Codzienny przegląd ciekawszych wiadomości ze świata cyberbezpieczeństwa, do poczytania przy porannej kawie, podzielony na kluczowe kategorie.
CRN.pl opisuje opublikowane sprawozdanie Pełnomocnika Rządu ds. Cyberbezpieczeństwa: w 2025 roku krajowe zespoły CSIRT obsłużyły łącznie 272,9 tys. incydentów — wzrost o 144,4% rok do roku. Zdecydowanie najwięcej z nich obsłużył CSIRT NASK (260,8 tys., wzrost o 152%). Raport wskazuje AI jako kluczowy „mnożnik siły" napastników — umożliwia masową personalizację phishingu i złośliwych kampanii, co tłumaczy eksplozję incydentów. Jako krytyczne zagrożenia dla Krajowego Systemu Cyberbezpieczeństwa wymieniono ataki państwowych grup APT (szczególnie rosyjskich i białoruskich) oraz uderzenia w łańcuchy dostaw przez słabiej chronionych dostawców IT. Raport ostrzega też przed ryzykiem „paraliżu regulacyjnego" przy wdrażaniu nowelizacji KSC.
Źródło: CRN.pl [PL]
The Hacker News i CyberScoop opisują wyniki rozbudowanej akcji Europolu, FBI i kilkunastu krajowych organów ścigania w ramach Operacji PowerOFF — jednej z największych w historii operacji wymierzonych w platformy DDoS-as-a-Service. Zajęto 53 domeny, zidentyfikowano 75 000 użytkowników platform DDoS-for-hire i ujawniono dane 3 milionów kont przestępczych. Platforma ta oferowała ataki DDoS na zamówienie za kilkadziesiąt dolarów — dostępne dla każdego bez wiedzy technicznej. Płacąc, można było sparaliżować sklep, szkołę, instytucję rządową lub gracza w grze online. Likwidacja platform DDoS-for-hire to jeden z najskuteczniejszych sposobów obniżania ogólnego poziomu cyberprzestępczości.
Źródło: The Hacker News | CyberScoop [EN]
Kapitan Hack opisuje poważną podatność w Cisco Webex (platforma wideokonferencji używana przez miliony firm), którą Cisco właśnie załatało. Błąd umożliwiał atakującemu podszywanie się pod dowolnego użytkownika bez podania hasła — wystarczyła znajomość identyfikatora konta. W praktyce oznaczało to możliwość dołączania do spotkań z cudzą tożsamością, przechwytywania wideokonferencji i dostępu do nagrań. Webex jest szeroko stosowany w środowiskach korporacyjnych i rządowych — zakres potencjalnych nadużyć byłby ogromny. Administratorzy powinni niezwłocznie zaktualizować platformę do najnowszej wersji.
Źródło: Kapitan Hack [PL]
The Register, Infosecurity Magazine i SecurityWeek informują o wyrokach skazujących dwóch obywateli USA, którzy pomagali Korei Północnej w prowadzeniu farmy laptopów dla fałszywych pracowników IT. Łącznie zostali skazani na ponad 200 miesięcy pozbawienia wolności — jeden z najostrzejszych dotychczasowych wyroków w tego rodzaju sprawach. Schemat działał tak: północnokoreańscy pracownicy, podając fałszywe tożsamości, podejmowali pracę w zachodnich firmach technologicznych przez internet, a fizyczny sprzęt (laptopy firmowe) był obsługiwany przez amerykańskich współpracowników. Zarobione środki zasilały program zbrojeń KRLD.
Źródło: The Register [EN] | Infosecurity Magazine [EN] | SecurityWeek [EN]
The Register i Dark Reading opisują nową kampanię grupy Sapphire Sleet (Korea Północna), analizowaną przez Microsoft Security Blog. Hakerzy atakują użytkowników macOS przez fałszywe strony konferencyjne, które — podobnie jak wcześniej na Windows — korzystają z techniki ClickFix. Ofiary proszone są o uruchomienie polecenia w terminalu, które instaluje backdoor umożliwiający kradzież kryptowalut i danych. Microsoft szczegółowo opisuje cały łańcuch infekcji — od fałszywej strony Microsoft Teams po kompromitację systemu. Kampania jest zbieżna z innymi operacjami DPRK z ostatnich tygodni i potwierdza, że Korea Północna traktuje macOS jako coraz ważniejszy cel.
Źródło: The Register [EN] | Dark Reading [EN] | Microsoft Security Blog [EN]
Security Affairs i BleepingComputer opisują szczegóły malware ZionSiphon — złośliwego oprogramowania stworzonego wyłącznie w celu sabotowania izraelskich systemów uzdatniania wody. ZionSiphon zawiera moduły do manipulowania parametrami procesów chemicznych (dozowanie chloru, pH), co w przypadku skutecznego wdrożenia mogłoby stanowić bezpośrednie zagrożenie dla zdrowia publicznego. Malware wykazuje cechy politycznej motywacji — nosi symboliczne nazwy powiązane z konfliktem izraelsko-palestyńskim i jest dystrybuowany przez sieć podmiotów o wrogim nastawieniu wobec Izraela. To kolejne potwierdzenie, że infrastruktura wodna jest aktywnym celem cyberwojny.
Źródło: Security Affairs [EN]
Niebezpiecznik opisuje wyjątkowo wyrafinowaną kampanię wymierzoną w administratorów fanpage'y: oszuści inicjują procedurę prośby o dostęp do Business Portfolio ofiary, co powoduje, że Facebook wysyła na niepubliczny (!) adres e-mail administratora autentyczny e-mail z prawdziwego adresu Mety — z wplecionymi fałszywymi treściami podrzuconymi przez atakującego. Ofiara widzi oficjalny e-mail od Facebooka z informacją o rzekomej blokadzie w ciągu 24 godzin i linkiem do strony phishingowej zbierającej dane logowania. Kluczowe: Facebook nie rozróżnia wyraźnie, które fragmenty wiadomości są dodane przez wnioskującego. To jeden z pierwszych tak dobrze udokumentowanych ataków, gdzie infrastruktura ofiary (Meta) jest używana do uwiarygodnienia ataku na jej własnych użytkowników.
Źródło: Niebezpiecznik [PL]
BleepingComputer informuje, że Google uruchamia szerokie wdrożenie modeli Gemini AI do wykrywania i blokowania złośliwych reklam na platformie Google Ads. Systemy AI mają znacznie szybciej niż dotychczas identyfikować reklamy prowadzące do phishingu, złośliwego oprogramowania, fałszywych sklepów i platform scamowych. Google twierdzi, że w 2025 roku usunęło ponad 3 miliardy złośliwych reklam — ale krytycy wskazują, że wiele oszustw wciąż skutecznie omija moderację, szczególnie kampanie pig butchering i fałszywe platformy inwestycyjne. Wdrożenie Gemini ma ten problem adresować przez rozpoznawanie wzorców behawioralnych i kontekstu strony docelowej.
Źródło: BleepingComputer [EN]
CyberDefence24 opisuje rosnącą w Polsce dyskusję o koncepcji „Cyberlegionu" — struktury, która integrowałaby cywilnych specjalistów IT i cyberbezpieczeństwa z siłami zbrojnymi w czasie kryzysu lub konfliktu zbrojnego. Wzorce zagraniczne (Estonia, Ukraina, Finlandia) pokazują, że rezerwiści-cywile z kompetencjami cyfrowymi mogą być kluczową siłą w hybrydowej wojnie. Polska ma ogromne niedobory kadrowe w dziedzinie cyberbezpieczeństwa zarówno w sektorze prywatnym, jak i wojskowym — koncepcja Cyberlegionu mogłaby wykorzystać potencjał tysięcy prywatnych specjalistów. Artykuł analizuje bariery prawne, organizacyjne i finansowe takiego rozwiązania.
Źródło: CyberDefence24 [PL]
LegalnieWSieci.pl ostrzega przed nasileniem kampanii phishingowej podszywającej się pod Pocztę Polską. Ofiary dostają SMS lub e-mail z informacją o zatrzymanej paczce wymagającej opłaty celnej lub dopłaty — z linkiem do fałszywej strony płatności. Oszustwo szczególnie skutecznie działa na osoby faktycznie oczekujące na przesyłki z zagranicy (np. z Azji) — wiadomość wydaje się wówczas logiczna i uzasadniona. Po kliknięciu ofiara jest prowadzona przez wieloetapowy formularz zbierający dane karty, dane logowania do bankowości i kody SMS. Pocztę Polską o przesyłce należy zawsze weryfikować bezpośrednio przez śledzenie na śledzenieprzesylek.poczta.pl — nigdy przez linki z SMS-ów.
Źródło: LegalnieWSieci.pl [PL]
Malwarebytes opisuje kampanię phishingową, w której e-maile z tematem „Your shipment has arrived" / „Twoja przesyłka dotarła" zawierają w załączniku lub linku nie faktury ani dokumenty śledzenia, lecz oprogramowanie zdalnego dostępu (RAT). Po otwarciu atakujący uzyskują pełną kontrolę nad komputerem ofiary. Kampania jest szczególnie skuteczna w środowiskach biznesowych, gdzie działy logistyki i zakupów regularnie obsługują powiadomienia o dostawach i rzadko podejrzewają, że wiadomość wyglądająca jak powiadomienie od kuriera może być złośliwa. Każdy niespodziewany załącznik z tematu przesyłkowego powinien zostać zweryfikowany przez bezpośredni kontakt z nadawcą.
Źródło: Malwarebytes [EN]
Virtual-IT ostrzega przed kontynuowaną kampanią phishingową wymierzoną w klientów PGE. Nowe warianty e-maili są jeszcze bardziej dopracowane graficznie i zawierają spersonalizowane dane (imię odbiorcy), co zwiększa wiarygodność. Analitycy ESET wskazują, że kampania korzysta z legalnych serwisów pośrednich do ukrywania faktycznego adresu strony docelowej, co utrudnia filtrowanie przez systemy e-mail. Jak zawsze: PGE nigdy nie prosi o dane karty płatniczej przez e-mail w celu zwrotu nadpłaty — jedynym bezpiecznym sposobem weryfikacji saltu jest logowanie przez oficjalną stronę moje.pge.pl.
Źródło: Virtual-IT [PL]
BleepingComputer opisuje wykrycie nowej platformy przestępczej ATHR (Automated Telephony-based Human Reconnaissance), która używa agentów głosowych AI do przeprowadzania zautomatyzowanych ataków vishingowych w skalowaniu niemożliwym dla ludzkich operatorów. Agent AI prowadzi rozmowę telefoniczną, przekonuje ofiarę, że rozmawiają z pracownikiem banku, działu IT lub dostawcy usług, a następnie wyłudza dane dostępowe lub skłania do wykonania działania (przelew, instalacja aplikacji). Platforma jest sprzedawana jako usługa w dark webie z subskrypcją miesięczną. To niepokojący krok w kierunku industrializacji vishingu — dotychczas wymagającego angażowania ludzkich operatorów.
Źródło: BleepingComputer [EN]
The Hacker News opisuje nowo odkryty botnet PowMix, który aktywnie infekuje podatne routery SOHO i urządzenia IoT głównie w Europie. Botnet jest używany zarówno do ataków DDoS, jak i do budowania infrastruktury proxy dla innych kampanii przestępczych. PowMix szczególnie celuje w urządzenia z niezaktualizowanym firmware i domyślnymi hasłami — te same problemy, które eksploatował wcześniej Forest Blizzard (GRU). Choć atrybucja polityczna nie została potwierdzona, wzorce celowania sugerują powiązanie z podmiotami prowadzącymi operacje szpiegowskie w Europie. Obowiązkowa zmiana domyślnych haseł i aktualizacja firmware routerów pozostaje podstawową, wciąż zaniedbywaną formą ochrony.
Źródło: The Hacker News [EN]
📅 Zestawienie obejmuje artykuły opublikowane ogólnodostępnych serwisach w dniu 17 kwietnia 2026 r. ⚠️ Materiał ma charakter informacyjny i edukacyjny.