Polska znalazła się na celowniku cyberprzestępców jak nigdy dotąd. Dane, które właśnie ujrzały światło dzienne, rysują obraz zagrożeń, wobec którego trudno przejść obojętnie. Skala problemu zaskoczyła nawet tych ekspertów, którzy od lat śledzą aktywność przestępców w internecie. A konkretne liczby, które za chwilę padną, mogą przyprawić o zawrót głowy nie jednego posiadacza konta bankowego.
Ponad 40 tysięcy pułapek w sieci. Jest nowy raport o oszustwach finansowych w sieci
Zespół ds. cyberbezpieczeństwa sektora finansowego właśnie podsumował ubiegły rok. Wnioski z tego podsumowania trafiły na poniedziałkową konferencję prasową, podczas której nie brakowało mocnych słów ze strony najważniejszych urzędników państwowych. Padły stwierdzenia, które jeszcze kilka lat temu brzmiałyby jak fragment scenariusza filmu sensacyjnego. Tymczasem to po prostu opis polskiej rzeczywistości cyfrowej w 2025 roku, z którą muszą się mierzyć zarówno instytucje państwowe, jak i zwykli obywatele korzystający z bankowości internetowej.
Bo choć Polska ma najbardziej zdigitalizowany rynek finansowy spośród wszystkich krajów Unii Europejskiej, a aktywność klientów w kanałach mobilnych i internetowych bije europejskie rekordy, ta cyfrowa dojrzałość niesie ze sobą poważne konsekwencje. Więcej usług online to automatycznie więcej furtek dla tych, którzy chcą okraść nieświadomych użytkowników. Wygoda klientów i konkurencyjność sektora rosną, ale razem z nimi rośnie też powierzchnia ataku.
Fałszywe inwestycje pochłaniają tysiące ofiar
Liczby, które zaprezentował Karol Paciorek, szef CSIRT KNF (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego Komisji Nadzoru Finansowego), robią ogromne wrażenie. W 2025 roku zespół zidentyfikował i zgłosił do zablokowania 41 751 niebezpiecznych domen internetowych, które służyły do oszukiwania ludzi. Z tej puli aż 40 225 domen, czyli ponad 96 procent, miało związek z fikcyjnymi ofertami inwestycyjnymi.
To absolutna dominacja jednego schematu oszustwa nad wszystkimi pozostałymi. Nigdy wcześniej proporcje nie były aż tak jednoznaczne. Mechanizm działania wygląda zazwyczaj podobnie: przestępcy kuszą obietnicą łatwego i szybkiego zarobku z gwarancją zysku, a ofiara, która uwierzy w te obietnice, traci oszczędności życia.
CSIRT KNF to pierwszy sektorowy zespół cyberbezpieczeństwa w Polsce. Przewodniczący KNF Jacek Jastrzębski przypomniał, że jego instytucja zaczęła budować kompetencje w tym zakresie jeszcze w spokojniejszych czasach i z perspektywy lat okazało się to trafną decyzją. Obok CSIRT KNF działa jeszcze CSIRT CeZ, odpowiedzialny za sektor ochrony zdrowia.
Jastrzębski zadeklarował gotowość do wspierania kolejnych tego typu jednostek, które powstaną na mocy nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Podkreślił też znaczenie pakietu regulacyjnego DORA, który ma wzmocnić ochronę sektora. Zgodnie ze słowami przewodniczącego, chodziło od początku nie tylko o reagowanie na incydenty, ale też o systematyczne budowanie kompetencji i współpracę między instytucjami.
Na konferencji padły jednak jeszcze bardziej dosadne słowa. Wicepremier i minister cyfryzacji Krzysztof Gawkowski ocenił sytuację bez ogródek, mówiąc wprost o „systemowej cyfrowej wojnie”, którą toczy Polska. Dane z raportu CSIRT KNF i prace CERT Polska, działającego w strukturach NASK, prowadzą zdaniem ministra do takiego właśnie wniosku. Gawkowski zaznaczył, że bez pracy zespołowej różnych instytucji nie byłoby mowy o skutecznej ochronie państwa i pochwalił CSIRT KNF za gotowość do działania na rzecz innych podmiotów.
Minister ujawnił również niepokojącą informację: rosyjskie GRU potroiło swoją aktywność skierowaną przeciwko Polsce w cyberprzestrzeni. Choć w 2025 roku nie odnotowano skutecznego ataku ransomware na sektor finansowy, to nie znaczy, że Polska nie jest atakowana. Gawkowski przestrzegł, że konieczne jest zabezpieczenie także innych sektorów gospodarki, w tym energetycznego i wodno-kanalizacyjnego, bo tam presja ze strony napastników również narasta.
Media społecznościowe jako pole minowe
Sposób, w jaki przestępcy docierają do ofiar, ewoluuje w niepokojącym tempie. Atakujący coraz częściej rezygnują z tworzenia zewnętrznych stron internetowych i zamiast tego osadzają formularze oszukańczych inwestycji bezpośrednio w ekosystemach reklamowych platform społecznościowych. Dzięki temu nie muszą kupować domen ani hostingu, co utrudnia namierzenie i zablokowanie zagrożenia przez służby. To zmiana taktyki, która stawia nowe wymagania przed zespołami cyberbezpieczeństwa.
Facebook pozostaje jednym z głównych kanałów dystrybucji oszukańczych treści. CSIRT KNF w ubiegłym roku zgłosił do usunięcia 9751 fałszywych reklam za pośrednictwem specjalnej szybkiej ścieżki kontaktu z Metą. Eksperci przyznają jednak, że to zaledwie ułamek tego, co krąży po platformach tego giganta technologicznego. Oprócz samych reklam namierzono i zablokowano 4358 profili specjalizujących się w publikowaniu oszukańczych treści. To wzrost o niemal 42 procent w porównaniu z rokiem wcześniejszym, co pokazuje, jak dynamicznie rośnie skala procederu. Fałszywe reklamy inwestycyjne pojawiają się również na TikToku, platformie X, w serwisie YouTube oraz w wyszukiwarce Bing.
Prawdziwą plagą pozostaje wykorzystywanie wizerunku znanych osób do uwiarygodniania oszustw. Przestępcy liczą na prosty mechanizm psychologiczny: skoro rozpoznawalny polityk, celebryta czy influencer poleca daną inwestycję, potencjalna ofiara łatwiej uwierzy w jej autentyczność. Atrakcyjnym „wabikiem” są też znane marki i instytucje. Oszuści podszywają się pod Orlen, ZUS, Giełdę Papierów Wartościowych, a nawet projekty infrastrukturalne jak Baltic Pipe czy Baltica. Do standardowego arsenału należy także imitowanie stron banków i biur maklerskich. Co ciekawe, przestępcy chętnie wykorzystują szatę graficzną popularnych portali informacyjnych, takich jak Onet, Money.pl czy TVN24, by opierać swoje przekręty na bieżących wydarzeniach politycznych i społecznych. To pozwala im nadać fikcyjnym ofertom pozory wiarygodności dziennikarskiej.
Technologia AI coraz mocniej pracuje po stronie oszustów. Deepfake’i, czyli fałszywe materiały wideo oparte na kradzieży wizerunku polityków, celebrytów, a nawet dziennikarzy, wyglądają coraz bardziej przekonująco i trudniej je rozpoznać gołym okiem. Nowym, groźnym trendem zaobserwowanym przez CSIRT KNF jest tzw. recovery scam, czyli oszustwo polegające na oferowaniu pomocy w odzyskaniu wcześniej skradzionych pieniędzy. W praktyce jest to druga runda tego samego przekrętu: przestępcy podszywają się pod kancelarie prawne i wyciągają od tych samych ofiar kolejne środki. Liczba takich reklam w porównaniu z 2024 rokiem znacząco wzrosła, co oznacza, że raz oszukane osoby ponownie trafiają na celownik.
Fałszywe sklepy, ataki DDoS i coraz sprytniejsi przestępcy
Problem nie kończy się na fikcyjnych inwestycjach. CSIRT KNF zablokował w ubiegłym roku 404 domeny fałszywych sklepów internetowych, które podszywały się pod firmy z branży sportowej, odzieżowej i wyposażenia wnętrz, wabiąc klientów nierealistycznie niskimi cenami. Zablokowano także 256 domen imitujących strony banków. Choć stanowiły one niecały procent wszystkich zgłoszonych oszukańczych witryn, ich cel jest szczególnie niebezpieczny: kradzież danych logowania do bankowości elektronicznej i w efekcie wyczyszczenie kont do zera.
Tego typu fałszywe strony rozpowszechniano za pomocą spreparowanych reklam, wiadomości SMS (tzw. smishing) oraz e-maili (klasyczny phishing). To wielokanałowa strategia, która zwiększa szanse na trafienie do nieświadomej ofiary. Osobnym trikiem, stosowanym przez przestępców, było wykupywanie pozycjonowania w wyszukiwarkach internetowych, dzięki czemu fałszywe witryny mogły pojawiać się na czołowych miejscach w wynikach wyszukiwania, powyżej autentycznych stron bankowych. Efekt? Użytkownik wpisujący nazwę swojego banku w Google mógł trafić na spreparowaną stronę, zanim dotarł do prawdziwej.
Sektor finansowy mierzy się też z atakami typu DDoS, czyli rozproszoną odmową usługi. W 2025 roku CSIRT KNF zarejestrował 787 takich ataków wymierzonych w polskie instytucje finansowe. To oznacza, że branża doświadczała prób zablokowania swoich usług średnio dwa razy dziennie, przez cały rok, bez przerw weekendowych czy świątecznych. Raport CSIRT KNF podkreśla ponadto, że socjotechnika nadal odgrywa ogromną rolę w arsenale cyberprzestępców.
Phishing rozsyłany przez SMS-y i e-maile to wciąż jedno z najczęściej stosowanych narzędzi do inicjowania ataków, a jego skuteczność rośnie dzięki łączeniu manipulacji psychologicznej z zaawansowanymi technikami technicznymi i szybko zmieniającą się infrastrukturą domenową. Oszustwa oparte na socjotechnice uderzają szczególnie mocno w klientów instytucji finansowych i podmiotów zaufania publicznego.
Eksperci CSIRT KNF obserwują postępującą profesjonalizację cyberprzestępczości: rosnącą automatyzację działań, coraz bardziej złożone scenariusze ataków i precyzyjne typowanie ofiar. Ubiegły rok przyniósł też więcej prób ataków na łańcuchy dostaw, wymierzonych w dostawców oprogramowania, firm IT i podmiotów wspierających procesy biznesowe w sektorze finansowym. Walka ze złośliwym oprogramowaniem wciąż stanowi poważne wyzwanie dla całej branży.
Paweł Piekutowski, wicedyrektor Departamentu Cyberbezpieczeństwa KNF, wskazał, że instytucja opiera swoją strategię na pięciu filarach: reagowaniu na incydenty, wymianie informacji z sektorem i innymi zespołami CSIRT, testowaniu cyfrowej odporności, wydawaniu rekomendacji wobec cyberzagrożeń oraz edukacji użytkowników indywidualnych w zakresie ochrony ich środków finansowych. Fałszywe inwestycje okazały się, jak podsumował zespół ds. cyberbezpieczeństwa, szczególnie dotkliwe społecznie i finansowo, bo bezpośrednio uderzały w portfele klientów.
Źródło: CERT, wnp.pl
