Pilne ostrzeżenie Ministerstwa! Polskie samorządy zaatakowane przez cyberprzestępców

Cyberprzestępcy nie próżnują – tym razem na celowniku znalazły się jednostki samorządowe. W związku z nową, dwuetapową kampanią phishingową Ministerstwo Cyfryzacji oraz Rządowe Centrum Bezpieczeństwa wydały pilne ostrzeżenie.

Samorządy stały się celem wyrafinowanej kampanii, w której oszuści podszywają się pod Ministerstwo Cyfryzacji i wiceministra Pawła Olszewskiego. Przed zagrożeniem ostrzega wicepremier i minister cyfryzacji Krzysztof Gawkowski. Celem przestępców jest zainfekowanie systemów informatycznych oraz wyłudzenie wrażliwych danych osób odpowiedzialnych za cyberbezpieczeństwo.

Dwa ataki w cztery dni

Pierwszy atak miał miejsce 28 października 2025 r. Wiadomości zawierały szkodliwy plik arkusza kalkulacyjnego XLSX z linkiem do rzekomych dodatkowych informacji. W rzeczywistości był to złośliwy plik wykonywalny, który po uruchomieniu infekował komputer ofiary.

Źródło: Ministerstwo Cyfryzacji

Zaledwie dwa dni później, 30 października, przestępcy przeprowadzili kolejną wysyłkę. Tym razem zastosowali czystą socjotechnikę – fałszywe wiadomości miały na celu wyłudzenie danych kontaktowych administratorów IT, w tym imion, nazwisk, numerów telefonów i adresów e-mail.

– To kolejny przykład, gdy samorządy znajdują się w obszarze zainteresowania przestępców. Otwartym pozostaje pytanie, czy ta kampania jest częścią szerszego scenariusza. Niestety, nie można tego wykluczyć – komentuje Aleksander Kostuch ze Stormshield, europejskiego producenta technologii bezpieczeństwa IT.

Jak rozpoznać oszustwo?

Wiadomości wysyłane są z fałszywych domen: govministry.pl i [email protected], które nie mają nic wspólnego z administracją rządową. Tytuły to m.in. "Pilna weryfikacja kontaktów w ramach Krajowego Programu Cyberbezpieczeństwa 2024-2028".

Jak się chronić?

Pełnomocnik Rządu ds. Cyberbezpieczeństwa zaleca:

• Weryfikację adresu nadawcy – oficjalne wiadomości przychodzą z domeny cyfra.gov.pl

• Niewczytywanie plików i nieklikanie linków z niezaufanych źródeł

• Sprawdzenie logów pod kątem podejrzanych adresów IP (45.61.149.41:443) i domen

• Blokowanie wskazanych adresów na firewallu

• Natychmiastowe odizolowanie zainfekowanych maszyn

W przypadku otrzymania podejrzanej wiadomości należy niezwłocznie zgłosić incydent do CSIRT NASK (dla samorządów).

Eksperci podkreślają, że samorządy pozostaną w centrum zainteresowania cyberprzestępców. Niedawny atak na Urząd Miejski w Wadowicach, który od października zmaga się z wyciekiem danych, jest tego najlepszym dowodem.