Mamy pilne ostrzeżenie CERT Polska z 24 maja 2025 r. o precyzyjnej kampanii phishingowej „Wygasająca domena”, która wyłudza dane kart płatniczych właścicieli polskich witryn.
W piątek rano zespół CERT Polska opublikował alarm, w którym poinformował, że cyberprzestępcy podszywają się pod polskich operatorów usług domenowych i kierują przedsiębiorców oraz samorządowe instytucje na fałszywe bramki PayU, kradnąc wrażliwe dane kart i czyszcząc firmowe konta.
To pierwsze ostrzeżenie ogłoszone w nowym modelu szybkich komunikatów uruchomionym w serwisie moje.cert.pl zaledwie dwa dni wcześniej, co pozwoliło rozesłać alert do ponad 11 tys. zarejestrowanych użytkowników — w tym większości branży hostingowej.
Wygasająca domena. Sposób na nieświadomych przedsiębiorców
Analiza próbek e-maili pokazała idealnie sklonowane logo oraz szatę graficzną dużych, rozpoznawalnych rejestratorów i komunikat nakłaniający do „natychmiastowego odnowienia domeny” pod groźbą jej zablokowania.
Link prowadzi na witrynę, która niemal nie różni się od prawdziwego panelu PayU. Fałszerze zmieniają jedynie subtelnie nazwę hosta (np. dodatkowa kreska lub litera). Po wpisaniu pełnych danych karty środki są wypłacane, a przestępcy często wykonują kolejne transakcje, zanim użytkownik zdąży zareagować.
Polski rejestr .pl liczy dziś ponad 2,58 mln aktywnych nazw i co dobę przybywa średnio 2 tys. kolejnych — każda z nich to potencjalny wektor ataku na firmowe finanse i reputację. Według rocznego raportu CERT Polska za 2024 r. phishing stanowił ponad połowę wszystkich incydentów zgłoszonych do zespołu, a dynamika roczna wzrosła o 62 proc.
Atak uderza więc w najliczniejszą grupę posiadaczy domen i koreluje z obserwowanym od miesięcy trendem przenoszenia cyberprzestępczości z masowych, niechlujnych kampanii do perfekcyjnie przygotowanych, spersonalizowanych scenariuszy.
Poznaj te cyberzagrożenia: duplikat karty SIM
Reakcja branży i instytucji
Najwięksi rejestratorzy uruchomili własne alerty w panelach klienta oraz zablokowali kilkanaście nowych domen podobnych do ich adresów korporacyjnych, co potwierdziło CERT Polska w popołudniowej aktualizacji ostrzeżenia. Jednocześnie Infor i Telepolis nagłośniły apel o zgłaszanie każdej podejrzanej wiadomości przez formularz incydent.cert.pl, wskazując, że to jedyna droga do szybkiego zdjęcia domen przez rejestr.
Incydent wpisuje się w ciąg głośnych zdarzeń, które od początku kwietnia wystawiają polskie systemy na próbę: od DDoS-u na System Rejestrów Państwowych w ostatni dzień składania PIT-ów po coraz częstsze próby ingerencji w infrastrukturę krytyczną.
Ministerstwo Cyfryzacji przyspiesza więc procedowanie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, która ma wdrożyć dyrektywę NIS2. Projekt uznano w Sejmie za „pilny i priorytetowy” i skierowano do prac plenarnych na czerwiec br. Nowe przepisy nałożą obowiązek szerszego raportowania incydentów także na rejestratorów i dostawców hostingu — co może istotnie ograniczyć podobne kampanie.
Rekomendacje operacyjne dla właścicieli stron i działów IT
CERT Polska ponawia zalecenie, aby żadne płatności za domeny nie były inicjowane z linku przesłanego w e-mailu; status domeny należy weryfikować wyłącznie po ręcznym zalogowaniu do panelu rejestratora, a na kartach płatniczych ustawić limity do internetu i powiadomienia push o każdej transakcji.
Organizacje powinny też dopisać swoje domeny do bezpłatnego skanera w moje.cert.pl, który od dziś wysyła automatyczne alerty o podejrzanych wyłudzeniach lub lukach bezpieczeństwa. Eksperci radzą, by audytować rekordu DNS SEC i wymusić dwuetapowe uwierzytelnianie w panelach administracyjnych, zwłaszcza że wyciek danych kart otwiera drogę do dalszych oszustw finansowych i kompromitacji reputacji firmy.
Wprowadzenie systemu push-alertów w moje.cert.pl i przymiarki do nowych przepisów dają nadzieję, że część polskich firm będzie reagować szybciej niż do tej pory. Jednak, jak podkreślają analitycy CERT, w ciągu ostatnich dwunastu miesięcy średni czas życia fałszywej domeny skrócił się z 48 do 11 godzin. Przy takiej dynamice kluczowe będzie przerzucenie ciężaru reakcji na automatyczne feedy blokujące, zanim ofiara kliknie w link.
Skala rynku domen .pl oznacza, że nawet niewielki odsetek skutecznych oszustw może przynieść milionowe straty, dlatego każde przedsiębiorstwo zależne od swojej strony internetowej powinno po dzisiejszym alarmie przeprowadzić błyskawiczny przegląd procedur bezpieczeństwa i kanałów komunikacji z rejestratorem. Tylko tak Polska cyber-tarcza zachowa odporność przed kolejną, jeszcze bardziej wyrafinowaną odsłoną „Wygasającej domeny”.