Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
CERT Polska i Sekurak wydały jednoczesny alert: grupa UNC1151 powiązana z rządem Białorusi prowadzi aktywną kampanię phishingową wymierzoną bezpośrednio w polskie konta Gmail — zwłaszcza należące do pracowników administracji, dziennikarzy i badaczy zajmujących się Białorusią i Ukrainą. Atakujący wysyłają wyjątkowo przekonujące wiadomości e-mail imitujące komunikaty od Google lub zaufanych kontaktów, prowadzące do stron zbierających dane logowania. Po przejęciu skrzynki UNC1151 prowadzi cichy monitoring korespondencji przez tygodnie przed wykryciem. To ta sama grupa, która wcześniej atakowała polskie instytucje przez Signal i spear-phishing z dokumentami PDF. Użytkownicy Gmaila w sektorze publicznym powinni natychmiast włączyć Advanced Protection Program Google.
Źródło: Sekurak [PL], CERT Polska [PL]
Google złożył pozew cywilny przeciwko zorganizowanej chińskiej sieci cyberprzestępczej, która używała narzędzi generatywnej AI do tworzenia setek tysięcy fałszywych stron, produktów i tożsamości. Sieć utilizowała usługi Google (Workspace, Ads, Cloud) do prowadzenia kampanii oszukańczych, generując straty u ofiar szacowane na 1,9 miliarda dolarów. Google argumentuje, że naruszono warunki korzystania z usług i prawo federalne USA. To jedno z pierwszych pozwów korporacji technologicznej bezpośrednio wymierzonych w operatorów AI-powered fraud networks. CRN.pl podkreśla implikacje dla europejskiego regulatora w obliczu podobnych operacji w UE.
Źródło: The Hacker News [EN], The Register [EN], CRN.pl [PL]
CRN.pl opisuje alert Ministerstwa Cyfryzacji skierowany do zarządów polskich firm: nasilają się ataki "CEO fraud na szczeblu ministerialnym" — przestępcy telefonują lub wysyłają wiadomości podszywając się pod ministrów, wiceministrów lub dyrektorów departamentów i nakłaniają prezesów do pilnych przelewów lub ujawnienia poufnych informacji. Głosy są generowane lub klonowane przy użyciu AI, co sprawia, że rozmowa brzmi autentycznie. Zalecenie: każdą "pilną prośbę" od ministra lub innego wysokiego urzędnika należy zweryfikować przez znany, oficjalny numer kontaktowy.
Źródło: CRN.pl [PL]
The Register i BleepingComputer potwierdzają naruszenie bezpieczeństwa Novo Nordisk — duńskiego giganta farmaceutycznego, producenta Ozempic i Wegovy. Hakerzy uzyskali nieautoryzowany dostęp i ukradli dane z niezakończonych badań klinicznych. Dane kliniczne należą do najcenniejszych zasobów w branży farmaceutycznej: zawierają wyniki badań, składy związków chemicznych i dane pacjentów. Kradzież mogła nastąpić na rzecz konkurentów lub w ramach szpiegostwa przemysłowego. Novo Nordisk powiadomiło regulatorów i organy ścigania. Spółka nie ujawniła zakresu skradzionych danych.
Źródło: The Register [EN], BleepingComputer [EN]
BleepingComputer i Hackread opisują kampanię "Atomic Arch": atakujący przejęli konta kilkunastu maintainerów pakietów w AUR (Arch User Repository) i dodali złośliwy kod do ponad 400 pakietów. Zainfekowane pakiety instalują rootkit zapewniający trwały dostęp i infostealer wykradający poświadczenia z przeglądarek i portfeli krypto. AUR jest z definicji repozytorium community-maintainted — bez centralnej weryfikacji kodu — co czyni je podatnym na tego rodzaju ataki. Użytkownicy Arch Linux powinni sprawdzić zainstalowane paczki z AUR z ostatnich tygodni.
Źródło: BleepingComputer [EN], Hackread [EN]
The Hacker News opisuje nową technikę ataku "AgentJacking": przez manipulację danymi wejściowymi lub kontekstem, z którym pracuje agent AI do kodowania (GitHub Copilot, Claude Code, Cursor), atakujący może skłonić agenta do wykonania nieoczekiwanych działań — wstrzyknięcia złośliwego kodu, eksfiltracji sekretów lub modyfikacji pipeline'ów CI/CD. AgentJacking jest wariantem prompt injection, lecz specyficznym dla środowisk agentic AI zintegrowanych ze środowiskami produkcyjnymi. Im więcej uprawnień ma agent AI — tym groźniejszy jest udany atak.
Źródło: The Hacker News [EN]
Tech.wp.pl opisuje nową funkcję w aplikacji mBank: gdy ktoś dzwoni twierdząc, że jest pracownikiem banku i prosi o weryfikację tożsamości, aplikacja może wyświetlić informację potwierdzającą (lub zaprzeczającą), czy połączenie naprawdę pochodzi z mBanku. To bezpośrednia odpowiedź na falę vishingu: klienci będą mogli w czasie rzeczywistym zweryfikować, czy rozmawiają z prawdziwym bankiem, czy ze scammerem. Implementacja oparta jest na technologii STIR/SHAKEN weryfikacji połączeń telefonicznych.
Źródło: Tech.wp.pl [PL]
CyberScoop opisuje skoordynowaną akcję organów ścigania USA i partnerów zagranicznych, która doprowadziła do likwidacji dużego serwisu dystrybucji deepfake pornografii bez zgody. Serwis generował i hostował materiały intymne z wizerunkiem realnych osób — bez ich wiedzy — i miał miliony odsłon miesięcznie. Operacja jest jedną z pierwszych egzekucji nowego prawa "Take It Down Act". Aresztowano kilka osób. Precedens jest ważny dla całej branży walczącej z non-consensual intimate imagery w erze AI.
Źródło: CyberScoop [EN]
CyberDefence24 opisuje naruszenie ochrony danych w polskiej placówce edukacyjnej: numery PESEL ponad 100 dzieci w wieku przedszkolnym były przez pewien czas dostępne publicznie — prawdopodobnie przez błędną konfigurację systemu ewidencji. PESEL dziecka w połączeniu z jego imieniem i nazwiskiem jest wartościową daną dla przestępców specjalizujących się w kradzieży tożsamości na przyszłość. Zdarzenie zostało zgłoszone do UODO. Placówka wdrożyła środki naprawcze. To kolejny przykład słabości bezpieczeństwa IT w polskiej oświacie.
Źródło: CyberDefence24 [PL]
Dobreprogramy ostrzegają przed nowym schematem phishingowym na użytkowników Gmaila, który skutecznie omija filtry spamowe Google. Atakujący wysyłają wiadomość z legalnej, ale przejętej skrzynki Gmail osoby, którą odbiorca zna — co sprawia, że mail wygląda jak autentyczna korespondencja. Treść zawiera "pilną prośbę" o weryfikację konta lub kliknięcie dokumentu Google Drive. Sprawdź, czy nie ma podejrzanych aktywności logowania na Twoim koncie Gmail pod adresem myaccount.google.com/security.
Źródło: Dobreprogramy [PL]
Malwarebytes opisuje kampanię phishingową celującą w graczy Steam: fałszywe strony "weryfikacji konta" lub "odblokowania funkcji" wyglądają jak autentyczne podstrony Steam i proszą o dane logowania lub kod z aplikacji Steam Guard. Po zdobyciu konta atakujący natychmiast sprzedają zawartość (gry, przedmioty) lub używają konta do kampanii spamowych wobec kontaktów ofiary. Steam jest jedną z najczęściej phishowanych platform gamingowych ze względu na wysoką wartość ekonomiczną kont.
Źródło: Malwarebytes [EN]
Pełnomocnik Rządu ds. Cyberbezpieczeństwa wydał ostrzeżenie przed kampanią, w której przestępcy tworzą fałszywe profile mediów społecznościowych podszywające się pod znanych polityków, dyrektorów firm i ekspertów — i używają ich do prowadzenia phishingu wobec pracowników i kontrahentów. Fałszywe profile są perfekcyjnie skonstruowane: zdjęcia, historia postów, lista znajomych. Sprawdź weryfikację konta (niebieski znaczek lub inne potwierdzenie) przed odpowiadaniem na prośby od "znanych" osób.
Źródło: CyberDefence24 [PL]
The Hacker News opisuje nową kampanię chińskich grup APT, w której atakujący kompromitują serwery Linux i instalują zmodyfikowane wersje legalnych narzędzi systemowych (logrotate, sshd, cron) z wbudowanym backdoorem. Podmienione pliki są kryptograficznie podpisane i zachowują oryginalną funkcjonalność — przez co są praktycznie niewidoczne dla standardowych skanerów AV. Kamuflaż "living off the land" wzniesiony na wyższy poziom: atakujący nie dodają nowych plików, lecz zastępują istniejące.
Źródło: The Hacker News [EN]
📅 Powyższe zestawienie ma charakter wyłącznie informacyjny i edukacyjny. Wszystkie informacje opierają się na publicznie dostępnych doniesieniach prasowych z dnia 12 czerwca 2026 r. ⚠️ W razie podejrzenia incydentu bezpieczeństwa skonsultuj się z wykwalifikowanym specjalistą.
