Fałszywe maile od Ministerstwa Cyfryzacji do samorządów – jak się zabezpieczyć?

Coraz więcej ataków phishingowych na samorządy

W ostatnich miesiącach urzędy i jednostki samorządu terytorialnego stały się celem nowej kampanii phishingowej. Oszuści rozsyłają fałszywe maile od Ministerstwa Cyfryzacji do samorządów. Podszywają się nich pod Ministerstwo i wiceministra Pawła Olszewskiego. Atak ma na celu wyłudzenie poufnych danych lub zainfekowanie systemów złośliwym oprogramowaniem. Oszuści rozsyłają fałszywe maile na adresy mailowe samorządów – wiadomości te zawierają szkodliwe załączniki lub formularze wyłudzające dane kontaktowe osób odpowiedzialnych za cyberbezpieczeństwo. W jednym z wariantów oszuści proszą o sprawdzenie danych osobowych pracowników w dołączonym pliku, który w rzeczywistości przekierowuje do złośliwego oprogramowania typu malware. W drugim wariancie – udają, że w ramach programu cyberbezpieczeństwa proszą o dane kontaktowe do odpowiednich pracowników. Adres e-mail nadawcy często kończy się fałszywą domeną (np. govministry.pl zamiast prawdziwej gov.pl), co powinno wzbudzić podejrzenia.

Fałszywe maile od Ministerstwa Cyfryzacji – jak zareagować?

Ministerstwo Cyfryzacji i rządowa instytucja CERT Polska (CSIRT NASK) ostrzegają, że prawdziwy nadawca maili z resortu używa domen cyfra.gov.pl lub gov.pl, nigdy nie prosi o podawanie haseł ani innych poufnych danych poprzez e-mail czy media społecznościowe. W związku z tym zalecamy, aby:

• weryfikować adres nadawcy: upewnić się, że wiadomość pochodzi z oficjalnego adresu (kończącego się na @gov.pl); fałszywe maile często używają podobnych domen, które nie są związane z administracją rządową;
• nie otwierać podejrzanych załączników: w żadnym wypadku nie należy uruchamiać załączników ani klikać linków z nieznanych źródeł; Ministerstwo Cyfryzacji przypomina, że nigdy nie wysyła wiadomości z prośbą o podanie haseł lub innych danych osobowych;
• zweryfikować prawdziwość informacji: w razie wątpliwości najlepiej zweryfikować wiadomość bezpośrednio u źródła – skontaktować się telefonicznie lub osobiście z instytucją, której wizerunek został użyty, lub z osobą zajmującą się cyberbezpieczeństwem w swoim urzędzie;
• zgłaszać incydenty: każde podejrzane zdarzenie należy niezwłocznie zgłosić do właściwego zespołu CSIRT (dla jednostek samorządowych – do CSIRT NASK) oraz skorzystać z list ostrzeżeń operatorów telekomunikacyjnych.

Przykłady podobnych oszustw ostatnich miesięcy

Mechanizm tych ataków nie jest nowy. Próby podszywania się pod różne instytucje państwowe miały miejsce już wcześniej. Na początku 2023 roku Zespół CSIRT NASK ostrzegał przed phishingiem wykorzystującym wizerunek Ministerstwa Finansów. Cyberprzestępcy utworzyli fałszywą stronę informującą o „jednorazowym świadczeniu finansowym” dla obywateli RP – w rzeczywistości celem było wyłudzenie danych logowania do bankowości internetowej oraz innych danych osobowych. Ofiary wypełniały formularz na stronie, podając m.in. imię, nazwisko, PESEL i informacje bankowe, a później otrzymywały SMS-y ze złośliwymi linkami do fałszywych portali bankowych. Ten scenariusz pokazuje, że nie tylko urzędnicy, ale również zwykli obywatele powinni zachować ostrożność.

Innym przykładem jest kampania podszywająca się pod Krajową Administrację Skarbową (KAS) z prośbą o „zwrot podatku”. Oszuści wysyłali e-maile, w których zachęcano do zeskanowania kodu QR prowadzącego do fałszywego systemu płatniczego. Celem było wyłudzenie loginów do banków lub Systemu e-TOLL. Ten przypadek potwierdza, że ataki phishingowe przyjmują różne formy, ale zawsze sprowadzają się do jednej pułapki: ofiara wykonuje czynność (klika link, otwiera załącznik, podaje dane), która przenosi kontrolę nad jej kontami do przestępców. Przeczytaj, jak rozpoznać oszustwo na szefa lub księgową.

Zabezpieczenia poczty e-mail (SPF, DKIM, DMARC)

Aby utrudnić cyberoszustom podszywanie się pod oficjalne adresy mailowe, jednostki administracji publicznej powinny wdrożyć podstawowe protokoły autoryzacji poczty. Istnieją trzy podstawowe zabezpieczenia:

• SPF (Sender Policy Framework) pozwala wskazać, z których serwerów e-mail może być wysyłana poczta w imieniu danej domeny – weryfikuje adres IP nadawcy.
• DKIM (DomainKeys Identified Mail) dodaje do każdej wiadomości cyfrowy podpis, co pozwala odbiorcy sprawdzić, czy treść wiadomości nie została zmieniona oraz potwierdza, że mail pochodzi z autentycznego serwera dla danej domeny.
• DMARC (Domain-based Message Authentication, Reporting and Conformance) to warstwa nadbudowująca SPF i DKIM – określa politykę postępowania z wiadomościami nieprzechodzącymi weryfikację (np. odrzuca je lub kieruje do spamu) oraz umożliwia raportowanie prób podszywania się.

Wdrożenie tych mechanizmów wymaga współpracy z administratorem serwera pocztowego. Administrator Systemów Informatycznych w urzędzie powinien regularnie monitorować raporty DMARC, które pokazują próby nadużyć (lista nadawców, którzy próbowali wysłać maile w naszej domenie) oraz aktualizować rekordy SPF/DKIM przy każdym zmianie usług mailowych. Poprawnie skonfigurowane mechanizmy SPF/DKIM/DMARC znacznie podniosą bezpieczeństwo poczty urzędowej i utrudnią przestępcom podszywanie się pod służbowe adresy.

Szkolenia i budowanie świadomości pracowników

Techniczne zabezpieczenia to jedno, ale równie ważna jest cyberedukacja pracowników urzędów. Regularne szkolenia online – np. na platformie szkoleniowej CYBER3 – pomagają podnieść czujność pracowników na ataki phishingowe. Nasza platforma oferuje interaktywne kursy, które pozwalają poznać typowe scenariusze ataków. Dzięki temu nawet mniej doświadczeni urzędnicy uczą się rozpoznawać znaki ostrzegawcze: nietypowy nadawca, presja czasu w treści wiadomości, prośba o przekazanie danych wrażliwych czy podejrzane linki.

Na życzenie przeprowadzamy także szkolenia powiązane z symulowanym atakiem phishingowym. Po takim szkoleniu urząd otrzymuje raporty pokazujące, ile osób rozpoznało atak, a ile kliknęło w fałszywy link – to cenne informacje do dalszego podnoszenia świadomości. Z raportu CSIRT NASK wynika, że w 2024 roku znacznie wzrosła liczba ataków typu phishing, dlatego regularne edukowanie personelu jest niezbędne, by skutecznie przeciwdziałać tym zagrożeniom.

Rekomendacje i podsumowanie

Aby skutecznie chronić urząd przed opisanymi oszustwami, zalecamy:

• Zabezpieczyć skrzynki mailowe: Konfigurować rekordy SPF, DKIM i DMARC dla domeny urzędu oraz regularnie aktualizować te ustawienia. Dzięki temu fałszywe wiadomości z zewnątrz będą odrzucane lub kierowane do folderu „spam”.
• Weryfikować autentyczność korespondencji: Zwracać uwagę na pełny adres e-mail nadawcy i końcówkę domeny. Nigdy nie reagować na prośby o ujawnienie haseł czy numerów PESEL.
• Prowadzić testy i szkolenia phishingowe: Cykl szkoleń w trybie e‑learning (np. na platformie CYBER3) i regularne symulowane kampanie phishingowe sprawdzą czujność pracowników. Im częściej urzędnicy będą ćwiczyli reagowanie na fałszywe e-maile, tym lepiej rozpoznają realne próby oszustwa.
• Budować kulturę bezpieczeństwa: W BIP i na zebraniach przypominać pracownikom o zagrożeniach, wymieniać się przykładami aktualnych ataków. Zachęcać do rozwagi i zgłaszania do informatyka wszystkich podobnych incydentów.
• Raportować incydenty: W razie jakichkolwiek podejrzeń niezwłocznie zgłosić incydent do CSIRT NASK poprzez portal incydent.cert.pl. Współpraca z CSIRT umożliwia szybką analizę ataku i zastosowanie odpowiednich środków zapobiegawczych dla innych urzędów.

Autor: Artur Janicki

---

To może Cię zainteresować:

• Oszustwo mailowe na szefa lub księgową – jak rozpoznać spoofing
• Oszustwa na SMS – jak działa phishing SMS i jak się chronić
• Bezpieczne hasła w pracy: dlaczego 'Janek123′ to zły wybór?
• Dr inż. Marek Doering o bezpieczeństwie informacji i ciągłości działania w szpitalach – relacja z konferencji „Jakość i Lean w Medycynie”
• Bezpieczeństwo informacji według projektu Ustawy o Krajowym Systemie Cyberbezpieczeństwa
• Ulga na bezpieczeństwo?
• Cyberflashing – czym jest i jak się przed tym chronić?
• Cyberbezpieczeństwo w samorządach kuleje