CSIRT KNF

W 2025 roku obserwujemy ewolucję zagrożeń ze strony cyberprzestępców. 🔍 Oszuści wykorzystują coraz bardziej zaawansowane technologie oraz wyrafinowane metody ataków, które stają się coraz trudniejsze do wykrycia. 🚨 📊 Przedstawiamy: Krajobraz zagrożeń w polskim sektorze finansowym 2025 (GTL) 🏦 Kompleksowy przegląd kluczowych zagrożeń dla sektora finansowego. Każda sekcja zawiera metody ataków, przykłady incydentów oraz motywacje cyberprzestępców. 💡 🔗 Dokument dostępny tutaj: cebrf.knf.gov.pl/images/GTL_202…

W naszym comiesięcznym przeglądzie piszemy o aktualnych sposobach oszustw stosowanych przez cyberprzestępców. Zachęcamy do zapoznania się z materiałem przedstawiającym fałszywe kampanie zidentyfikowane przez @CSIRT_KNF w lutym 2026. Opracowanie dostępne jest tutaj: cebrf.knf.gov.pl/component/cont…

🚨Uwaga! Cyberprzestępcy przygotowali fałszywe strony podszywające się pod #SantanderBankPolska. 🕵️‍♂️Oszuści na niebezpiecznych stronach wyłudzają poświadczenia logowania do bankowości elektronicznej. ⚠️Nie dajcie się okraść i pamiętajcie o dokładnym weryfikowaniu adresu strony, na której się znajdujecie!

🚨Ostrzegamy przed kampanią phishingową, w której cyberprzestępcy podszywają się pod @Spotify, informując o rzekomym problemie z płatnością za subskrypcję. 📧W treści wiadomości e-mail znajduje się link prowadzący do fałszywej strony logowania, która łudząco przypomina oryginalny serwis. Użytkownik proszony jest o podanie loginu, hasła oraz danych karty płatniczej. 💡💸W rzeczywistości to próba wyłudzenia danych, które mogą zostać wykorzystane do przejęcia konta oraz kradzieży pieniędzy z konta bankowego. 🛡️Nie dajcie się oszukać!

🚨Uwaga na fałszywe strony bankowości elektronicznej! ⚠️Cyberprzestępcy przygotowali kampanie phishingowe podszywające się pod #VeloBank, #SantanderBankPolska oraz @PocztowyBank. 🕵️‍♂️ Oszuści na niebezpiecznych stronach wyłudzają dane logowania do bankowości elektronicznej. 🔍Bądźcie ostrożni i pamiętajcie o dokładnym weryfikowaniu adresu strony, na której się znajdujecie!

Uwaga! Ostrzegamy przed fałszywymi reklamami na portalu Facebook, w których cyberprzestępcy podszywają się pod @BNPParibas_PL i zachęcają do skorzystania z atrakcyjnej oferty. Po kliknięciu w reklamę użytkownik zostaje przekierowany na niebezpieczną stronę internetową, gdzie wymagane jest wypełnienie krótkiej ankiety oraz podanie swoich danych kontaktowych. Zachowajcie czujność i nie dajcie się okraść!

Poniżej prezentujemy przykłady reklam, w których cyberprzestępcy zachęcają użytkowników do realizacji fałszywych inwestycji: 2/2

Cyberprzestępcy zamieszczają reklamy fałszywych inwestycji w mediach społecznościowych, w których wykorzystują wizerunki znanych osób czy instytucji. Zespół @CSIRT_KNF zgłosił w lutym 1413 fałszywych reklam i 708 niebezpiecznych domen, które związane były z fałszywymi inwestycjami. Więcej danych w poniższej grafice: 1/2

🚨 Uwaga na technikę Browser-in-the-Browser (BitB) Cyberprzestępcy potrafią wyświetlić na stronie fałszywe okno logowania, które wygląda jak prawdziwa przeglądarka. W środku zobaczysz poprawną domenę (np. facebook.com, google.com), ale to tylko grafika będąca częścią strony kontrolowanej przez atakującego. 🔎 Jak rozpoznać oszustwo? ✔ prawdziwe okno przeglądarki można przeciągać poza stronę, a fałszywe „okno” zawsze pozostaje w jej obrębie ✔ menedżer haseł nie uzupełni danych na podrobionej stronie

🚨 Uwaga na fałszywe wiadomości podszywające się pod CSIRT KNF! Cyberprzestępcy rozsyłają SMS-y, w których informują o rzekomej podejrzanej transakcji i proszą o pilny kontakt pod wskazanym numerem telefonu. To próba wyłudzenia danych, kodów autoryzacyjnych lub nakłonienia do wykonania działań na szkodę użytkownika. ❗ W wiadomości znajduje się numer do oddzwonienia – nie dzwońcie pod niego i nie przekazujcie żadnych danych. Pamiętajcie: – nie działajcie pod presją czasu, – nie podawajcie kodów, haseł ani danych logowania, – nie potwierdzajcie operacji, których sami nie inicjowaliście. 📩 Podejrzane SMS-y prześlijcie bezpłatnie na numer 8080. W ten sposób pomagacie ostrzegać innych i ograniczać działania oszustów.

Cyberprzestępcy nie ustępują w tworzeniu nowych stron phishingowych. Tylko w styczniu 2026 nasz zespół zgłosił do zablokowania 1081 niebezpiecznych domen. W poniższym wpisie wskazujemy na najczęściej występujące kategorie domen, które oszuści wykorzystywali w atakach na użytkowników cyberprzestrzeni. Poniżej prezentujemy przykłady zidentyfikowanych kampanii. Fałszywe inwestycje Cyberprzestępcy przygotowali fałszywe strony, na których podszywali się pod Polskie Linie Lotnicze LOT i oferowali specjalny program przynoszący ogromne zyski. Oszuści wymagali dokonania rejestracji, aby w kolejnym kroku nawiązać kontakt telefoniczny i namawiać do zainwestowania oszczędności. Fałszywe sklepy W ostatnim miesiącu oszuści przygotowali także fałszywe strony, gdzie podszywali się pod znane marki i zachęcali atrakcyjnymi rabatami. W rzeczywistości, na niebezpiecznych stronach wyłudzali dane i informacje o kartach płatniczych. Usługi kurierskie Cyberprzestępcy wykorzystywali także wizerunek firmy kurierskiej @InPostPL. Na niebezpiecznych stronach informowali o rzekome konieczności zweryfikowania konta. W rzeczywistości, po kliknięciu w link użytkownik trafiał na niebezpieczną stronę, na której wyłudzane były informacje o kartach płatniczych.

Cyberprzestępcy publikowali reklamy fałszywych inwestycji w mediach społecznościowych, w których zachęcali do dołączenia do specjalnego programu przynoszącego ogromne zyski. W tym przypadku reklamy nie kierowały do niebezpiecznych stron, gdzie należało dokonać rejestracji. Oszuści wykorzystywali w tym celu formularze na platformie @facebook. Wprowadzone tam dane trafiały bezpośrednio w ręce cyberprzestępców! 2/2

Cyberprzestępcy zamieszczają reklamy fałszywych inwestycji w mediach społecznościowych, w których wykorzystują wizerunki znanych osób czy instytucji. Zespół @CSIRT_KNF zgłosił w styczniu 1354 fałszywe reklamy i 663 niebezpieczne domeny, które związane były z fałszywymi inwestycjami. Więcej danych w poniższej grafice: 1/2

IoC 1st stage: app name: Token U2F Mobilna Ochrona Alior pkg name: com.cup[.]behind MD5: 479133a68b0364db80a5cc098a72969f SHA1: 0b52af20ad50b82c3511a896559d41e3a67b37a2 SHA256: 4601de330d196fa9e58fecc6901576f7a2f11428032dee8029915edff56ca2d8 CERT SHA1: 09bd9f35beed7892894ba6927850fda4c2cc293b 2nd stage: app name: System Update pkg name: com.say[.]output MD5: 3b527ebcbd33e507bd5432c6e16bde76 SHA1: 55fd94fdc0aac8285d1469574085fee662c9f4a9 SHA256: 2349bd69d35e5518cb7c7e908ae5d2c6553cf1bd3bd9eb9e32e1369fd17e98eb CERT SHA1: 7a752f4fe2782ee6b6c4dd946afb5b1009ec6e3b

🚨 Uwaga! Ostrzegamy przed fałszywą aplikacją pod nazwą „Token U2F Mobilna Ochrona Alior". 🕵️‍♂️ Fałszywa aplikacja informuje o wymaganym komponencie Play, mającym służyć zapewnieniu bezpiecznej i stabilnej funkcjonalności. Przejście przez kolejne etapy, prowadzi użytkownika do ekranu związanego z przydzielaniem uprawnień do funkcji ułatwień dostępu, co w konsekwencji może skutkować przejęciem przez aplikację kontroli nad urządzeniem. 💡Bądźcie ostrożni i pamiętajcie o pobieraniu aplikacji wyłącznie z zaufanych źródeł. CC: @AliorBankSA

W naszym comiesięcznym przeglądzie piszemy o aktualnych sposobach oszustw stosowanych przez cyberprzestępców. Zachęcamy do zapoznania się z materiałem przedstawiającym fałszywe kampanie zidentyfikowane przez @CSIRT_KNF w styczniu 2026. Opracowanie dostępne jest tutaj: cebrf.knf.gov.pl/component/cont…

🚨Uwaga! Ostrzegamy klientów biznesowych @PKOBP przed fałszywymi witrynami które pojawiają się wysoko w wynikach wyszukiwarki #Bing. 🕵️‍♂️Wejście w link przekierowuje na niebezpieczną stronę, na której oszuści wyłudzają dane logowania użytkowników do bankowości elektronicznej. 🔐Bądźcie ostrożni i nie dajcie się okraść!

Jednym z działań, które podejmujemy jako @CSIRT_KNF, jest analiza złośliwego oprogramowania. Dzięki temu możemy dzielić się z Wami aktualną wiedzą o metodach działania oszustów oraz wzmacniać dobre nawyki cyberbezpieczeństwa. 💡Pamiętacie jak ostrzegaliśmy Was przed sposobem oszustwa wykorzystującym NFC Relay? 🎥Przygotowaliśmy dla Was krótkie wideo, na którym pokazujemy, jak zachowuje się fałszywa aplikacja w momencie przyłożenia karty do interfejsu NFC w telefonie oraz wyjaśniamy mechanizm działania tego typu ataku. Na potrzeby prezentacji wykorzystaliśmy zmodyfikowaną przez nas wersję złośliwej aplikacji oraz kartę RFID (to nie jest karta płatnicza). Pokazujemy, jak identyfikator może zostać przekazany na odległość do innego urządzenia, a następnie odczytany z wykorzystaniem czytnika NFC. ✅ Jak ograniczyć ryzyko: - Instaluj aplikacje wyłącznie z oficjalnych sklepów - Jeśli ktoś prosi Cię o przyłożenie karty do telefonu „dla weryfikacji” lub „anulowania” — potraktuj to jako sygnał ostrzegawczy i zweryfikuj sytuację oficjalnym kanałem (np. telefonem do banku).

⚠️ Kupujesz prezent na walentynki? Uważaj na fałszywe sklepy na portalu @facebook! 🛍️ Oszuści promują fałszywe reklamy i „super rabaty”, podszywając się pod znane marki. Linki prowadzą do stron wyłudzających dane osobowe i informacje o kartach płatniczych. Nie wierz w oferty, które kuszą bardzo atrakcyjnymi rabatami – cyberprzestępcy używają tego chwytu, aby Cię okraść! Pamiętaj o weryfikacji adresu strony, na której się znajdujesz!

Oszuści, aby uwiarygodnić swoje działania wykorzystują technikę „deepfake”. W zamieszczanych nagranich wideo podszywają się pod znanych influencerów i w ten sposób próbują okradać użytkowników. Nie wierzcie w oferty szybkiego zysku, w krótkim czasie! Takie okazje w rzeczywistości się nie zdarzają! 2/2

Uwaga! Cyberprzestępcy zamieszczają reklamy fałszywych inwestycji w mediach społecznościowych oferujące rzekomy program rządowy. Po kliknięciu w reklamę użytkownik trafia na platformę podszywającą się pod portal #GOVPL i promującą usługę „GOV PL Bot”. Cyberprzestępcy na fałszywych stronach wymagają wprowadzenia danych osobowych, aby w kolejnym kroku kontaktować się z ofiarami i zachęcać do zainwestowania oszczędności. Bądźcie czujni! 1/2