Analiza incydentu: phishing i dezinformacja związane z KSeF

1. Kontekst: KSeF — nowe środowisko biznesowe w Polsce

Krajowy System e?Faktur (KSeF) to nowy obowiązkowy system fakturowania elektronicznego, który wszedł w życie 1 lutego 2026 r. i stopniowo obejmuje wszystkie firmy w Polsce, umożliwiając wystawianie, przesyłanie, odbieranie oraz przechowywanie faktur ustrukturyzowanych. System ten opiera się na krajowej infrastrukturze, działa na serwerach w Polsce i jest zabezpieczony kryptografią oraz testami odporności i bezpieczeństwa. 

Jednocześnie przed uruchomieniem KSeF resort finansów prowadził działania komunikacyjne, by rozwiać obawy i dezinformację dotyczącą jego bezpieczeństwa i funkcjonalności. 

2. Opis incydentu: kampania phishingowa wokół KSeF

W związku z rosnącym zainteresowaniem systemem KSeF pojawiły się pierwsze obserwowane kampanie phishingowe, w których przestępcy wysyłają wiadomości e?mail podszywające się pod Ministerstwo Finansów lub KSeF. Wiadomości te mogą wyglądać bardzo wiarygodnie – nawet z adresem, który z pierwszego spojrzenia przypomina oficjalny adres instytucji publicznej, co zwiększa ryzyko pomyłki i kliknięcia w link.

Analiza techniczna nagłówków wskazuje jednak, że takie e?maile często pochodzą z zewnętrznych serwerów (np. webmail.quinzanosag.com przez serwer aitt1.acens.net) — co jest klasycznym sygnałem phishingu, a nie komunikacją instytucji państwowej.

3. Główne techniki stosowane w atakach

Ataki phishingowe wokół KSeF wykorzystują kilka kluczowych mechanizmów, które podnoszą ich skuteczność:

1. Podszywanie się pod instytucje publiczne

• Nadawca maila wygląda jak „urząd” lub „system KSeF”, np. us.warszawe.prage@mf.gov.pl, podczas gdy mail tak naprawdę trafia z adresów trzecich, niezwiązanych z MF.
• Użytkownicy widząc „gov.pl” mogą zakładać, że wiadomość jest oficjalna.

2. Użycie „spoofowanych” adresów i linków

• Linki w treści prowadzą nie do oficjalnych stron MF/KSeF, lecz do fałszywych stron phishingowych.
• Zwykle są one skonstruowane tak, by wyglądały podobnie do prawdziwych (np. z dopiskiem, podobną ścieżką URL itp.).

3. Wykorzystanie niepewności i legitymacji prawnej

• KSeF jest nowym systemem obowiązkowym, co oznacza, że wiele firm jest w fazie przygotowania i może nie być pewnych, jak wygląda komunikacja systemowa.
• Cyberprzestępcy wykorzystują to, sugerując problem techniczny, konieczność „aktualizacji danych” lub podobne frazy.

4. Dlaczego ryzyko jest realne i wysokie

Duża skala użytkowników

System KSeF obejmuje dziś miliony faktur i setki tysięcy użytkowników, którzy po raz pierwszy muszą się z nim zmierzyć — to olbrzymia powierzchnia ataku.

Wysoki poziom zaufania do instytucji publicznych

Ludzie rzadko oczekują, że e?mail od instytucji rządowej może być fałszywy, szczególnie jeśli ma elementy „oficjalne”.

Brak automatycznej edukacji

Nowe systemy nie są jeszcze dobrze znane wśród użytkowników końcowych, a cyberprzestępcy wykorzystują brak świadomości, by skłonić użytkowników do kliknięć.

5. Podstawowe konsekwencje ataku

A. Kradzież danych uwierzytelniających

Użytkownicy mogą nieświadomie podać login/hasło do systemów ERP, księgowych lub e?mail, co umożliwi cyberprzestępcom dalszy dostęp do środowiska firmowego.

B. Infekcja złośliwym oprogramowaniem

Kliknięcie linku lub otwarcie załącznika może uruchomić malware, ransomware lub innego typu złośliwe narzędzie na stacji roboczej.

C. Utrata funduszy lub dokumentów

Dalsze działania z wykorzystaniem przejętych kont lub danych mogą prowadzić do manipulacji fakturami, strat finansowych lub naruszeń zgodności prawnej.

6. Studium przypadku: analiza takiego emaila

W jednym z analizowanych maili nadawca był opisany jako us.warszawe.prage@mf.gov.pl, co wizualnie przypomina adres instytucji państwowej. Jednak techniczne nagłówki SMTP wykazały, że:

Received: from webmail.quinzanosag.com (localhost [IPv6:::1])  

by aitt1.acens.net (Postfix)…

Taki nagłówek sugeruje, że mail został wysłany z serwera obsługiwanego przez zewnętrznego operatora (acens.net), a nie przez oficjalny system komunikacji Ministerstwa Finansów — to klasyczna cecha phishingu.

7. Wskazówki bezpieczeństwa — jak się bronić

Techniczne środki obrony

1. Włącz uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich kont firmowych.
2. Weryfikuj nagłówki e?mail (SPF/DKIM/DMARC), szczególnie gdy mail pochodzi z „oficjalnej” domeny.
3. Blokuj makra w załącznikach Office i skanuj pliki przed otwarciem.
4. Segmentuj środowisko IT — ogranicz dostęp do kluczowych systemów jedynie do zweryfikowanych hostów.

8. Edukacja i procesy organizacyjne

Szkolenia dla zespołów finansowych i IT

Pracownicy działów finansowych, księgowości i administracji powinni:

• wiedzieć, jak wygląda oficjalna komunikacja KSeF (ksef.podatki.gov.pl),
• znać typowe sygnały phishingowe (gróźb, presji czasu, nietypowych linków),
• potrafić zgłosić podejrzany mail do SOC lub zespołu bezpieczeństwa.

9. Oficjalne stanowisko i komunikacja

Ministerstwo Finansów ostrzegało przed dezinformacją w przestrzeni publicznej dotyczącą KSeF i zapewniało, że system jest bezpieczny, odporny na ataki i działa zgodnie z planem. Spotkania prasowe Resortu miały na celu prostowanie nieprawdziwych twierdzeń i uspokojenie przedsiębiorców. 

10. Podsumowanie

Atak phishingowy wokół KSeF to typowy wysoko ukierunkowany atak socjotechniczny, który wykorzystuje brak doświadczenia użytkowników oraz zaufanie do instytucji państwowych. Choć sam system KSeF nie był złamany, sama implementacja obowiązkowa sprawiła, że jest on atrakcyjnym pretekstem do kampanii oszustw i phishingu.

Kluczowe wnioski:

• edukacja użytkowników i szkolenia są tak samo ważne jak techniczne zabezpieczenia,
• MFA, weryfikacja nagłówków i monitoring anomalii to absolutne minimum,
• każdy mail związany z KSeF powinien być traktowany z podejrzliwością i weryfikowany samodzielnie, nie przez kliknięcie w link z treści.