Brak kategorii

Twój mail „traci ważność”? To oszustwo! Trwa zmasowana kampania phishingowa

W dniach 3–4 czerwca 2026 r. wykryto zmasowaną, skoordynowaną kampanię phishingową wymierzoną w szczególności w instytucje edukacyjne i jednostki publiczne (m.in. w Polsce). Atakujący przejął prawdziwe konta e‑mail zaufanych instytucji, dlatego wiadomości wyglądają wiarygodnie i przechodzą wszystkie filtry (SPF, DKIM, DMARC).

 

Typowa treść fałszywych wiadomości dotyczy rzekomego wygasania konta lub hasła, np.:

 

„Hasło do Twojej skrzynki pocztowej jan.kowalski@fantazja.pl wygasło. System wyloguje Cię i wygeneruje nowe hasło dokładnie o 24 godziny od 7 Jun 2026. Możesz nadal używać swojego aktualnego hasła. Użyj poniższego przycisku, aby nadal używać aktualnego hasła. [Zachowaj aktualne hasło]”.

 

Zasada ogólna: nigdy nie klikajmy w linki ani przyciski z wiadomości o treści typu „Twoje konto traci ważność / hasło wygasa / zachowaj hasło / potwierdź konto” – zamiast tego zawsze logujmy się do poczty WYŁĄCZNIE przez znany, własnoręcznie wpisany adres (np. webmail / portal służbowy).

 

Scenariusz 1 – NIE kliknęłam/kliknąłem w wiadomość (konto prawdopodobnie bezpieczne)

Jeżeli otrzymałaś/otrzymałeś podobną wiadomość, ale nie kliknąłeś w link / przycisk:

  1. Nie klikaj, nie odpowiadaj, nie otwieraj linków ani załączników.
  2. Zgłoś wiadomość do IOD/IT / administratora.
  3. Oznacz wiadomość jako spam / phishing w swoim kliencie pocztowym (jeśli to możliwe).
  4. Usuń wiadomość i opróżnij kosz. 
  5. W najbliższym czasie bądź szczególnie ostrożny wobec wszystkich wiadomości dotyczących haseł, kont, „wygasania” lub „blokady”.

 

Scenariusz 2 – KLIKNĘŁAM/KLIKNĄŁEM link / przycisk i podałem hasło (konto SKOMPROMITOWANE)

Jeżeli kliknęłaś/kliknąłeś link / przycisk w takiej wiadomości i podałeś swoje hasło na stronie logowania (nawet jeśli wyglądała normalnie), traktuj swoje konto jako skompromitowane. 

Działaj natychmiast:

  • Natychmiast zmień hasło do skrzynki pocztowej, a jeśli używasz tego samego hasła, które podałeś w formularzu w innych systemach, to również je zmień.
  1. Zrób to wyłącznie przez prawdziwy, znany adres logowania (np. portal pracodawcy / oficjalny webmail), wpisany ręcznie w przeglądarce.
  2. Ustaw zupełnie nowe, silne hasło (14-15 znaków, 4 kategorie znaków, forma frazy), inne niż wszystkie używane do tej pory.
  3. Jeżeli Twoja poczta to umożliwia, natychmiast włącz 2FA (np. kod SMS, aplikacja mobilna, klucz sprzętowy). 2FA znacząco utrudni dalsze korzystanie z Twojego konta przez atakującego.
  4. Wyloguj się ze wszystkich urządzeń i sesji – w ustawieniach konta znajdź opcję „Wyloguj ze wszystkich urządzeń” / „Zakończ inne sesje” / podobną. Zrób to od razu – uniemożliwi to napastnikowi korzystanie z wcześniej utworzonych sesji.
  5. Zmień hasła wszędzie tam, gdzie używałaś/używałeś tego samego lub podobnego hasła. Jeśli to samo hasło (lub bardzo podobne) stosowałaś/stosowałeś do innych usług (np. inne maile, systemy służbowe, bankowość, portale społecznościowe) – traktuj je jako ujawnione.Zmień je wszędzie na unikalne, różne hasła. Najlepiej używaj menedżera haseł.
  6. Sprawdź aktywność na koncie – przejrzyj folder „Wysłane”, „Kosz”, „Wersje robocze” – czy z Twojego konta nie zostały wysłane podejrzane wiadomości. Jeżeli widzisz nieznane wysyłki, poinformuj adresatów, że był to phishing wysłany z przejętego konta i prosisz, by w nic nie klikali.
  7. Zgłoś ten fakt do IOD i IT / administratora.
  8. Obserwuj kolejne wiadomości i inne konta – przez najbliższe dni szczególnie uważnie weryfikuj wszystkie maile, także te wyglądające na wewnętrzne.
  9. Zwracaj uwagę na prośby o dane, hasła, przelewy, potwierdzenia logowania.

 

 

Jak rozpoznać i unikać podobnych ataków w przyszłości

System nigdy nie prosi o hasło przez link w mailu typu „Zachowaj aktualne hasło”, „Potwierdź konto”, „Twoje konto wygasa”.

Zawsze:

  1. samodzielnie wpisuj adres portalu / webmaila,
  2. sprawdzaj dokładnie adres strony w przeglądarce (czy to na pewno domena instytucji),
  3. nie podawaj hasła na stronie, co do której masz choć cień wątpliwości.

 

Podsumowując

Skrypt jest elementem rekonesansu. Jego działanie polega na gromadzeniu haseł i rozsyłaniu się dalej przez całą książkę adresową osoby, która nieopatrznie kliknęła. Jest to typowy atak phishingowy. Nasze Laboratorium dokonało analizy – nie dochodzi do infekcji, skrypt po wpisaniu nowego hasła pobiera adresy z książki adresowej i rozsyła się dalej do innych osób po uprzednim zapisaniu hasła na zdalnym serwerze. Dlatego, jeśli kliknęliście, hasło, którego używaliście do skrzynki pocztowej i każde inne podobne, są skompromitowane.  

 

Jeśli macie jakiekolwiek wątpliwości co do autentyczności wiadomości – prosimy, nie klikajcie, skontaktujcie się z Inspektorem Ochrony Danych lub IT lub Pełnomocnikiem ds. bezpieczeństwa informacji przed podjęciem jakiegokolwiek działania.