Tysiące fałszywych stron i SMS-ów - tak wyglądał kwiecień w sieci

CERT Polska opublikował miesięczne podsumowanie cyberzagrożeń za kwiecień 2026 r. Z danych CSIRT NASK wynika, że w ciągu miesiąca przyjęto łącznie 56,9 tys. zgłoszeń, a na ich podstawie zarejestrowano 23,7 tys. incydentów cyberbezpieczeństwa. Dotyczyły one m.in. phishingu, spamu, fałszywych stron internetowych oraz kampanii ze złośliwym oprogramowaniem.

CERT Polska zaznacza, że od kwietnia obowiązują zmienione zasady wynikające z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Pojawiły się nowe kategorie zgłoszeń, dlatego dane od kwietnia 2026 r. mogą nie być w pełni porównywalne z wcześniejszymi okresami.

Najważniejsze liczby z kwietnia 2026 r.

Liczba wszystkich zgłoszeń była zbliżona do średniej z poprzednich 12 miesięcy. W porównaniu z kwietniem 2025 r. wzrosła o 18%, ale względem marca 2026 r. spadła o 9%. Liczba zarejestrowanych incydentów była natomiast o 24% niższa niż miesiąc wcześniej.

22,3 tys. nowych szkodliwych domen

W kwietniu na Listę Ostrzeżeń przed niebezpiecznymi stronami wpisano 22,3 tys. domen wykorzystywanych do wyłudzania danych osobowych, danych logowania do banków i serwisów społecznościowych. Od początku roku do końca kwietnia na liście znalazło się już 86,9 tys. szkodliwych domen. W porównaniu z marcem kwietniowy wynik był niższy o 24%.

Podejrzane SMS-y: mniej zgłoszeń, ale problem nadal duży

CERT Polska przyjął w kwietniu 12,2 tys. zgłoszeń podejrzanych SMS-ów. To o 15% mniej niż w marcu. Fałszywe wiadomości, czyli takie, w których nadawca podszywa się pod inny podmiot, stanowiły 16% kwietniowych zgłoszeń SMS. Na podstawie przygotowanych wzorców operatorzy zablokowali szacunkowo 14,4 tys. takich wiadomości. Podejrzane SMS-y można zgłaszać na bezpłatny numer 8080.

Najczęstsze kampanie: podatki, KSeF, kurierzy i fałszywe inwestycje

W kwietniu CERT Polska opisywał wiele kampanii wymierzonych zarówno w zwykłych użytkowników, jak i firmy. Najważniejsze motywy oszustw to:

• fałszywy zwrot podatku – wiadomości podszywające się pod Krajową Administrację Skarbową i strony przypominające serwisy podatkowe,
• rzekome problemy z rozliczeniami zdrowotnymi – kampanie wykorzystujące motywy NFZ lub ZUS,
• aktualizacja karty SIM – SMS-y prowadzące do stron podszywających się pod operatorów,
• nieudana płatność za Spotify – próby wyłudzenia danych logowania i danych karty,
• fałszywe faktury z KSeF – linki prowadzące do pobrania złośliwego oprogramowania,
• fałszywe przesyłki DPD – próby wyłudzenia danych kontaktowych i płatniczych,
• wiadomości z plikami .xls – kampanie malware wykorzystujące stare podatności pakietu Office,
• fałszywe inwestycje – strony i reklamy podszywające się m.in. pod znane firmy, media i marki energetyczne.

Wśród najczęściej opisywanych kampanii CERT Polska wymienia także fałszywe strony Allegro, Gazeta.pl, Telegrama, Polsat News, OLX, Onetu, Orlenu, Lidla oraz fałszywe sklepy internetowe. W wielu przypadkach cel był podobny: przejęcie danych logowania, wyłudzenie danych karty płatniczej albo nakłonienie ofiary do wpłaty pieniędzy na fikcyjną platformę inwestycyjną.

Moje.cert.pl i podatności CVE

W kwietniu w serwisie moje.cert.pl zarejestrowało się 1,1 tys. nowych użytkowników. CERT Polska wysłał też 7,9 tys. powiadomień dotyczących wykrytych podatności lub błędnych konfiguracji. W tym samym miesiącu zespół nadał 21 numerów CVE, a od początku roku do końca kwietnia było ich łącznie 81.