Wyłudzenia metodą "na KSeF". Fałszywki przychodzą z domeny resortu finansów

GURU

w Wiadomości Polska 2026-02-07T16:50:06+01:00

Ledwie kilka dni po wejściu w życie obowiązku dokumentowania sprzedaży w Krajowym Systemie e-Faktur (KSeF), pojawiają się pierwsze próby wyłudzenia danych przedsiębiorców i infekowania komputerów. Podszywający się pod Ministerstwo Finansów oszuści rozsyłają do pracowników firm maile zawierające złośliwe załączniki. Trefne wiadomości przychodzą z fałszywych adresów, ale w prawdziwej domenie resortu.

Wystawianie faktur w ogólnopolskim systemie KSeF od 1 lutego jest obowiązkowe dla niektórych polskich firm. Wejściu w życie tego systemu, jak każdej nowości, towarzyszy niepewność, zdarzają się błędy. Chwile nieuwagi przedsiębiorców starają się wykorzystać oszuści, którzy rozsyłają maile zawierające złośliwe załączniki. Ich otwarcie na komputerze może prowadzić do zainfekowania komputera i przejęcia części wrażliwych danych.

O atakach według nowego scenariusza alarmuje w piątek Niebezpiecznik.pl . Portal pokazuje zdjęcia złośliwych maili i przykładową treść fałszywej wiadomości. Wynika z niej, że złodzieje podszywają się pod urzędników resortu finansów i Krajowej Administracji Skarbowej, np. warszawskiego urzędu skarbowego. Pytają, czy potrzebne są szkolenia z obsługi systemu i proszą o informację zwrotną na temat gotowości do korzystania z KSeF. Wiadomości zawierają załącznik, który ma być powiadomieniem naczelnika US, a w rzeczywistości może infekować komputer złośliwym oprogramowaniem. [...]

#wiadomoscipolska #cyberbezpieczenstwo #cybersecurity #ksef #oszustwa #cyberoszustwa #polskieradio24

Polskie Radio 24

Komentarze (15)

Cybulion★2026-02-07T16:53:55+01:00

Faros 2026-02-07T16:56:39+01:00

Każdy e-mail Ctrl+u w thunderbird I sprawdzamy uwaznie nagłówki e-maila.

Poza tym od komunikacji z urzędem są e-doręczenia.

fadeimageone 2026-02-07T17:06:08+01:00

@Faros e-doręczenia obsługiwane przez Pocztę Polską

Faros 2026-02-07T17:16:53+01:00

@fadeimageone

e-doręczenia obsługiwane przez Pocztę Polską

Też mnie to dziwi, ale po aktywacji e-doreczen w tym roku dostałem decyzję podatkowa właśnie przez edoręczenie.

Nie rozumiem czemu urząd nie może bezpośrednio dostarczyć takiej wiadomości, lecz tylko przez pocztę polską..

aerthevist 2026-02-07T17:36:12+01:00

@Faros nie, do kontaktu ze skarbowka jest e-US. Znczy sie mozesz e-doreczenia ale preferowana forma jest e-US.

Faros 2026-02-07T18:02:37+01:00

@aerthevist

Powinni to wszytko jakoś skonsolidować. Jest za dużo tych wszystkich serwisów. Jeden powinien ogarniać wszystko. Z logowaniem profilem, mobywatelem, e-dowodem, bankiem... Ale nie tak, że wszystko idzie przez profil zaufany, bo później takie cyrki jak teraz z ksef

Seppuku★2026-02-08T20:18:53+01:00

@Faros Jest taki ciekawy myk, że korespondencja wychodząca z urzędu, zgodnie z wolą ustawodawcy przechodzi przez Pocztę Polską. Czyli to, co dotychczas urząd wkładał do koperty, wysyła przez eDoreczenia.

I teraz są dwie drogi:

A) jeżeli adresat nie ma założonej skrzynki na eDoreczenia, Poczta Polska drukuje takie przesłane przez eDoręczenia pismo, kopertuje i listonosz wrzuca nam do skrzynki lub (jeżeli to polecony) wrzuca nam tradycyjnie awizo (buty kosztują). Oczywiście Poczta Polska pobiera od Urzędu opłatę.

B) Jeżeli natomiast adresat ma skrzynkę eDoreczenia, to Poczta Polska przesyła je elektronicznie na eDoreczenia. I tutaj wisienka na torcie - za to też Poczta pobiera opłatę (choć niższą)! Podobno dlatego, że to serwery Poczty.

Zlikwidowano praktycznie ePuap (bodajże pisma wysłane przez ePuap w kpa nie są traktowane jak wysłane przez operatora pocztowego i mogą minąć terminy).

Na szczęście za pisma wysyłane przez eDoreczenia między urzędami poczta nie pobiera opłat (ciekawe jak długo).

fadeimageone 2026-02-07T17:04:10+01:00

Dobra, kopiuję to co Piotr Konieczny napisał na Niebezpieczniku:

Wiadomości różnią się nieznacznie treścią (nie zawsze mają pełen podpis) i są wysyłane z różnych adresów e-mail — oto przykładowe z nich:

[email protected]

Jak widać, skrzynki e-mail nadawców mają prawidłową domenę Ministerstwa Finansów.

Jak to możliwe, że adres jest “poprawny”?

Bardzo prosto, każdy może wysłać e-maila z dowolnym adresem nadawcy, ale taki e-mail nie powinien dotrzeć do skrzynki odbiorcy, o ile:

nadawca poprawnie zaimplementował mechanizmy bezpieczeństwa poczty elektronicznej (SPF, DKIM, DMARC)

a odbiorca wiadomości je sprawdza

Ministerstwo Finansów ma poprawnie wdrożone nagłówki:

v=spf1 ip4:145.237.237.0/26 ip4:145.237.192.0/27 ip4:145.237.160.128/27 include:spf.protection.outlook.com -all

v=DMARC1;p=quarantine;pct=100;rua=mailto:[email protected]

co oznacza, że e-maile od oszustów widzą w skrzynkach te osoby, których administratorzy firmowej poczty nie weryfikują poprawnie ww. mechanizmów bezpieczeństwa.
-------------------------------

SPF (Sender Policy Framework)

SPF sprawdza, czy serwer wysyłający e-mail jest autoryzowany dla danej domeny poprzez rekord TXT w DNS, który zawiera listę dozwolonych adresów IP lub serwerów. Jeśli weryfikacja nie przejdzie, wiadomość trafia do spamu lub jest odrzucana, co zapobiega podszywaniu się pod domenę.

DKIM (DomainKeys Identified Mail)

DKIM dodaje cyfrowy podpis kryptograficzny do nagłówka i treści e-maila, generowany kluczem prywatnym nadawcy, który odbiorca weryfikuje za pomocą klucza publicznego z DNS. Zapewnia to, że wiadomość nie została zmieniona w drodze i pochodzi od deklarowanego nadawcy, chroniąc przed manipulacją.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC łączy SPF i DKIM, definiując politykę (np. odrzucenie, kwarantanna) dla nieautoryzowanych wiadomości oraz umożliwiając raporty o próbach nadużyć. Rekord TXT w DNS domeny określa zasady i adresy do raportów, co daje właścicielom domeny kontrolę i widoczność ataków.

Współdziałanie protokołów

SPF weryfikuje kanał wysyłki, DKIM integralność treści, a DMARC egzekwuje politykę i raportuje – razem tworzą warstwową ochronę, poprawiając dostarczalność legalnych e-maili. Dla pełnej skuteczności konfiguruj wszystkie trzy w DNS domeny, testując narzędzia jak MX Toolbox.

LovelyPL 2026-02-07T20:37:23+01:00

@fadeimageone Wszystko pięknie, ładnie, ale...

Jak się u siebie zaimplementuje dobrze te wszystkie trzy rzeczy, to mnóstwo maili zostanie odrzuconych, bo wiele firm (urzędów też) nie ma u siebie skonfigurowanych tych mechanizmów.

O ile SPF jest już na większości serwerów, to najgorzej jest z DMARC.

I albo decydujemy się, że mamy mnóstwo odrzuconych maili przychodzących (ew. w kwarantannie i ktoś to musi ręcznie sprawdzać), albo zostawiamy jak jest i liczymy, że nikt nie kliknie takiego odnośnika.

fadeimageone 2026-02-07T20:46:14+01:00

@LovelyPL na początek wystarczy DKIM
https://services.addons.thunderbird.net/pL/thunderbird/addon/dkim-verifier/

DKIM Verifier

Weryfikuje podpisy DKIM wiadomości e-maili.

Thunderbird

grzymislaw-mocowladny 2026-02-07T23:31:17+01:00

@LovelyPL Kurła, ja na prywatnym ustawiłem a urzędy nie majo ? Bicz Pliiiiiz

kodyak 2026-02-07T18:55:51+01:00

Urzędy nie wysyłają tak dokumentów. Wysyłają co najwyżej informacja że na twojej skrzynce jest wiadomość i trzeba się zalogować by ja odebrać. (Nie klikamy oczywscie linków)

Każdy taki mail do śmieci nawet bez patrzenia.

fadeimageone 2026-02-07T20:49:33+01:00

@kodyak ja to wiem, ty to wiesz, ale koleś z branży NIE IT tego nie wie, a teraz jak ktoś prowadzi firmę i ma KSeF nad głową to oszuści tylko czekają by zaspamować ludzi tego typu fake'ami.
W ogóle nie rozumiem co Poczta Polska ma wspólnego z e-doręczeniami, skoro to i tak siedzi po stronie adminów GOV.PL, a nie kuźwa serwerowni z przepisami siostry Anastazji.

kodyak 2026-02-07T21:30:19+01:00

@fadeimageone no jasne. Z tą poczta też nie wiem ale jak nie wiadomo o co chodzi to chodzi o pieniądze

jajkosadzone 2026-02-07T21:32:09+01:00

Wyłudzenie na urząd- od kiedy to jest jakaś metoda wyłudzenia pieniędzy? Przecież tak jest od zawsze¯\_(ツ)_/¯

Zaloguj się aby komentować

Popularne artykuły

Popularne dyskusje

Kategorie

Popularne tagi

Wyłudzenia metodą "na KSeF". Fałszywki przychodzą z domeny resortu finansów

Komentarze (15)