Mariusz Szydłowski•13 kwietnia 2026•8 min czytania

Phishing KSeF: jak hakerzy wykorzystują e-faktury do ataku na Twoją firmę

Od 3 kwietnia 2026 roku KSeF jest obowiązkowy dla wszystkich podatników VAT w Polsce. Ponad 2 miliony firm nagle znalazło się w jednym systemie — i właśnie to czyni go wymarzonym celem dla cyberprzestępców. Kampanie phishingowe podszywające się pod Ministerstwo Finansów i system KSeF są już w obiegu. Ten artykuł pokazuje, jak wyglądają te ataki, jak je rozpoznać na pierwszy rzut oka i co zrobić, jeśli ktoś w Twojej firmie już kliknął.

BEZPIECZEŃSTWO

POCZTA

Skrzynka odbiorcza Gmail na ekranie laptopa — phishing KSeF dociera do firmowej poczty e-mail

Kluczowe informacje
KSeF skupia 2 mln+ podatników VAT w jednym systemie — to jeden z największych celów masowych kampanii phishingowych w historii polskiego internetu.
Atak trwa 3 kroki: fałszywy e-mail → fałszywa strona logowania → kradzież tokenu dostępowego lub danych logowania.
Pierwsze kampanie podszywające się pod KSeF pojawiły się już w obiegu — kilku naszych klientów przesłało nam podejrzane wiadomości w ostatnich tygodniach.
Ochrona wymaga jednocześnie technologii (SPF/DKIM/DMARC, filtr antyspamowy) i przeszkolenia pracowników.

Jak wygląda atak phishingowy na KSeF krok po kroku?

Klasyczny atak phishingowy wykorzystujący KSeF składa się z trzech etapów, które razem zajmują przestępcy mniej niż godzinę — a ofiara często nie ma pojęcia, że cokolwiek się wydarzyło. Według danych CERT Polska z 2025 roku liczba incydentów phishingowych wymierzonych w polskie firmy wzrosła o 34% rok do roku, a ataki na systemy finansowe stanowią najszybciej rosnącą kategorię zagrożeń.

Krok 1 — Fałszywy e-mail. Pracownik działu księgowości lub właściciel firmy dostaje wiadomość z adresu łudząco podobnego do oficjalnego: powiadomienie@ksef-mf.pl, noreply@ministerstwo-finansow.gov.pl.info albo ksef@podatki-gov.pl. Temat brzmi alarmująco: „Błąd weryfikacji faktury nr FV/2026/04/XXXX — wymagane natychmiastowe działanie" lub „Twoja faktura została odrzucona przez KSeF — zaloguj się, aby przywrócić dostęp."

Krok 2 — Fałszywa strona logowania. Link w e-mailu prowadzi do strony identycznie wyglądającej jak prawdziwy KSeF — takie samo logo Ministerstwa Finansów, ten sam układ, podobna domena: ksef-ministerstwo.pl, e-ksef.gov.com.pl lub inne warianty. Ofiara wpisuje login, hasło lub — co gorsza — wgrywa plik z tokenem dostępowym.

Krok 3 — Kradzież dostępu. Dane trafiają na serwer przestępcy. W ciągu kilku minut atakujący ma pełny dostęp do konta KSeF firmy: może przeglądać faktury, pobierać dane kontrahentów i wystawiać własne dokumenty. Część ataków idzie dalej — skradzione dane logowania są testowane na innych serwisach (banki, poczta firmowa), bo wiele osób używa tych samych haseł.

Przeczytaj więcej o tym, jak kompleksowe bezpieczeństwo IT chroni przed takimi atakami na każdym poziomie infrastruktury.

Dlaczego KSeF to tak atrakcyjny cel dla cyberprzestępców?

Do tej pory ataki phishingowe na systemy finansowe były rozpraszane pomiędzy dziesiątki różnych aplikacji i platform — każda firma używała innych narzędzi do fakturowania. KSeF zmienił tę logikę — skupiając wszystkich podatników VAT w jednym, obowiązkowym systemie, stworzył cel masowych kampanii o niespotykanej dotąd skuteczności.

Skala: 2 miliony podatników VAT to 2 miliony potencjalnych ofiar, do których można wysłać identyczną wiadomość.
Presja czasu: System jest nowy i obowiązkowy — każdy błąd lub powiadomienie budzi natychmiastowy niepokój. „Faktura odrzucona" to komunikat, który w sezonie rozliczeń wywołuje panikę.
Nieznajomość systemu: Większość firm dopiero uczy się obsługi KSeF. Pracownicy nie wiedzą jeszcze, jak wyglądają prawdziwe powiadomienia, co ułatwia podrobienie komunikacji.
Wartość skradzionych danych: Konto KSeF zawiera faktury zakupowe i sprzedażowe całej firmy — kompletny obraz przepływów finansowych, danych kontrahentów i NIP-ów. To gotowa baza do kolejnych wyłudzeń lub sprzedaży na czarnym rynku.

Nasza obserwacja: Systemy, które stają się obowiązkowe dla setek tysięcy podmiotów jednocześnie, zawsze generują falę phishingu w pierwszych miesiącach wdrożenia. Widzieliśmy to przy RODO, przy JPK, teraz widzimy przy KSeF. Przestępcy zawsze działają na fali nowości — zanim użytkownicy zdążą nauczyć się odróżniać oryginał od podróbki.

Prawdziwy scenariusz: co widzieliśmy u naszych klientów

W ostatnich tygodniach kilku naszych klientów z Częstochowy i okolic przesłało nam podejrzane e-maile, prosząc o weryfikację. Oto jak wyglądał typowy przypadek.

Pracownica biura rachunkowego odebrała wiadomość z adresu faktury@ksef-powiadomienia.pl. Temat: „PILNE: Faktura FV/2026/03/18834 — weryfikacja wymagana do końca dnia". W treści — oficjalne logo KSeF, fragment numeru NIP jej firmy (dostępny publicznie w rejestrze GUS) i przycisk „Zaloguj się i weryfikuj". Strona, do której prowadził link, wyglądała identycznie jak prawdziwy portal KSeF — różniła się tylko domeną: zamiast ksef.gov.pl było ksef-faktury.pl.

Pracownica na szczęście zadzwoniła do nas przed kliknięciem. Sprawdziliśmy domenę — zarejestrowana 4 dni wcześniej, hosting na serwerze w Holandii, bez certyfikatu wydanego przez zaufane CA dla polskich instytucji rządowych. Klasyczna podróbka.

Nie każda historia kończy się tak dobrze. W podobnym przypadku u innego klienta pracownik kliknął link i — choć nie wpisał hasła — sam fakt odwiedzenia strony zainstalował złośliwy skrypt śledzący. Musieliśmy przeprowadzić pełne czyszczenie stacji roboczej.

Kiedy potrzebna jest szybka reakcja na incydent, liczy się każda minuta. Nasz helpdesk IT reaguje w ciągu tej samej godziny — zdalnie lub z wizytą na miejscu w Częstochowie i okolicach.

Jak rozpoznać fałszywe powiadomienie KSeF? Checklistka

Prawdziwy KSeF wysyła powiadomienia wyłącznie z domeny @ksef.gov.pl lub przez oficjalny portal Ministerstwa Finansów. Każda inna domena jest czerwoną flagą. Przed kliknięciem jakiegokolwiek linku w e-mailu o tematyce KSeF sprawdź poniższe punkty.

Sprawdź nadawcę:

✅ Prawdziwa domena: @ksef.gov.pl lub @mf.gov.pl
❌ Czerwone flagi: ksef-mf.pl, ksef-faktury.pl, ministerstwo-finansow.pl, e-ksef.com.pl — i każda inna domena niebędąca .gov.pl

Sprawdź link przed kliknięciem (najedź kursorem):

✅ Powinien prowadzić do ksef.gov.pl lub podatki.gov.pl
❌ Każda inna domena — nawet jeśli zawiera słowo „ksef" — jest podejrzana

Sprawdź ton i treść wiadomości:

❌ Silna presja czasowa: „wymagane do końca dnia", „natychmiastowe działanie"
❌ Groźba zablokowania konta lub kary finansowej
❌ Prośba o pobranie i uruchomienie pliku .exe lub .zip
❌ Prośba o podanie hasła, tokenu lub danych karty płatniczej

Gdy masz wątpliwości:

Nie klikaj żadnego linku z e-maila — wejdź na stronę KSeF ręcznie wpisując adres w przeglądarkę
Zadzwoń na infolinię KSeF: 22 330 03 30
Zapytaj swojego informatyka — to jest właśnie sytuacja, w której helpdesk powinien odpowiedzieć w ciągu minut, nie dni

Co zrobić, gdy pracownik kliknął w fałszywy link?

Działaj natychmiast — każda minuta zwłoki zwiększa zakres szkód. Według raportu IBM Cost of a Data Breach 2025, firmy, które podjęły działania izolacyjne w ciągu pierwszej godziny od wykrycia incydentu, zmniejszyły jego koszt średnio o 37% w porównaniu z firmami, które czekały.

Odłącz urządzenie od sieci — natychmiast odepnij komputer od Wi-Fi i kabla Ethernet. Nie wyłączaj go — może być potrzebny do analizy.
Zmień hasła do KSeF i poczty firmowej — z innego urządzenia, które nie miało kontaktu z podejrzanym linkiem.
Zgłoś incydent do CERT Polska — przez stronę incydent.cert.pl. To pomaga ostrzec innych i śledzić kampanię.
Skontaktuj się ze swoim informatykiem — stacja robocza wymaga pełnego skanowania antymalware i sprawdzenia logów sieciowych. Nie używaj jej do pracy do czasu zakończenia analizy.
Powiadom biuro rachunkowe lub dział finansowy — jeśli skradzione dane mogą dotyczyć kont bankowych lub autoryzacji płatności.

Szybka reakcja jest możliwa tylko wtedy, gdy masz ustaloną linię kontaktu ze swoim informatykiem. Nasz abonament IT dla firm obejmuje reakcję na incydenty bezpieczeństwa w czasie rzeczywistym — bez dodatkowych opłat i bez czekania w kolejce.

Jak ITFast chroni firmowe skrzynki przed phishingiem KSeF?

Ochrona przed phishingiem to nie jeden środek, ale kilka warstw działających równocześnie. W firmach, które obsługujemy w ramach stałej opieki IT, wdrażamy następujący zestaw zabezpieczeń:

Warstwa 1 — Uwierzytelnianie poczty (SPF, DKIM, DMARC). Trzy standardy emailowe, które razem uniemożliwiają przestępcom podszywanie się pod Twoją domenę i skutecznie filtrują wiadomości z fałszywych nadawców. Według raportu Proofpoint State of the Phish 2025, firmy z wdrożonym DMARC w polityce reject odnotowały o 67% mniej skutecznych ataków spoofingowych. Mimo to ponad 60% polskich firm MŚP nadal nie ma skonfigurowanego DMARC.

Warstwa 2 — Filtr antyspamowy i antyphishingowy. W środowiskach Microsoft 365 korzystamy z ESET for microsoft365, który analizuje linki i załączniki w czasie rzeczywistym — zanim wiadomość trafi do skrzynki odbiorczej. Linki są przepisywane (Safe Links) i sprawdzane przy każdym kliknięciu, a nie tylko przy dostarczeniu.

Warstwa 3 — Szkolenie pracowników. Technologia nie wystarczy, jeśli pracownik kliknie zanim pomyśli. Przeprowadzamy symulowane kampanie phishingowe — wysyłamy kontrolowane fałszywe wiadomości do pracowników klienta, mierzymy kto kliknął i robimy dedykowane mini-szkolenie dla tych osób. Skuteczność jest mierzalna: po pierwszej symulacji wskaźnik kliknięć spada średnio o 70% w kolejnym teście.

Warstwa 4 — Backup i odtwarzanie. Jeśli mimo wszystko dojdzie do incydentu, codzienny backup danych firmy pozwala odtworzyć środowisko bez płacenia okupu i bez trwałej utraty danych.

Chcesz sprawdzić, czy Twoja firma jest gotowa na phishing KSeF? Zadzwoń do nas — przeprowadzimy bezpłatną ocenę stanu zabezpieczeń poczty firmowej i powiem Ci wprost, co wymaga poprawy.

Podsumowanie: phishing KSeF to nie teoria — to już się dzieje

KSeF stał się obowiązkowy zaledwie kilka dni temu, a pierwsze kampanie phishingowe są już w obiegu. Masowość systemu, stres związany z nowym obowiązkiem i nieznajomość wyglądu prawdziwych powiadomień tworzą idealne warunki dla cyberprzestępców.

Kluczowe wnioski:

Prawdziwe powiadomienia KSeF zawsze pochodzą z domeny @ksef.gov.pl lub @mf.gov.pl — każda inna to red flag.
Gdy ktoś kliknął: odłącz urządzenie, zmień hasła, zadzwoń do informatyka.
Ochrona wymaga trzech warstw: technicznej (SPF/DKIM/DMARC), narzędziowej (filtr antyspamowy) i ludzkiej (szkolenie).

Masz pytania albo chcesz wiedzieć, czy Twoja skrzynka jest odpowiednio zabezpieczona? Skontaktuj się z nami — pomożemy zanim pojawi się problem, nie dopiero gdy już się stanie.

AutorMariusz Szydłowski

Informatyk, sieciowiec, założyciel ITFast. 25 lat doświadczenia w projektowaniu sieci, bezpieczeństwie IT i obsłudze firm w Częstochowie i na Śląsku. Pisze o tym, z czym firmy faktycznie mają problem — awariach, ransomware, backupie i tym dlaczego własny informatyk na etat to często przepłacanie.

Najczęściej zadawane pytania

Poniżej znajdziesz odpowiedzi na najczęściej zadawane pytania dotyczące naszych usług. Masz inne pytania? Skontaktuj się z nami!

Skąd poznać, że e-mail o KSeF jest fałszywy?

Prawdziwe powiadomienia KSeF wysyłane są wyłącznie z domen @ksef.gov.pl lub @mf.gov.pl. Każda inna domena — nawet jeśli zawiera słowo „ksef" w nazwie — jest natychmiastową czerwoną flagą. Sprawdź adres nadawcy w całości: przestępcy często używają adresów takich jak ksef-mf.pl, e-ksef.com.pl czy ministerstwo-finansow.pl, które wyglądają wiarygodnie, ale nie są oficjalnymi domenami rządowymi. Przed kliknięciem jakiegokolwiek linku najedź na niego kursorem i sprawdź dokąd prowadzi — powinien wskazywać wyłącznie na ksef.gov.pl lub podatki.gov.pl. Uważaj też na treść wiadomości: fałszywe e-maile niemal zawsze stosują silną presję czasową, grożą zablokowaniem konta, nałożeniem kary lub odrzuceniem faktury „do końca dnia". Prawdziwe powiadomienia systemowe nie wymuszają natychmiastowego działania pod groźbą sankcji. Jeśli masz wątpliwości, wejdź na stronę KSeF ręcznie wpisując adres w przeglądarkę — nigdy przez link z e-maila. Możesz też zadzwonić na infolinię KSeF: 22 330 03 30.

Co zrobić, jeśli pracownik kliknął w link z fałszywego e-maila KSeF?

Działaj natychmiast — każda minuta zwłoki zwiększa zakres potencjalnych szkód. Pierwszym krokiem jest odłączenie urządzenia od sieci: wyciągnij kabel Ethernet i wyłącz Wi-Fi, nie wyłączając samego komputera, który może być potrzebny do późniejszej analizy. Z innego, niezainfekowanego urządzenia zmień hasło do portalu KSeF i do poczty firmowej — to dwa najważniejsze konta, które mogły zostać skompromitowane. Jeśli pracownik wpisał dane logowania na fałszywej stronie, zgłoś to również do Ministerstwa Finansów przez oficjalne kanały. Incydent powinieneś też zgłosić do CERT Polska przez stronę incydent.cert.pl — pomaga to śledzić i ostrzegać przed aktywną kampanią phishingową. Następnie skontaktuj się ze swoim informatykiem: zainfekowany komputer wymaga pełnego skanowania antymalware i analizy logów sieciowych przed powrotem do użytku. Nie używaj go do żadnej pracy do czasu zakończenia analizy. Poinformuj też dział finansowy lub biuro rachunkowe, jeśli istnieje ryzyko, że skradzione dane mogły dotyczyć autoryzacji płatności lub kont bankowych.

Czy SPF, DKIM i DMARC chronią przed phishingiem KSeF?

Tak — te trzy standardy uwierzytelniania poczty elektronicznej tworzą razem pierwszą i najskuteczniejszą warstwę ochrony przed phishingiem. SPF określa, które serwery mogą wysyłać e-maile w imieniu Twojej domeny. DKIM dodaje do każdej wiadomości cyfrowy podpis potwierdzający jej autentyczność. DMARC łączy oba mechanizmy i mówi serwerom odbiorców co zrobić z wiadomościami, które ich nie spełniają: oznaczać jako spam lub całkowicie odrzucać. Według raportu Proofpoint State of the Phish 2025, firmy z DMARC skonfigurowanym w polityce „reject" odnotowały o 67% mniej skutecznych ataków spoofingowych. Mimo to ponad 60% polskich firm MŚP nadal nie ma wdrożonego DMARC. Konfiguracja wszystkich trzech rekordów to kilkadziesiąt minut pracy informatyka — i jeden z najtańszych środków ochrony w stosunku do efektu. Warto jednak pamiętać, że sam DMARC nie blokuje każdego phishingu: jeśli przestępca używa własnej domeny (nie Twojej), e-mail może przejść filtry. Dlatego ochrona techniczna musi iść w parze ze szkoleniem pracowników.

Czy KSeF jest bezpieczny — czy hakerzy mogą przejąć konto?

Sam system KSeF prowadzony przez Ministerstwo Finansów jest zabezpieczony na poziomie infrastruktury rządowej i nie jest bezpośrednim celem włamania. Zagrożenie działa na zupełnie innym poziomie: przestępcy nie atakują serwerów KSeF, lecz atakują ludzi, którzy z niego korzystają. Metoda nazywa się phishingiem — polega na wyłudzeniu danych logowania od pracownika firmy przez fałszywą stronę lub e-mail udający oficjalną komunikację systemu. Gdy atakujący zdobędzie login i hasło lub token dostępowy, loguje się do prawdziwego KSeF jako uprawniony użytkownik — i system nie ma możliwości odróżnienia go od właściciela konta. Dlatego bezpieczeństwo KSeF w firmie to nie tylko kwestia zabezpieczenia samego systemu, ale przede wszystkim ochrony skrzynki pocztowej, przeszkolenia pracowników z rozpoznawania phishingu i wdrożenia uwierzytelniania wieloskładnikowego (MFA) wszędzie tam, gdzie to możliwe. To właśnie w tych trzech obszarach tkwi realne ryzyko i realna ochrona.