Fałszywe maile „na KSeF”. Jak bezpiecznie korzystać z e-faktur i nie dać się oszukać

KSeF jako nowe pole do ataków: dlaczego oszuści tak szybko wykorzystali system e-Faktur

Krajowy System e-Faktur (KSeF) to państwowa platforma teleinformatyczna służąca do wystawiania, otrzymywania i przechowywania faktur ustrukturyzowanych. W praktyce oznacza to odejście od tradycyjnych faktur papierowych i częściowo także od klasycznych faktur w formacie PDF na rzecz jednolitego standardu elektronicznego, obsługiwanego przez centralny system Ministerstwa Finansów. Dla przedsiębiorców to zmiana o fundamentalnym znaczeniu – wpływa na procesy sprzedaży, księgowości, obiegu dokumentów i raportowania podatkowego. Dla biur rachunkowych i działów finansowo–księgowych to konieczność dostosowania procedur, oprogramowania i odpowiedzialności. Dla administratorów IT – wdrożenie nowych integracji, zabezpieczenie dostępu i ochronę danych.

KSeF został wprowadzony, aby uszczelnić system podatkowy, ograniczyć nadużycia w VAT, ułatwić kontrolę rozliczeń oraz uprościć obieg faktur między kontrahentami. Z punktu widzenia państwa to ogromne źródło danych o transakcjach gospodarczych, a z perspektywy firm – obowiązek, którego nie można zignorować. Nic dziwnego, że start obowiązkowego korzystania z KSeF przyciągnął uwagę nie tylko księgowych i doradców podatkowych, lecz także cyberprzestępców.

Każdy nowy, masowy system państwowy to dla oszustów idealne środowisko działania. Po pierwsze, obejmuje on ogromną liczbę użytkowników – od mikroprzedsiębiorców po duże korporacje. Po drugie, wdrożeniu towarzyszy presja czasu, obawy przed sankcjami i niepewność interpretacyjna. Po trzecie, przez pierwsze miesiące poziom oswojenia użytkowników z nowymi procedurami jest niski. W takich warunkach socjotechnika działa wyjątkowo skutecznie.

Już w kilka dni po rozpoczęciu obowiązkowego stosowania KSeF w obiegu zaczęły się pojawiać pierwsze kampanie phishingowe podszywające się pod urzędy skarbowe i Ministerstwo Finansów. Eksperci ds. bezpieczeństwa IT oraz społeczności zajmujące się cyberbezpieczeństwem publikowały przykłady wiadomości e-mail, które do złudzenia przypominały oficjalną korespondencję dotyczącą e-faktur. Równolegle w komunikatach administracji skarbowej zwracano uwagę na rosnące ryzyko wyłudzeń związanych z KSeF oraz ostrzegano przed otwieraniem podejrzanych załączników i linków.

Celem niniejszego artykułu jest przedstawienie mechanizmów ataków „na KSeF”, omówienie typowych cech fałszywych wiadomości oraz zaproponowanie praktycznych, możliwych do natychmiastowego wdrożenia w firmie procedur weryfikacji, obrony i reagowania na incydenty.

Jak wyglądają fałszywe maile „na KSeF”: scenariusze ataków widziane w praktyce

Fałszywe wiadomości związane z KSeF są zazwyczaj krótkie, utrzymane w formalnym, urzędowym tonie i pozbawione zbędnych ozdobników. Ich treść często odwołuje się do naczelnika urzędu skarbowego, dyrektora izby administracji skarbowej lub bezpośrednio do Ministerstwa Finansów. Nadawca informuje o ważnym powiadomieniu, wszczęciu czynności sprawdzających albo potrzebie pilnego uzupełnienia danych związanych z KSeF.

Popularny scenariusz polega na wysłaniu komunikatu, który sugeruje, że w załączniku znajduje się formalne pismo dotyczące obowiązków podatnika w zakresie korzystania z KSeF. Tekst bywa zwięzły, np. informuje o „powiadomieniu w sprawie rozliczeń VAT w związku z uruchomieniem Krajowego Systemu e-Faktur” i zachęca do zapoznania się z treścią dokumentu w załączeniu. Adresat proszony jest o pilne otwarcie pliku, rzekomo w celu uniknięcia negatywnych konsekwencji.

Inny wariant zakłada odwołanie się do potrzeby przeszkolenia lub potwierdzenia gotowości do korzystania z KSeF. Oszuści podszywający się pod administrację skarbową informują, że w związku z wdrożeniem systemu wymagane jest potwierdzenie danych firmy i osób uprawnionych do wystawiania faktur w KSeF. W wiadomości pojawia się prośba o wypełnienie formularza online, kliknięcie w link prowadzący do „panelu KSeF” lub odesłanie zestawu danych firmowych.

W wielu przypadkach treść maili jest przygotowana bardzo starannie pod względem językowym i graficznym. Oszuści korzystają z poprawnej polszczyzny, stosują formalne zwroty i powołują się na konkretne przepisy – na przykład Ordynację podatkową, ustawę o VAT czy rozporządzenia wykonawcze związane z KSeF. Stopka wiadomości może zawierać fikcyjne, ale realistyczne dane urzędu, numer telefonu czy adres korespondencyjny.

Ich cel jest zazwyczaj dwojaki. Po pierwsze, zainfekowanie komputera ofiary złośliwym oprogramowaniem – od klasycznego malware i trojanów, po ransomware szyfrujący dane na stacjach roboczych i serwerach. W takim wariancie złośliwy kod ukryty jest w załączniku lub pod linkiem prowadzącym do fałszywej strony, z której pobierany jest plik instalacyjny. Po drugie, wyłudzenie danych logowania do systemów finansowo–księgowych, bankowości elektronicznej lub samego KSeF, a także danych osobowych i finansowych firmy.

Atakujący podszywają się zarówno pod konkretne urzędy skarbowe, jak i szerzej – pod Ministerstwo Finansów lub Krajową Administrację Skarbową (KAS). Wykorzystują fakt, że nazwa KSeF jest stosunkowo nowa i budzi respekt, szczególnie wśród przedsiębiorców, którzy dopiero zaczynają korzystać z systemu. Osoby, które nie mają jeszcze praktycznego doświadczenia z oficjalną korespondencją w sprawie KSeF, mogą mieć trudność z odróżnieniem prawdziwego pisma od jego fałszywej kopii.

Podszywanie się pod domeny resortu finansów i komunikaty KAS: na co patrzeć w adresie i treści

Jednym z kluczowych elementów odróżniających prawdziwą korespondencję od fałszywej jest adres nadawcy. Oficjalna komunikacja administracji skarbowej wykorzystuje domeny rządowe, takie jak gov.pl, a w szczególności subdomeny powiązane z Ministerstwem Finansów i Krajową Administracją Skarbową, na przykład mf.gov.pl czy krajowaadministracjaskarbowa.gov.pl. Cyberprzestępcy starają się imitować te adresy, stosując subtelne literówki, dodatkowe znaki lub inne końcówki domen, np. .com, .net czy .org.

Spotykane są adresy, które na pierwszy rzut oka wyglądają poprawnie, lecz po dokładniejszym przyjrzeniu się okazują się fałszywe, np. poprzez zamianę jednej litery, dodanie myślnika, użycie podobnie wyglądającego znaku (np. „l” zamiast „t” lub znaków z innych alfabetów). W niektórych kampaniach stosowane są także skrócone linki, które ukrywają właściwy adres docelowy.

Fałszywe maile bardzo często zawierają logotypy Ministerstwa Finansów, Krajowej Administracji Skarbowej, a nawet godło państwowe skopiowane z legalnych stron. W stopce pojawiają się podpisy rzekomych urzędników, numery komórek czy adresy placówek. W treści oszuści powołują się na konkretne artykuły ustaw, sygnatury pism czy numery spraw, co ma wzmocnić wrażenie autentyczności. Samo użycie logotypów czy sformułowania „Krajowy System e-Faktur (KSeF)” w żadnym wypadku nie może być uznane za dowód, że wiadomość pochodzi z urzędu.

Administracja skarbowa w oficjalnych komunikatach publikowanych na stronach w domenie gov.pl przypomina, że podatnicy powinni zawsze weryfikować adres nadawcy wiadomości oraz zachowywać szczególną ostrożność wobec odnośników prowadzących do zewnętrznych stron. Jeżeli link nie kieruje do znanej i zaufanej domeny rządowej lub systemu bankowego, należy traktować go jako potencjalnie niebezpieczny.

Bezpieczną praktyką jest samodzielne wpisanie w przeglądarce adresu strony Ministerstwa Finansów, Krajowej Administracji Skarbowej lub oficjalnego portalu podatkowego, zamiast klikania w odsyłacze zawarte w wiadomości, której autentyczność budzi wątpliwości. Dzięki temu ryzyko przekierowania na fałszywą stronę znacznie się zmniejsza.

Czerwone flagi w korespondencji „z urzędu”: lista sygnałów, które zawsze powinny wzbudzić czujność

W praktyce warto wyrobić w firmie nawyk analizowania kilku podstawowych elementów każdej wiadomości rzekomo pochodzącej z urzędu skarbowego lub Ministerstwa Finansów. Każdy z poniższych sygnałów powinien zostać potraktowany jako ostrzeżenie i element wewnętrznej checklisty bezpieczeństwa:

• Nietypowy adres nadawcy – brak domeny gov.pl lub adres zawierający dziwne ciągi znaków, literówki, dodatkowe cyfry czy nietypowe końcówki domen. Jeżeli adres wygląda podejrzanie, wiadomość wymaga szczególnej ostrożności.

• Nacisk na pośpiech – sformułowania w rodzaju „natychmiast”, „ostatnie wezwanie”, „pilne”, „niezwłocznie” mają wywołać presję i skłonić do działania bez zastanowienia. Organy podatkowe zazwyczaj wyznaczają konkretne terminy w sposób spokojny i sformalizowany.

• Groźby sankcji za brak reakcji – grożenie natychmiastową karą pieniężną, blokadą konta bankowego czy innymi dotkliwymi konsekwencjami w razie nieotwarcia załącznika lub niekliknięcia w link jest typową taktyką socjotechniczną.

• Prośba o podanie loginów, haseł lub kodów SMS – urzędy skarbowe i Ministerstwo Finansów nie proszą mailowo o dane logowania do bankowości elektronicznej, KSeF czy innych systemów, ani o przesyłanie kodów autoryzacyjnych SMS.

• Żądanie danych kart płatniczych lub numerów kont – wątpliwe jest, aby organ podatkowy prosił w wiadomości e-mail o kompletne dane kart płatniczych lub poufne dane kont bankowych.

• Załączniki w nietypowych formatach – szczególną czujność powinny wywoływać pliki .zip, .rar, .7z, .exe, .js, a także pliki obrazów dysków, takie jak .iso czy .img. Równie niebezpieczne mogą być dokumenty Office z włączonymi makrami.

• Linki skrócone lub maskowane – stosowanie serwisów skracających adresy URL albo linków, których właściwy adres widać dopiero po najechaniu kursorem, to częsta technika ukrywania złośliwych stron.

• Błędy językowe i niestandardowe formatowanie – liczne literówki, nienaturalne zwroty czy chaotyczne formatowanie (np. różne czcionki, kolory, brak polskich znaków) mogą wskazywać na nieautentyczne źródło wiadomości. Warto jednak pamiętać, że coraz częściej oszuści posługują się poprawną polszczyzną.

• Brak możliwości weryfikacji treści na stronie urzędu – jeżeli w wiadomości mowa o nowym rodzaju opłaty, obowiązku czy szkoleniu, a na oficjalnych stronach Ministerstwa Finansów lub KAS nie ma żadnej wzmianki na ten temat, podejrzenie oszustwa jest uzasadnione.

Nawet bardzo poprawny język, profesjonalny wygląd wiadomości i obecność logotypów nie stanowią gwarancji jej autentyczności. Ocena powinna obejmować zarówno treść, jak i elementy techniczne: domenę, nagłówki e-mail, rzeczywisty adres URL linków po najechaniu kursorem oraz typ i pochodzenie załączników.

Praktyczna checklista bezpieczeństwa dla firm: jak weryfikować maile związane z KSeF krok po kroku

Skuteczne zabezpieczenie organizacji przed phishingiem „na KSeF” wymaga połączenia świadomości użytkowników z prostymi, powtarzalnymi procedurami. Warto opracować w firmie czytelną checklistę weryfikacji każdej wiadomości odnoszącej się do KSeF, szczególnie w działach mających regularny kontakt z urzędami: sekretariatach, księgowości, działach sprzedaży i IT.

• Sprawdzenie domeny nadawcy i pełnego adresu e-mail – należy każdorazowo zweryfikować, czy adres kończy się na gov.pl i czy nie zawiera podejrzanych modyfikacji. Warto sprawdzić także nazwę wyświetlaną obok adresu, ponieważ może być łatwo sfałszowana.

• Najechanie kursorem na linki bez klikania – przed otwarciem jakiegokolwiek odnośnika trzeba sprawdzić, jaki adres faktycznie się pod nim kryje. Jeśli domena nie jest zaufana, a adres wygląda nietypowo, linku nie wolno otwierać.

• Nieotwieranie załączników z nieznanych źródeł – szczególnie niebezpieczne są pliki wykonywalne, archiwa i dokumenty wymagające uruchomienia makr. Jeżeli nie ma pewności, że wiadomość pochodzi z urzędu, załącznik należy pozostawić nieotwarty do czasu weryfikacji.

• Porównanie treści maila z komunikatami MF/KAS – jeśli wiadomość informuje o nowych obowiązkach, opłatach lub procedurach związanych z KSeF, warto sprawdzić, czy podobne informacje są opublikowane na oficjalnych stronach resortu finansów lub KAS.

• Kontakt z urzędem przez oficjalne kanały – w razie wątpliwości wskazane jest skontaktowanie się z właściwym urzędem skarbowym lub infolinią Krajowej Administracji Skarbowej, korzystając z numerów i adresów dostępnych na stronach w domenie gov.pl, a nie z danych podanych w podejrzanej wiadomości.

• Zgłoszenie podejrzanej wiadomości w organizacji – każdy pracownik, który otrzyma mail budzący wątpliwości, powinien mieć obowiązek przekazania go do działu IT, administratora bezpieczeństwa informacji lub wyznaczonej osoby odpowiedzialnej za incydenty. W razie potrzeby incydent można zgłosić również do odpowiednich instytucji, takich jak krajowy zespół reagowania na incydenty bezpieczeństwa komputerowego (CERT).

W praktyce dobrym rozwiązaniem jest wydrukowanie checklisty i umieszczenie jej w widocznym miejscu w księgowości oraz w innych działach, które mogą otrzymywać korespondencję od organów podatkowych. Należy także wprowadzić formalny obowiązek stosowania tej listy przy każdym mailu dotyczącym KSeF, niezależnie od tego, jak wiarygodnie wygląda.

Z perspektywy administratorów IT ważne jest skonfigurowanie skutecznych filtrów antyspamowych, regularne aktualizowanie baz złośliwych domen i adresów IP, a także blokowanie dostępu do znanych stron phishingowych. Konieczne jest wymuszanie aktualizacji systemów operacyjnych i oprogramowania, regularne tworzenie kopii zapasowych (w tym offline) oraz wdrażanie rozwiązań klasy EDR, które pomagają wykrywać podejrzane aktywności na stacjach roboczych.

Wzory fałszywych komunikatów i bezpieczne procedury reakcji w firmie

W ostatnich tygodniach użytkownicy i eksperci ds. bezpieczeństwa publikowali przykłady fałszywych komunikatów „na KSeF”. Mają one powtarzalne schematy, które warto znać, aby łatwiej je rozpoznawać.

Typowy komunikat może brzmieć w sposób zbliżony do: „informujemy o wszczęciu kontroli podatkowej w zakresie rozliczeń VAT w związku z wdrożeniem Krajowego Systemu e-Faktur. Szczegółowe informacje znajdują się w załączonym piśmie”. Taka wiadomość jest podejrzana, jeżeli odbiorca nie spodziewał się żadnej kontroli, nie prowadzi sporu z organami podatkowymi, a załącznik ma nietypowy format. Osoba w firmie powinna zadać sobie pytanie, czy w normalnym toku spraw urząd wszczyna kontrolę bez uprzedniej, bardziej formalnej korespondencji.

Inny wariant to wiadomość o treści zbliżonej do: „w załączniku znajduje się ważne powiadomienie dotyczące Krajowego Systemu e-Faktur. Prosimy o pilne zapoznanie się i potwierdzenie odbioru”. Tu pojawia się wyraźny nacisk na pośpiech, a brak szczegółów w samym mailu (całość rzekomo w załączniku) powinien wzmóc czujność.

Popularny jest także schemat „prosimy o pilne potwierdzenie gotowości do korzystania z KSeF i przesłanie danych firmy”, w którym nadawca żąda przekazania pełnych danych identyfikacyjnych przedsiębiorstwa, a czasem również danych osobowych pracowników lub uprawnionych do wystawiania faktur. Należy pamiętać, że tak wrażliwe informacje nie powinny być gromadzone i przetwarzane w sposób niekontrolowany, a urzędy nie oczekują ich przekazywania w odpowiedzi na niespodziewany e-mail.

Wreszcie pojawiają się wiadomości, które sugerują konieczność „uniknięcia sankcji” poprzez niezwłoczne opłacenie faktury w załączeniu lub dokonanie przelewu na wskazany rachunek. W takim przypadku szczególnie ważne jest zweryfikowanie, czy firma rzeczywiście jest zobowiązana wobec danej instytucji oraz czy numer rachunku zgadza się z oficjalnie publikowanymi numerami kont urzędów skarbowych.

W każdej z powyższych sytuacji wzorcowa procedura reakcji w organizacji powinna wyglądać następująco:

• Wstrzymanie się z jakąkolwiek odpowiedzią – nie należy odpisywać nadawcy, klikać w linki ani otwierać załączników.

• Wykonanie zrzutów ekranu i zabezpieczenie dowodów – warto udokumentować treść wiadomości oraz nagłówki techniczne e-maila, co może być przydatne przy późniejszej analizie lub zgłoszeniu incydentu.

• Zgłoszenie incydentu przełożonemu i działowi IT – osoba, która zauważyła podejrzaną wiadomość, powinna niezwłocznie poinformować przełożonego i przekazać e-mail do analizy specjalistom IT lub osobie odpowiedzialnej za bezpieczeństwo informacji.

• Odłączenie zainfekowanej stacji roboczej – jeśli załącznik został jednak otwarty lub link kliknięty, a na komputerze pojawiają się nietypowe objawy, takie jak spowolnienie pracy, błędy czy szyfrowanie plików, należy możliwie szybko odłączyć urządzenie od sieci, aby zminimalizować skalę potencjalnych szkód.

• Powiadomienie odpowiednich instytucji – w razie wycieku danych lub utraty środków finansowych konieczny może być kontakt z bankiem, aby zablokować podejrzane transakcje, a także zgłoszenie incydentu do organów ścigania i wyspecjalizowanych zespołów reagowania na incydenty, takich jak CERT.

• Przegląd procedur po incydencie – po opanowaniu sytuacji warto przeprowadzić krótką analizę wewnętrzną, zaktualizować procedury oraz przeszkolić pracowników, aby podobny błąd nie powtórzył się w przyszłości.

Aktualne ostrzeżenia i długoterminowe wnioski dla przedsiębiorców, księgowych i administratorów IT

Ostatnie ostrzeżenia publikowane przez administrację skarbową oraz obserwacje specjalistów ds. cyberbezpieczeństwa wskazują jednoznacznie, że oszuści bardzo szybko zaadaptowali KSeF jako pretekst do ataków socjotechnicznych. Fałszywe maile są coraz lepiej przygotowane graficznie i językowo, dokładniej imitują styl urzędowej korespondencji i częściej odwołują się do aktualnych zmian w prawie podatkowym. Pojawiają się zarówno oferty rzekomych szkoleń i „pomocy we wdrożeniu KSeF”, jak i fałszywe powiadomienia o kontrolach, zaległościach podatkowych lub konieczności opłacenia faktur.

Warto podkreślić, że sam Krajowy System e-Faktur nie jest z natury „niebezpieczny”. Jest to narzędzie, które – odpowiednio wdrożone i zabezpieczone – może przynieść korzyści w postaci uporządkowania obiegu dokumentów i łatwiejszej kontroli rozliczeń. To jednak właśnie jego powszechność i nowość czynią go atrakcyjnym tematem dla cyberprzestępców, którzy wykorzystują niewiedzę i obawy przedsiębiorców.

Dla przedsiębiorców najważniejszym wnioskiem jest potrzeba ustanowienia formalnych, spisanych procedur weryfikacji korespondencji z urzędami. Zasada „zero zaufania” wobec niezweryfikowanych maili powinna stać się standardem. Każda wiadomość, nawet wyglądająca na autentyczną, wymaga podstawowej weryfikacji adresu nadawcy, treści, załączników i linków. W większych organizacjach konieczne jest wyznaczenie osób odpowiedzialnych za kontakt z urzędami i jasne określenie, kto ma prawo podejmować decyzje w odpowiedzi na pisma dotyczące KSeF.

Księgowi i pracownicy biur rachunkowych pełnią rolę pierwszej linii obrony. To do nich najczęściej trafiają maile odnoszące się do faktur, deklaracji i rozliczeń. Regularne szkolenia z zakresu cyberbezpieczeństwa, udostępnianie aktualnych ostrzeżeń oraz zapewnienie prostych, zrozumiałych instrukcji postępowania w razie wątpliwości są niezbędne. Warto, aby w zespołach księgowych obowiązywała zasada, że żadna decyzja finansowa lub podatkowa nie jest podejmowana wyłącznie na podstawie niespodziewanego e-maila.

Administratorzy IT powinni natomiast zadbać nie tylko o klasyczne środki techniczne – filtry antyspamowe, zapory, segmentację sieci, systemy kopii zapasowych i rozwiązania EDR – lecz także o polityki haseł, wieloskładnikowe uwierzytelnianie (MFA) i systematyczną edukację użytkowników. Jak podkreślają eksperci cytowani m.in. przez serwisy specjalistyczne oraz administrację publiczną w komunikatach na stronach gov.pl, najsłabszym ogniwem najczęściej pozostaje człowiek, nie technologia.

Oszustwa „na KSeF” nie są jednorazowym incydentem, lecz zjawiskiem, które z dużym prawdopodobieństwem będzie się rozwijać wraz z upowszechnianiem systemu. Kampanie phishingowe będą ewoluować, wykorzystywać nowe preteksty (np. zmiany limitów, nowe obowiązki raportowe, aktualizacje oprogramowania) i coraz lepiej dopasowywać się do profilu konkretnych branż. Dlatego bezpieczeństwo komunikacji z administracją podatkową należy traktować jako proces ciągły – wymagający monitorowania, przeglądu procedur, aktualizacji zabezpieczeń i stałego podnoszenia świadomości pracowników.

Dobrze przygotowana organizacja, dysponująca jasno zdefiniowanymi zasadami, przeszkolonym personelem i wsparciem kompetentnego działu IT, ma realną szansę zminimalizować ryzyko udanego ataku. W obliczu obowiązkowego KSeF inwestycja w bezpieczeństwo cyfrowe jest dziś nieodłącznym elementem odpowiedzialnego zarządzania firmą, niezależnie od jej wielkości.