Ogłoszenia

Publikujemy wydanie raportu miesięcznego o stanie cyberbezpieczeństwa w Polsce w marcu 2026 roku.

📌 Raport za marzec 2026 jest dostępny pod tym linkiem – https://cert.pl/uploads/docs/Podsumowanie_CERT_Polska_2026_03.pdf

W każdym wydaniu raportu miesięcznego znajdziesz:

• najnowsze statystyki incydentów,

• opisy aktualnych kampanii i technik ataków,

• działania zespołu na rzecz edukacji i współpracy,

• rekomendacje, jak chronić siebie i swoje systemy.

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/45/raport-miesieczny-za-marzec-2026/

🎧 CERT Polska obserwuje kampanię phishingową wykorzystującą wizerunek Spotify. Oszuści informują o nieudanej płatności za konto premium i naciskają na reakcję użytkownika strasząc utratą dostępu.

📩 Wiadomość zawiera odnośnik prowadzący do fałszywej strony przypominającej prawdziwą platformę streamingową. Odbiorca proszony jest o podanie danych logowania i szczegółów karty płatniczej, które w rzeczywistości trafiają do przestępców.

🔐 Jak się chronić?

🔹 Zawsze weryfikuj adres nadawcy wiadomości oraz domenę strony internetowej przed podaniem danych – nawet drobna różnica świadczy o próbie oszustwa!

🔹 Sprawdź status subskrypcji bezpośrednio w aplikacji lub na oficjalnej stronie

🔹 Zachowaj czujność wobec komunikatów wymagających pilnego działania – presja czasu to częsty element oszustwa

📣 Podejrzane wiadomości i strony zgłaszaj do CERT Polska poprzez formularz na incydent.cert.pl lub w aplikacji mObywatel (usługa „Bezpiecznie w sieci”).

---

---

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/44/ktos-gra-nieczysto-problem-z-platnoscia-za-muzyke/

Zespół CERT Polska informuje o ataku typu supply chain na dostawcę rozwiązań CPU-Z oraz HW-Monitor i zaleca niezwłoczną weryfikację posiadanej wersji oprogramowania.

Pomiędzy 09.04.2026 a 10.04.2026 strona producenta tych rozwiązań (cpuid.com) przekierowywała żądania pobrania plików do zasobów kontrolowanych przez atakującego, na których znajdowała się zmodyfikowana wersja oprogramowania zawierająca szkodliwy plik CRYPTBASE.dll (normalnie nie występujący w tym oprogramowaniu). Potencjalnie narażone są osoby, które w przeciągu ostatnich 24h instalowały nową wersję bądź aktualizowały to oprogramowanie do najnowszej wersji.

Lista IoC:

• cpu-z_2.19-en.zip eff5ece65fb30b21a3ebc1ceb738556b774b452d13e119d5a2bfb489459b4a46

• cpu-z_2.19-en.zip 9932fa8d24b3e9a1e39a722fe6e34e75cdd3feb51fcdab67d636d95b4f068935

• hwmonitor_1.63.zip 3e791c88d49ac569bc130fc9f41bd7422b4fd24f32458e11e890647478005a7f

• hwmonitor_1.63.zip 3d91f442ddc055e19e3710482e1605836c799249dacd43d99843257a3affd2d2

• hwmonitor-pro_1.57.zip 1009987fe47573275735cc7a5d47b3b96800366784f4155ac416e70cad80ed34

• HWMonitorPro_1.57_Setup.exe 66ad4aaf260a5173d8eaa14db52629fd361add8b772f6a4bcc5c10328f0cc3c0

• HWiNFO_Monitor_Setup.exe eefc0f986dd3ea376a4a54f80ce0dc3e6491165aefdd7d5d6005da3892ce248f

• CRYPTBASE.dll 49685018878b9a65ced16730a1842281175476ee5c475f608cadf1cdcc2d9524

• CRYPTBASE.dll aec12d6547e34206a7213c813e6fb95e70a7f16b13a27dd1c50bd69dbebbefa8

• CRYPTBASE.dll 98e0f9c8f5342c1924b3f4c3a7b6b1a566cec326e28b391c47ac7c24f6738dba

• C2 hxxps://welcome[.]supp0v3[.]com/d/callback

• Malware Hosting hxxps://pub-45c2577dbd174292a02137c18e7b1b5a[.]r2.dev

Zalecamy niezwłoczną weryfikację Państwa systemów pod kątem powyższych wskaźników, a w przypadku ich wykrycia prosimy o jak najszybszy kontakt.

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/43/atak-typu-supply-chain-na-oprogramowanie-cpu-z-oraz-hw-monitor/

Zespół CERT Polska informuje o krytycznej podatności w oprogramowaniu FortiClientEMS i zaleca niezwłoczną aktualizację podatnych urządzeń.

Podatność CVE-2026-35616 umożliwia zdalne wykonanie kodu przez nieautoryzowanego użytkownika poprzez przesłanie odpowiednio przygotowanego żądania.

Lista podatnych wersji wraz z instrukcjami mitygacji zagrożenia została opublikowana na stronie producenta: https://fortiguard.fortinet.com/psirt/FG-IR-26-099

Zalecamy jak najszybszą weryfikację i aktualizację urządzeń, a w przypadku wykrycia śladów potencjalnego naruszenia prosimy o niezwłoczny kontakt.

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/42/krytyczna-podatnosc-w-oprogramowaniu-forticlient-ems/

📩 CERT Polska obserwuje kampanię wykorzystującą temat rozliczeń zdrowotnych.

Do użytkowników trafiają wiadomości informujące o rzekomych nieprawidłowościach w rozliczeniach składek NFZ. W treści pojawia się prośba o weryfikację danych oraz link prowadzący do strony, która ma sprawiać wrażenie oficjalnego serwisu.

🔗 Strona została przygotowana tak, aby przypominać zaufany portal – jej celem jest pozyskanie danych, takich jak loginy, dane osobowe czy informacje finansowe.

🔐 Jak zadbać o bezpieczeństwo swoich danych?

🔹 Sprawdź dokładnie adres strony, na którą prowadzi komunikat

🔹 Zamiast przechodzić przez linki zawarte w wiadomościach wyszukaj adres oficjalnej strony samodzielnie

🔹 Porównaj treść otrzymanej informacji z komunikatami publikowanymi w oficjalnych kanałach instytucji

📣 Podejrzane wiadomości i strony zgłoś do CERT Polska przez formularz na stronie incydent.cert.pl lub w aplikacji mObywatel (usługa „Bezpiecznie w sieci”).

---

---

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/41/blad-w-naliczeniach-skladek-komunikaty-wykorzystywane-przez-cyberoszustow/

Zespół CERT Polska informuje o krytycznej podatności w oprogramowaniu Cisco Integrated Management Controller (IMC) i zaleca niezwłoczną aktualizację podatnych urządzeń.

Podatność CVE-2026-20093 o CVSS 9.8 umożliwia przejęcie konta administratora poprzez przesłanie odpowiednio przygotowanego żądania HTTP. Szczegółowa lista podatnych urządzeń została opublikowana na stronie producenta: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-auth-bypass-AgG2BxTn

Cisco IMC to integralny moduł wielu urządzeniach tej firmy, dlatego podatność może obejmować szeroki zakres sprzętu sieciowego Cisco. Zalecamy zapoznanie się z wytycznymi producenta, zweryfikowanie, czy podatność dotyczy wykorzystywanych urządzeń, oraz niezwłoczne podjęcie wymaganych działań w celu jej wyeliminowania.

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/40/krytyczna-podatnosc-w-oprogramowaniu-cisco/

📢 Obserwujemy kolejną falę e-maili podszywających się pod Krajową Administrację Skarbową.

📩 Wiadomości zawierają link do strony przypominającej Platformę Usług Elektronicznych Skarbowo-Celnych i informują o rzekomej możliwości odebrania zwrotu podatku.

🔗 Po przejściu na stronę użytkownik proszony jest o podanie danych osobowych - w tym numeru PESEL - a następnie danych karty płatniczej. Strona może wyglądać wiarygodnie, jednak służy wyłudzeniu informacji.

🔍 Na co zwrócić uwagę?

🔹 adres strony (czy zgadza się z oficjalną domeną?)

🔹 sposób komunikacji (czy nakładana jest presja czasu?)

🔹 potwierdzenie w oficjalnych systemach (czy jeśli zaloguję się na samodzielnie znalezionej oficjalnej stronie instytucji zobaczę ten sam komunikat?)

🔔 Przypominamy także o możliwości zastrzeżenia numeru PESEL - zrobicie to w aplikacji mObywatel lub w urzędzie gminy.

📲 Podejrzane wiadomości i strony zgłaszaj do CERT Polska przez formularz na stronie incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!

---

---

---

---

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/39/zwrot-podatku-do-odebrania-zweryfikuj-zanim-podasz-swoje-dane/

Zespół CERT Polska przypomina o podatności w rozwiązaniu F5 BIG IP oraz zaleca niezwłoczną aktualizację oprogramowania

Producent zaktualizował zakres podatności CVE-2025-53521, który teraz zawiera Remote Code Execution, oraz CVSS 9.8. Poprawka bezpieczeństwa wydana pierwotnie w październiku 2025 chroni przed wykorzystaniem podatności.

Nasz zespół zaleca niezwłoczną weryfikację posiadanej wersji oprogramowania i sprawdzenie wskaźników infekcji również w przypadku, w którym oprogramowanie zostało zaktualizowane bez zbędnej zwłoki. W przypadku wykrycia śladów kompromitacji, prosimy o kontakt z naszym zespołem oraz z producentem.

Więcej informacji o podatności, wskaźnikach infekcji i potrzebnych działaniach można znaleźć na stronie producenta: https://my.f5.com/manage/s/article/K000156741

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/38/krytyczna-podatnosc-w-oprogramowaniu-f5-big-ip/

📩 Do CERT Polska trafiają zgłoszenia dotyczące SMS-ów o rzekomych punktach Allegro, które mają wkrótce wygasnąć.

🔗 Wiadomości zawierają link oraz zachętę do szybkiego wykorzystania punktów i wyboru nagrody.  Kliknięcie w link prowadzi do strony przypominającej oficjalny serwis sprzedażowy. Użytkownik proszony jest o podanie danych karty płatniczej pod pretekstem „aktywacji nagrody”.

💡 Link nie jest aktywny? Przestępcy pomyśleli także o tym! Proszą o odesłanie wiadomości o treści „Tak”, co pozwala obejść zabezpieczenia telefonów przed linkami w niechcianej korespondencji.

🔐 Zawsze zwracaj uwagę na adres strony oraz sposób komunikacji – szczególnie gdy pojawia się presja czasu. Oszuści wykorzystują socjotechniki - sposoby manipulacji - by przekonać Cię do podjęcia błędnej decyzji.

📲 Podejrzane SMS-y przekaż na darmowy numer 8080 ✅ Chronisz w ten sposób siebie i innych!

---

---

---

---

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/37/masz-punkty-do-wykorzystania-nowy-wariant-kampanii-phishingowej/

Komunikat Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa

W ostatnim czasie obserwowana jest wroga działalność grup hakerskich, szczególnie ukierunkowana na podmioty z sektora ochrony zdrowia. W odpowiedzi na cyberataki Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa przedstawił wskaźniki i zalecenia, które mają pomóc zwiększyć ochronę podmiotów krajowego systemu cyberbezpieczeństwa.

Zachęcamy do zapoznania się z pełną treścią komunikatu.

Źródło komunikatu: https://www.gov.pl/web/cyfryzacja/komunikat-pelnomocnika-rzadu-do-spraw-cyberbezpieczenstwa--zalecenia-dla-sektora-ochrony-zdrowia-i-innych-podmiotow-ksc

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/36/zalecenia-dla-sektora-ochrony-zdrowia-i-innych-podmiotow-ksc/

⚠️ Pisaliśmy już dziś o jednym schemacie, jednak przestępcy nie próżnują.

📂  Otrzymujemy zgłoszenia wiadomości e-mail informujących o „naruszeniu praw autorskich”. Oszuści podszywają się pod agencje marketingowe, a w treści wiadomości znajduje się link prowadzący do rzekomych dowodów w sprawie.

🔍 Po kliknięciu w link rozpoczyna się pobieranie pliku. Uruchomienie go powoduje instalację złośliwego oprogramowania typu stealer. Może ono przechwytywać dane zapisane w przeglądarce, w tym loginy, hasła i inne wrażliwe informacje.

🛡️ Jeśłi otrzymacie taką wiadomość warto:

▪ sprawdzić adres nadawcy i domenę – literówki i błędy mogą oznaczać, że ktoś podszywa się pod prawdziwą firmę;

▪ skontaktować się z firmą innym kanałem kontaktu;

▪ zwrócić uwagę na presję czasu nakładaną w treści wiadomości – to popularna socjotechnika wykorzystywana przez cyberoszustów;

▪ sprawdzić rozszerzenie pliku - niektóre typy (na przykład .exe lub .js) bezpośrednio wskazują na złośliwe oprogramowanie.

📩 Podejrzane wiadomości i strony zgłaszaj do CERT Polska przez incydent.cert.pl lub w aplikacji mObywatel (usługa „Bezpiecznie w sieci”).

---

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/35/rzekome-naruszenie-praw-autorskich-schemat-wykorzystywany-do-wysylki-zlosliwego-oprogramowania/

👾 Obserwujemy kolejną kampanię dystrybucji złośliwego oprogramowania. Oszuści wysyłają prosty mail o tytule "Faktura" i lakonicznej treści zachęcającej do otwarcia załącznika.

🐀 W pliku znajduje się złośliwe oprogramowanie typu RAT (Remote Access Trojan), pozwalające na zdalny dostęp do komputera odbiorcy. Uruchomienie załącznika może prowadzić do utraty kontroli nad urządzeniem, a w konsekwencji także wycieków danych i strat finansowych.

📦 Zwracaj uwagę na rozszerzenia plików, które otrzymujesz od nieznanych nadawców - formaty takie jak .zip, .tar, .exe, .js czy .7z mogą sugerować, że zawartość załącznika jest inna niż obiecuje treść maila.

👉 Podejrzane wiadomości zgłaszaj za pomocą formularza na http://incydent.cert.pl

---

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/34/faktura-jako-archiwum-zip-w-zalaczniku-zachowaj-czujnosc/

📊 Rozliczenia i rachunki to zawsze dobry pretekst dla cyberprzestępców. W nowej odsłonie kampanii pojawia się informacja o rzekomej nadpłacie wynikającej z podwójnego opłacenia faktury.

🔗 Wiadomość zachęca do „odebrania zwrotu” poprzez kliknięcie w link. Strona, do której ten link prowadzi, przypomina panel klienta dostawcy energii. Wprowadzone tam dane logowania trafiają bezpośrednio do przestępców.

🛡️ Jak możesz zadbać o bezpieczeństwo swoich danych?

🔹 Zweryfikuj należność logując się samodzielnie do panelu klienta lub przez oficjalną aplikację;

🔹 zwróć uwagę na adres strony – nawet drobne różnice mogą świadczyć o podszyciu;

🔹 zachowaj ostrożność wobec komunikatów o „zwrotach”, zwłaszcza takich, które wywierają presję na szybkie działanie.

📩 Podejrzane wiadomości i strony przekaż do CERT Polska przez formularz na incydent.cert.pl, lub w aplikacji mObywatel (usługa „Bezpiecznie w sieci”).

---

---

Wiadomość pochodzi ze strony https://moje.cert.pl/komunikaty/2026/33/zwrot-nadplaty-za-prad-kolejna-odslona-kampanii-podszywajacej-sie-pod-dostawce-energii/