Tysiące zgłoszeń do CERT Polska

CERT Polska opublikował podsumowanie cyberzagrożeń za maj 2026 r. Dane pokazują, że skala zgłoszeń i incydentów pozostaje bardzo duża, choć część wskaźników spadła względem kwietnia. Wyraźnie wzrosła natomiast liczba zgłoszonych podejrzanych SMS-ów.

W maju do CERT Polska trafiło 53,3 tys. zgłoszeń. Na ich podstawie zarejestrowano 21,9 tys. incydentów cyberbezpieczeństwa. Zespół zwraca uwagę, że od kwietnia 2026 r. dane mogą nie być w pełni porównywalne z wcześniejszymi okresami, ponieważ zmieniły się przepisy ustawy o krajowym systemie cyberbezpieczeństwa i zasady klasyfikacji zgłoszeń.

Cyberzagrożenia w maju 2026 r. - najważniejsze liczby

Mniej zgłoszeń niż rok temu, ale więcej incydentów

Liczba wszystkich zgłoszeń w maju była niższa od średniej z poprzednich 12 miesięcy. W porównaniu z majem 2025 r. spadła o 20%, a względem kwietnia 2026 r. o 6%.

Inaczej wygląda sytuacja przy incydentach. CERT Polska zarejestrował ich o 10% więcej niż w maju 2025 r., choć względem kwietnia 2026 r. odnotowano spadek o 7%.

Od początku roku do końca maja na Listę Ostrzeżeń przed niebezpiecznymi stronami wpisano 107,5 tys. szkodliwych domen. Lista służy m.in. do blokowania stron wykorzystywanych w phishingu i kampaniach wyłudzających dane.

Podejrzane SMS-y mocno w górę

W maju CERT Polska przyjął 15,7 tys. zgłoszeń podejrzanych SMS-ów. To wzrost o 29% względem kwietnia. Fałszywe wiadomości stanowiły 27% wszystkich majowych zgłoszeń SMS.

Podejrzane SMS-y można zgłaszać na bezpłatny numer 8080. Na podstawie tworzonych wzorców operatorzy mogą blokować wiadomości spełniające cechy smishingu. W maju zablokowano w ten sposób 48,7 tys. SMS-ów.

Najważniejsze dane za okres styczeń-maj 2026 r.:

• 70,8 tys. zgłoszeń podejrzanych SMS-ów,
• 485 wzorców fałszywych wiadomości SMS,
• 107,5 tys. szkodliwych domen wpisanych na Listę Ostrzeżeń,
• 115 numerów CVE nadanych przez CERT Polska.

Na co trzeba było uważać w maju?

W majowych komunikatach CERT Polska pojawiło się kilka kampanii, które były wymierzone zarówno w zwykłych użytkowników, jak i w firmy oraz instytucje. Wśród nich znalazły się m.in.:

• phishing z wykorzystaniem wizerunku OpenAI i fałszywymi informacjami o płatności za ChatGPT,
• oszustwa wymierzone w środowisko akademickie, podszywające się pod uczelnie i informujące o zaległych opłatach,
• spam szantażujący odbiorców rzekomym dostępem do prywatnych danych lub nagrań,
• fałszywe wiadomości od działów HR z kodem QR prowadzącym do strony przypominającej Microsoft 365,
• kampanie malware z załącznikami udającymi dokumenty do wyceny, zamówienia lub podpisu,
• phishing wykorzystujący zmianę nazwy Santander Bank Polska na Erste,
• SMS-y podszywające się pod mObywatela i informujące o rzekomych nieopłaconych mandatach.

W przypadku firm szczególnie istotne są kampanie z kodami QR i fałszywymi dokumentami. Ich celem jest przejęcie danych logowania lub instalacja szkodliwego oprogramowania, które może dać przestępcom zdalny dostęp do komputera.

Najczęstsze kampanie - inwestycje, Allegro, Telegram i fałszywe sklepy

CERT Polska wskazał też najczęściej obserwowane kampanie w maju. Dużą część stanowiły oszustwa inwestycyjne. Przestępcy podszywali się pod znane marki, media i instytucje, a następnie zachęcali do rejestracji na fałszywych platformach inwestycyjnych.

Wśród najczęściej opisywanych schematów znalazły się:

• fałszywe strony oferujące wysokodochodowe inwestycje, wykorzystujące m.in. nazwy Lotos, Tesla, PGNiG, PGE i Baltic Pipe,
• fałszywe strony Allegro służące do wyłudzania danych logowania,
• podrobione strony udające Gazeta.pl, Onet.pl, Polsat News i gov.pl,
• fałszywe strony Telegrama przejmujące konta po podaniu numeru telefonu i kodu weryfikacyjnego,
• fałszywe strony OLX,
• oszustwa wykorzystujące wizerunek Orlenu,
• fałszywe sklepy internetowe z atrakcyjnymi cenami i płatnością kartą.

Najważniejszy wniosek z raportu jest prosty: cyberprzestępcy nadal najczęściej wykorzystują znane marki, presję czasu i fałszywe formularze płatności lub logowania. Szczególną ostrożność należy zachować przy wiadomościach z linkami, kodami QR, załącznikami oraz ofertami inwestycyjnymi obiecującymi szybki zysk.