25 cze 2026
Zagrożenia i Ataki

Podszycie pod polityków w WhatsApp – jak się bronić

Cyberprzestępcy podszywają się pod ministrów i urzędników w komunikatorach. Poznaj schemat ataku socjotechnicznego i praktyczne sposoby ochrony swojej firmy.

Redakcja · 24 czerwca 2026
A man in a black hoodie contemplating while using a smartphone, surrounded by digital screens.
Fot. Mikhail Nilov / Pexels · Pexels License

Cyberprzestępcy tworzą fałszywe konta w komunikatorach internetowych, podszywając się pod ministrów i wysokich urzędników administracji rządowej, aby wyłudzić pieniądze, dane biznesowe lub zainfekować komputery złośliwym oprogramowaniem. Kampania socjotechniczna, którą wykrył Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa we współpracy z Ministerstvom Cyfryzacji i zespołem CSIRT GOV, stanowi realne zagrożenie dla kadry kierowniczej polskich firm.

Jak działa atak podszywający się pod polityka?

Schemat ataku jest prosty, ale skuteczny. Cyberprzestępcy pobierają zdjęcie oraz dane osobowe z oficjalnego konta osoby pełniącej funkcje kierownicze w centralnej administracji rządowej – np. ministra, wiceministra lub dyrektora urzędu centralnego. Następnie zakładają nowe konto w komunikatorze internetowym (WhatsApp lub Signal), wykorzystując pobraną fotię i informacje.

Kluczowa różnica, która zdradza oszustwo: fałszywe konto ma inny numer telefonu niż oficjalne konto osoby, której dotyczy podszycie. Atakujący liczą na to, że adresat wiadomości nie będzie sprawdzać numeru lub nie zna go na pamięć.

Jakie są cele atakujących?

Po założeniu fikcyjnego konta przestępcy wysyłają wiadomości do prezesów i dyrektorów firm – zarówno spółek skarbu państwa, jak i sektora prywatnego. Treść wiadomości socjotechnicznej ma na celu:

  • Uzyskanie poufnych informacji – dane biznesowe, plany strategiczne, informacje o kontrahentach
  • Zainfekowanie komputerów złośliwym oprogramowaniem – poprzez linki lub załączniki w wiadomościach
  • Kradzież środków finansowych – nakłonienie do przelewu pieniędzy pod pretekstem pilnego zadania

Wiadomości są sformułowane w taki sposób, aby przekonać adresata, że rozmawia z osobą o wysokim statusie w państwie, która ma prawo wydawać polecenia i żądać dostępu do wrażliwych zasobów.

Kto jest zagrożony?

Ataki są skierowane przede wszystkim do:

  • Prezesów i dyrektorów generalnych firm
  • Kierowników działów finansowych i IT
  • Osób zarządzających dostępem do systemów informatycznych
  • Pracowników z dostępem do poufnych danych biznesowych

Choć kampania concentruje się na kadrze kierowniczej dużych organizacji, zasada jest uniwersalna: każdy, kto ma dostęp do wartościowych zasobów (pieniądze, dane, systemy), może być celem.

Jak się bronić przed podszyciem się pod polityka?

Weryfikacja numeru telefonu

Pierwszym krokiem jest zawsze sprawdzenie numeru telefonu. Jeśli wiadomość pochodzi od kogoś ważnego, ale numer się nie zgadza, jest to wyraźny sygnał ostrzegawczy. Porównaj numer z oficjalnym profilem osoby na LinkedIn, stronie rządowej lub poprzednich wiadomościach.

Bezpośredni kontakt telefoniczny

Jeśli wiadomość wydaje się pilna lub dotyczy ważnej sprawy, zawsze zweryfikuj tożsamość poprzez rozmowę telefoniczną. Zadzwoń na znany ci numer biura lub osoby. To najskuteczniejszy sposób na potwierdzenie autentyczności.

Ostrożność wobec linków i załączników

Nie klikaj w żadne linki ani nie pobieraj plików z wiadomości od osób, których tożsamość nie potwierdziłeś. Nawet jeśli wiadomość wygląda autentycznie, może zawierać złośliwe oprogramowanie.

Edukacja zespołu

Przeszkolenie pracowników o zagrożeniach socjotechnicznych to kluczowa linia obrony. Każdy w firmie powinien wiedzieć, że:

  • Ważne decyzje finansowe nigdy nie są podejmowane przez komunikatory
  • Kierownictwo zawsze weryfikuje tożsamość przed wysłaniem poufnych danych
  • Podejrzane wiadomości należy zgłaszać zespołowi IT lub bezpieczeństwa

Gdzie zgłosić atak?

Jeśli doświadczysz próby ataku lub podejrzewasz podszycie się pod polityka, powinieneś:

  1. Zgłosić do CSIRT GOV – krajowego zespołu reagowania na incydenty bezpieczeństwa komputerowego (csirt.gov.pl)
  2. Powiadomić Ministerstwo Cyfryzacji
  3. Zawiadomić policję – jeśli doszło do rzeczywistej straty finansowej lub kradzieży danych
  4. Poinformować swój zespół IT – aby monitorować potencjalne zagrożenia w sieci firmowej

Co to oznacza dla Twojej firmy?

Kampania socjotechniczna wykryta przez rządowe instytucje bezpieczeństwa pokazuje, że cyberprzestępcy są coraz bardziej wyrafinowani i celują w konkretne osoby w firmach. Nie jest to masowy atak – to ukierunkowana kampania, w której atakujący robią research i wykorzystują wiarygodność urzędników państwowych.

Dla kadry kierowniczej oznacza to, że musi być szczególnie czujna. Dla działów IT i bezpieczeństwa – że edukacja pracowników i wdrożenie procedur weryfikacji tożsamości stają się priorytetem. Dla całej organizacji – że cyberbezpieczeństwo to już nie tylko kwestia technicznych zabezpieczeń, ale również świadomości i kultury bezpieczeństwa.

Wiadomość od Pełnomocnika Rządu to oficjalne ostrzeżenie, że zagrożenie jest realne i aktywne. Wdrożenie prostych, ale skutecznych procedur obrony może uchronić Twoją firmę przed stratą finansową, utracieniem danych lub infekcją złośliwym oprogramowaniem.

Najczęstsze pytania

Jak poznać podszycie się pod polityka w WhatsApp?

Sprawdź numer telefonu – fałszywe konto będzie mieć inny numer niż oficjalny profil osoby. Jeśli wiadomość pochodzi od kogoś ważnego, zawsze zweryfikuj tożsamość poprzez bezpośredni kontakt telefoniczny na znany ci numer.

Co robić, jeśli otrzymam wiadomość od 'ministra' w komunikatorze?

Nie klikaj w żadne linki ani nie pobieraj załączników. Natychmiast skontaktuj się telefonicznie z daną osobą lub jej biurem, aby potwierdzić autentyczność wiadomości. Zgłoś incydent do CSIRT GOV lub policji.

Czy to zagrożenie dotyczy tylko dużych firm?

Kampania koncentruje się na kadrze kierowniczej spółek skarbu państwa i sektora prywatnego, ale każda osoba zarządzająca dostępem do danych lub pieniędzy może być celem. Zasady obrony dotyczą wszystkich.

Gdzie zgłosić podejrzenie ataku socjotechnicznego?

Możesz zawiadomić CSIRT GOV (zespół reagowania na incydenty bezpieczeństwa poziomu krajowego), Ministerstwo Cyfryzacji lub lokalną policję. Zgłoszenie ułatwia zwalczanie kampanii.

Jakie komunikatory są najczęściej wykorzystywane do takich ataków?

Według komunikatu Pełnomocnika Rządu, atakujący używają WhatsApp i Signal – komunikatorów z szyfrowaniem end-to-end, które są popularne w biznesie i trudne do monitorowania.

Na podstawie: Gov.pl. Tekst opracowany redakcyjnie.