W 2025 roku zespół CERT Polska otrzymał 658 tys. 320 zgłoszeń. Na ich podstawie zarejestrowano 260 tys. 783 unikalnych incydentów bezpieczeństwa – wynika z raportu rocznego za 2025 r. z działalności CERT Polska „Krajobraz bezpieczeństwa polskiego internetu”.
Marcin Dudek, kierownik CERT Polska, poinformował na konferencji Secure 2026, że „97 proc. z incydentów to oszustwa komputerowe, czyli strony, które wyłudzają dane, nakłaniają obywateli do zainwestowania pieniędzy w fałszywe inwestycje”.
Z raportu dowiadujemy się, że odnotowano 253 238 takich incydentów, co stanowiło 97% wszystkich obsłużonych zdarzeń. W porównaniu z rokiem poprzednim liczba oszustw komputerowych wzrosła o 158%. Najczęściej występującym rodzajem tego typu zdarzeń były próby wyłudzania poufnych danych, takich jak loginy i hasła do poczty elektronicznej, serwisów bankowych, portali społecznościowych czy innych usług online (phishing). W 2025 roku odnotowano 78 391 tego typu incydentów, co stanowiło 30% wszystkich zarejestrowanych zdarzeń. Na liście oszustw komputerowych znalazły się m.in. fałszywe sklepy internetowe oraz oszustwa inwestycyjne, w których przestępcy podszywali się pod koncerny paliwowo-energetyczne, firmy, instytucje, wykorzystywali też wizerunki znanych osób. Wśród najczęściej wykorzystywanych kampanii phishingowych znalazły się przypadki nieuprawnionego użycia wizerunku serwisów sprzedażowych OLX – 28 462 zdarzenia, Allegro – 22 513 zdarzeń oraz próby pozyskania poświadczeń do skrzynek elektronicznych – 2519 zdarzeń.
Dudek zwrócił też uwagę na to, jaki typ oszustw jest popularny obecnie. „Oszuści odchodzą od ataków mocno technicznych na rzecz socjotechnicznych, gdzie oni sami nakłaniają ludzi, by przelali pieniądze” – wyjaśnił. „Widzimy też, że przestępcy coraz częściej używają deepfake’ów, wizerunków znanych osób, polityków” – dodał.
NASK. Lista Ostrzeżeń
Od marca 2020 r. NASK prowadzi Listę Ostrzeżeń przed niebezpiecznymi stronami, na którą wpisywane są domeny, wprowadzające użytkowników w błąd i wyłudzające od nich dane. Obecnie funkcjonuje druga wersja Listy Ostrzeżeń, na którą szkodliwe domeny trafiają na okres 6 miesięcy, liczony od momentu analizy. W przypadku dalszej szkodliwej działalności domena trafia na listę ponownie. Wcześniej strony były umieszczane na liście na stałe.
Dudek poinformował, że każdego dnia dodawano 67 domen na listę ostrzeżeń. Spowodowało to zablokowanie 140 mln wejść na tego typu strony. Dodał też, że Lista Ostrzeżeń jest używana przez wszystkich operatorów komórkowych w Polsce.
– Kiedy domena zostanie dodana na listę, to po 5 minutach na żadnym z telefonów w Polsce nie będzie się dało jej otworzyć – tłumaczył.
CERT NASK – wzorce SMS
Na podstawie ustawy o zwalczaniu nadużyć w komunikacji elektronicznej NASK może utworzyć wzorce wiadomości phishingowych. Takie wzorce CERT zamieszcza w specjalnym rejestrze, do którego dostęp mają operatorzy SMS. Jak czytamy w raporcie, w ciągu 5 minut od upublicznienia wzorzec zostaje automatycznie pobrany, a operator ma obowiązek blokowania każdej wiadomości, która pasuje do tego wzorca. Taka wiadomość nie dociera do odbiorcy.
„W 2025 roku 790 wzorców doprowadziło do zablokowania 1 mln 883 tys. 610 złośliwych SMS-ów” – podano w raporcie. Kierownik CERT zwrócił uwagę, że po pierwszym roku, kiedy obowiązuje nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, przestępcy odchodzą od SMS-ów. Jak mówił, ze wszystkich zgłaszanych wiadomości tylko 80 tys. było szkodliwych. Ludzie zgłaszali reklamy, spam, a coraz mniej złośliwych wiadomości.
Raport CERT. Ataki ransomware
W raporcie podano, że drugą najczęściej występującą kategorią zagrożeń w 2025 roku było szkodliwe oprogramowanie. Zarejestrowano 3438 incydentów tego typu, które obejmowały m.in. infekcje systemów informatycznych oraz próby nieuprawnionego dostępu z wykorzystaniem szkodliwego kodu. Wśród tych zdarzeń odnotowano 179 przypadków oprogramowania szyfrującego typu ransomware, które mogło prowadzić do utraty dostępności danych lub systemów oraz generować istotne ryzyko dla ciągłości działania podmiotów dotkniętych incydentem.
– Okazuje się, że wektory ataku są ciągle takie same. To rzeczy, które osoby odpowiedzialne za bezpieczeństwo w organizacjach mogą niskim nakładem pracy wyeliminować – mówił Dudek. Wymienił takie punkty ataku, jak urządzenia brzegowe, które nie są odpowiednio zabezpieczone, wycieki haseł czy udostępnianie zdalnego dostępu do wykorzystywanych komputerów poprzez usługę pulpitu zdalnego RDP, zabezpieczonego bardzo prostym hasłem.
W raporcie podano też, że trzecim istotnym rodzajem zagrożeń były podatne usługi. W 2025 roku odnotowano 1732 incydenty tego typu, związane z występowaniem luk bezpieczeństwa w publicznie dostępnych usługach i systemach teleinformatycznych. Incydenty te mogły umożliwiać nieuprawnionym dostęp do zasobów, eskalację uprawnień lub zakłócenie działania usług. Zdarzenia związane z podatnymi usługami podkreślają znaczenie regularnych aktualizacji oprogramowania, właściwej konfiguracji systemów oraz bieżącego monitorowania stanu bezpieczeństwa infrastruktury teleinformatycznej.
Grupy Advanced Persistent Threat powiązane z obcymi państwami
Wśród działań CERT Polska przedstawionych w raporcie jest też obserwowanie grup APT. W 2025 roku CERT Polska zaobserwował intensyfikację działań tych grup, wiązanych z obcymi państwami.
„Ataki były skierowane przeciwko polskim podmiotom publicznym, firmom prywatnym, ale także w znacznym stopniu były one nastawione na pozyskiwanie informacji od osób fizycznych, które mogą lub mogły w przeszłości pełnić funkcje publiczne, są zaangażowane w życie polityczne lub prowadzą badania naukowe. Warto również odnotować wzrost liczby przypadków wykorzystania motywów politycznych przez atakujących do osiągania swoich celów, takich jak wyłudzanie informacji czy polaryzacja społeczeństwa. Po raz pierwszy w historii CERT Polska zaobserwował również skoordynowane ataki na sektor energii w Polsce, które miały na celu działanie destrukcyjne. Przypadki opisane w raporcie stanowią wyłącznie fragment działalności grup APT monitorowanej przez CERT Polska i nie odzwierciedlają w pełni skali znanych ataków tych grup na polskie instytucje” – czytamy w raporcie.
– Szczególnie od czasu konfliktu na Ukrainie widzimy, że atakujący celują też w osoby, np. spokrewnione z osobami zajmującymi eksponowane środowiska, a także np. tłumaczy języka rosyjskiego, księży prawosławnych, a także małe firmy logistyczne zajmujące się transportem ważnych części na Ukrainę – mówił Dudek.
W raporcie zwrócono uwagę na aktywność grupy UNC1151/Ghostwriter, powiązanej z Białorusią.
– Ta grupa jest bardzo aktywna, widzimy kilka kampanii tygodniowo, wszelkiego typu – poinformował Dudek.
W raporcie wymieniono takie działania grupy jak kampanie phishingowe na serwisy pocztowe, dystrybucję szkodliwego oprogramowania, wykorzystanie podatności w oprogramowaniu roundcube w celu kradzieży poświadczeń, a także dezinformację wyborczą.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu