W dniach 3–4 czerwca 2026 r. wykryto zmasowaną, skoordynowaną kampanię phishingową wymierzoną w szczególności w instytucje edukacyjne i jednostki publiczne (m.in. w Polsce). Atakujący przejął prawdziwe konta e‑mail zaufanych instytucji, dlatego wiadomości wyglądają wiarygodnie i przechodzą wszystkie filtry (SPF, DKIM, DMARC).
Typowa treść fałszywych wiadomości dotyczy rzekomego wygasania konta lub hasła, np.:
„Hasło do Twojej skrzynki pocztowej jan.kowalski@fantazja.pl wygasło. System wyloguje Cię i wygeneruje nowe hasło dokładnie o 24 godziny od 7 Jun 2026. Możesz nadal używać swojego aktualnego hasła. Użyj poniższego przycisku, aby nadal używać aktualnego hasła. [Zachowaj aktualne hasło]”.
Zasada ogólna: nigdy nie klikajmy w linki ani przyciski z wiadomości o treści typu „Twoje konto traci ważność / hasło wygasa / zachowaj hasło / potwierdź konto” – zamiast tego zawsze logujmy się do poczty WYŁĄCZNIE przez znany, własnoręcznie wpisany adres (np. webmail / portal służbowy).
Scenariusz 1 – NIE kliknęłam/kliknąłem w wiadomość (konto prawdopodobnie bezpieczne)
Jeżeli otrzymałaś/otrzymałeś podobną wiadomość, ale nie kliknąłeś w link / przycisk:
- Nie klikaj, nie odpowiadaj, nie otwieraj linków ani załączników.
- Zgłoś wiadomość do IOD/IT / administratora.
- Oznacz wiadomość jako spam / phishing w swoim kliencie pocztowym (jeśli to możliwe).
- Usuń wiadomość i opróżnij kosz.
- W najbliższym czasie bądź szczególnie ostrożny wobec wszystkich wiadomości dotyczących haseł, kont, „wygasania” lub „blokady”.
Scenariusz 2 – KLIKNĘŁAM/KLIKNĄŁEM link / przycisk i podałem hasło (konto SKOMPROMITOWANE)
Jeżeli kliknęłaś/kliknąłeś link / przycisk w takiej wiadomości i podałeś swoje hasło na stronie logowania (nawet jeśli wyglądała normalnie), traktuj swoje konto jako skompromitowane.
Działaj natychmiast:
- Natychmiast zmień hasło do skrzynki pocztowej, a jeśli używasz tego samego hasła, które podałeś w formularzu w innych systemach, to również je zmień.
- Zrób to wyłącznie przez prawdziwy, znany adres logowania (np. portal pracodawcy / oficjalny webmail), wpisany ręcznie w przeglądarce.
- Ustaw zupełnie nowe, silne hasło (14-15 znaków, 4 kategorie znaków, forma frazy), inne niż wszystkie używane do tej pory.
- Jeżeli Twoja poczta to umożliwia, natychmiast włącz 2FA (np. kod SMS, aplikacja mobilna, klucz sprzętowy). 2FA znacząco utrudni dalsze korzystanie z Twojego konta przez atakującego.
- Wyloguj się ze wszystkich urządzeń i sesji – w ustawieniach konta znajdź opcję „Wyloguj ze wszystkich urządzeń” / „Zakończ inne sesje” / podobną. Zrób to od razu – uniemożliwi to napastnikowi korzystanie z wcześniej utworzonych sesji.
- Zmień hasła wszędzie tam, gdzie używałaś/używałeś tego samego lub podobnego hasła. Jeśli to samo hasło (lub bardzo podobne) stosowałaś/stosowałeś do innych usług (np. inne maile, systemy służbowe, bankowość, portale społecznościowe) – traktuj je jako ujawnione.Zmień je wszędzie na unikalne, różne hasła. Najlepiej używaj menedżera haseł.
- Sprawdź aktywność na koncie – przejrzyj folder „Wysłane”, „Kosz”, „Wersje robocze” – czy z Twojego konta nie zostały wysłane podejrzane wiadomości. Jeżeli widzisz nieznane wysyłki, poinformuj adresatów, że był to phishing wysłany z przejętego konta i prosisz, by w nic nie klikali.
- Zgłoś ten fakt do IOD i IT / administratora.
- Obserwuj kolejne wiadomości i inne konta – przez najbliższe dni szczególnie uważnie weryfikuj wszystkie maile, także te wyglądające na wewnętrzne.
- Zwracaj uwagę na prośby o dane, hasła, przelewy, potwierdzenia logowania.
Jak rozpoznać i unikać podobnych ataków w przyszłości
System nigdy nie prosi o hasło przez link w mailu typu „Zachowaj aktualne hasło”, „Potwierdź konto”, „Twoje konto wygasa”.
Zawsze:
- samodzielnie wpisuj adres portalu / webmaila,
- sprawdzaj dokładnie adres strony w przeglądarce (czy to na pewno domena instytucji),
- nie podawaj hasła na stronie, co do której masz choć cień wątpliwości.
Podsumowując
Skrypt jest elementem rekonesansu. Jego działanie polega na gromadzeniu haseł i rozsyłaniu się dalej przez całą książkę adresową osoby, która nieopatrznie kliknęła. Jest to typowy atak phishingowy. Nasze Laboratorium dokonało analizy – nie dochodzi do infekcji, skrypt po wpisaniu nowego hasła pobiera adresy z książki adresowej i rozsyła się dalej do innych osób po uprzednim zapisaniu hasła na zdalnym serwerze. Dlatego, jeśli kliknęliście, hasło, którego używaliście do skrzynki pocztowej i każde inne podobne, są skompromitowane.
Jeśli macie jakiekolwiek wątpliwości co do autentyczności wiadomości – prosimy, nie klikajcie, skontaktujcie się z Inspektorem Ochrony Danych lub IT lub Pełnomocnikiem ds. bezpieczeństwa informacji przed podjęciem jakiegokolwiek działania.