykłego dokumentu biznesowego. W wielu incydentach problem zaczyna się nie od technicznej sztuczki, ale od pośpiechu i automatycznego kliknięcia.

Drugi sygnał to format pliku. W codziennej pracy częściej spodziewasz się pliku PDF niż archiwum ZIP. Oczywiście istnieją legalne sytuacje, w których ktoś wysyła archiwum, ale wtedy zwykle wiesz, od kogo i po co je dostajesz. Jeśli widzisz archiwum bez sensownego kontekstu, potraktuj je ostrożnie.

Trzeci sygnał to sam scenariusz wiadomości. Przestępcy regularnie wykorzystują tematy, które mają skłaniać do szybkiej reakcji. Raz będzie to dokument finansowy, innym razem rzekome wygaszenie usługi albo problem z przesyłką. W podobnym duchu działają też inne kampanie opisywane na blogu PHISHLY, takie jak fałszywe maile o wygaśnięciu domeny czy mail o wstrzymanej przesyłce podszywający się pod Pocztę Polską.

Co zrobić, gdy dostaniesz taki mail

Jeśli wiadomość wygląda podejrzanie, najważniejsze jest zatrzymanie odruchu działania. Nie otwieraj załącznika tylko dlatego, że temat brzmi znajomo albo dotyczy finansów. Najpierw sprawdź, czy wiadomość ma sens biznesowy i czy rzeczywiście czekasz na taki dokument.

Z perspektywy użytkownika najlepiej działa prosty schemat:

  1. nie otwieraj załącznika od razu,
  2. sprawdź nadawcę i kontekst wiadomości,
  3. nie odpowiadaj odruchowo na podejrzany mail,
  4. zgłoś wiadomość zgodnie z firmową procedurą.

Jeśli w organizacji nie ma jeszcze prostych zasad zgłaszania takich sytuacji, warto oprzeć je na podstawowych rekomendacjach CISA dotyczących rozpoznawania i zgłaszania phishingu. Dla pracownika najważniejsze jest to, żeby nie analizować wszystkiego samodzielnie do końca, tylko szybko przekazać podejrzaną wiadomość do właściwej osoby lub zespołu.

Co zrobić, jeśli plik został już otwarty

Jeśli otworzyłeś załącznik i coś się uruchomiło, potraktuj sytuację poważnie, nawet jeśli na ekranie nie widać niczego nietypowego. W wielu przypadkach brak widocznych objawów nie oznacza, że nic się nie stało.

Najrozsądniejsze działania to przerwanie dalszej pracy, szybkie zgłoszenie incydentu i postępowanie zgodnie z instrukcją firmy. Jeżeli procedury na to pozwalają, warto ograniczyć połączenie urządzenia z siecią i nie próbować samodzielnie naprawiać sytuacji przypadkowymi narzędziami z internetu.

Najgorsze, co można zrobić, to przemilczeć zdarzenie z obawy przed oceną. Im szybciej dział IT lub security dowie się o otwarciu pliku, tym większa szansa, że uda się ograniczyć skutki i sprawdzić, czy zagrożenie objęło tylko jedną stację, czy coś więcej.

Co po takiej wiadomości powinna zrobić firma i dział IT

Dla organizacji taki mail nie jest tylko problemem pojedynczego użytkownika. To sygnał, że trzeba połączyć prostą edukację ludzi z techniczną ochroną poczty i czytelną ścieżką zgłaszania incydentów. Sam apel o ostrożność nie wystarczy, jeśli pracownik nie wie, komu i jak przekazać podejrzaną wiadomość.

Po stronie IT i security warto zadbać o kilka rzeczy jednocześnie: filtrowanie i skanowanie załączników, widoczne ostrzeżenia przy wiadomościach zewnętrznych, możliwość łatwego zgłoszenia podejrzanego maila oraz procedurę szybkiego sprawdzenia stacji po otwarciu ryzykownego pliku. Równie ważne jest cykliczne przypominanie pracownikom, że nie każdy dokument związany z fakturą, przesyłką czy kontem klienta jest tym, za co się podaje.

Najbardziej dojrzałe podejście nie polega na straszeniu użytkownika, ale na budowaniu nawyku zatrzymania się przed kliknięciem. To właśnie ten krótki moment weryfikacji najczęściej oddziela zwykły mail od incydentu, który może kosztować firmę znacznie więcej niż kilka minut uwagi.

Najczęstsze pytania

Czy plik .zip w mailu zawsze jest niebezpieczny

Nie. Archiwum ZIP samo w sobie nie jest złośliwe, ale może ukrywać pliki, które po uruchomieniu staną się zagrożeniem. Jeśli nie spodziewasz się takiego załącznika albo nadawca budzi wątpliwości, lepiej go nie otwierać.

Co zrobić, jeśli dostałem mail z fakturą od nieznanego nadawcy

Nie otwieraj załącznika i nie odpowiadaj odruchowo. Najpierw sprawdź, czy wiadomość ma sens w kontekście Twojej pracy, a jeśli budzi wątpliwości, zgłoś ją do IT lub security.

Co zrobić, jeśli otworzyłem załącznik i coś się uruchomiło

Potraktuj to jak incydent bezpieczeństwa. Przerwij dalszą pracę, odłącz urządzenie od sieci, jeśli pozwalają na to procedury, i jak najszybciej zgłoś sprawę do działu IT lub security.

Czy samo pobranie pliku oznacza już infekcję

Nie zawsze. W wielu scenariuszach zagrożenie pojawia się dopiero po otwarciu archiwum albo uruchomieniu pliku w środku. Mimo to samo pobranie podejrzanego załącznika warto zgłosić, bo może wymagać sprawdzenia urządzenia.

Źródła

  1. Faktura jako archiwum .zip w załączniku? Zachowaj czujność!Alert CERT Polska o kampanii malware rozsyłanej mailem z tematem Faktura
  2. Recognize and Report PhishingPraktyczne zalecenia dotyczące rozpoznawania i zgłaszania phishingu