Niebezpiecznik News

Active Directory, ransomware i logi bez ściemy. W kwietniu wraca Admin Days 2026 W IT też bywa sezon ogórkowy. Tyle że zamiast ogórków mamy zaległe tickety, niedokończone migracje i alerty. Gdzieś między kolejnym zgłoszeniem na helpdesku a odkładaną aktualizacją zaczynasz się zastanawiać, czy w tym zawodzie chodzi jeszcze o coś więcej niż gaszenie pożarów i czy wiedza, którą zbierasz latami, nadal ma jakieś znaczenie… Ma! Tylko trzeba ją czasem odkurzyć – a kiedy jak nie na wiosnę? Dlatego w kwietniu wraca konferencja Admin Days 2026 – wydarzenie, które od siedmiu lat zbiera tysiące ludzi i dziesiątki ekspertów, a także najgłośniejsze tematy i nazwiska dając przestrzeń do dialogu i wymiany doświadczeń. Admin Days 2026 – co, gdzie i jak? Ósma edycja Admin Days odbędzie się w dniach 21–23 kwietnia w formule online i uraczy widzów plejadą gwiazd IT oraz cybersec. Wystąpią między innymi: Artur Markiewicz, Agata Ślusarek, Adam Lange, Marcel Guzenda, Sławomir Szmulik i wielu, wielu innych! Organizatorzy pozostają przy sprawdzonym modelu, ale rozbudowali program o nową ścieżkę „Admin Talks”, czyli rozmowy eksperckie bez slajdów sprzedażowych i marketingowych wstępów. Agenda została podzielona na trzy dni: 21 kwietnia – transmisja na żywo ze studia nagraniowego: prelekcje keynote i rozmowy w formule Admin Talks. 22 i 23 kwietnia – warsztaty prowadzone na żywo w formule webinarowej, z większym naciskiem na technikę i praktykę.   To nie jest kolejna konferencja o trendach. Tematyka dotyczy wyzwań, które administratorzy i specjaliści IT widzą w swojej pracy regularnie: realnych problemów i technicznych wyzwań w infrastrukturze, analizy zdarzeń i incydentów oraz tego, jak wyciągać z nich wnioski operacyjne, roli edukacji pracowników w ograniczaniu skuteczności ataków, przejmowania [...] #AdminDays #ARTYKUŁSPONSOROWANY https://niebezpiecznik.pl/post/active-directory-ransomware-i-logi-bez-sciemy-w-kwietniu-wraca-admin-days-2026/

Splunk czy Wazuh? A może lepiej TheHive, Cortex lub Cribl? Wszyscy zgodzimy się, że warto wiedzieć, czy ktoś przypadkiem nie buszuje po naszej infrastrukturze — i to nie tylko wtedy, kiedy na jej styku stoi UTM od Fortinet ;) Wiele z sieci jest już od dawna przejętych, ale niestety nie każda firma potrafi wykryć, że jej infrastruktura została zhackowana. A przecież narzędzi, które w tym mogą pomóc, jest sporo… SOC w praktyce: plusy, minusy i możliwości wielu platform Zaczynamy cykl kilku ok. dwu-godzinnych szkoleń, które mogą Wam rozwiązać powyższy problem, tj. wykryć anomalie w sieci oraz usunąć, a może nawet namierzyć atakującego. A także zbudować swój profesjonalny, firmowy albo pół-profesjonalny, domowy Security Operations Center i poznać dziesiątki technik i narzędzi, które pomogą Wam lepiej zrozumieć co (złego) i kiedy dzieje się w Waszej infrastrukturze. Cyklowi nadaliśmy nazwę “SOC w praktyce“, a pierwsze ze szkoleń, poświęcone analizie różnych platform SOC-owych odbędzie się już w czwartek 19 lutego o godzinie 19:00 (online) — zapisz się na nie, nawet jeśli ten termin Ci nie pasuje bo szkolenie jest nagrywane i będziesz mieć do niego dostęp przez 30 dni, więc na pewno zdążysz się zapoznać z tym materiałem i podniesiesz swoją wiedzę oraz bezpieczeństwo sieci. Dla tych, którzy znają jakość naszych szkoleń, tutaj od razu link do koszyka :) UWAGA! Tylko do czwartku możecie kupić to szkolenie po niższej aż o 65% cenie! Szkolenie zawiera laby, więc każdy z uczestników będzie mógł od razu w praktyce przetestować swoją wiedzę i poznane techniki oraz narzędzia. Większość uczestników naszych szkoleń opłaca je z firmowego budżetu szkoleniowego, więc poproś szefa o sfinansowanie udziału w tym szkoleniu. Jeśli będziesz potrzebować proformy, oferty w PDF, po angielsku lub podpisu na [...] #MichałGarcarz #SOC https://niebezpiecznik.pl/post/splunk-czy-wazuh-a-moze-lepiej-thehive-cortex-lub-cribl/

Skarbówka odda pieniądze naszemu Czytelnikowi (finał sprawy z błędem w e-Toll) W systemie e-Toll był błąd, który powodował naliczanie niesłusznych kar za rzekomo nieopłacone przejazdy autostradą (po latach!). Nasz Czytelnik Szymon podrążył temat i pieniądze odzyska. Było warto walczyć o swoje choć nie było całkiem łatwo. Przypomnijmy. W lutym pisaliśmy o tym, że niektórym osobom zdarza się dostać wezwanie za nieopłacony przejazd autostradą, mimo iż autostrady państwowe już dawno nie są płatne. Ewentualne wezwania dotyczą tego okresu, kiedy opłatę przejazd wnosiło się przez zakup biletu w aplikacji lub na stacji benzynowej. Opisywaliśmy przypadek Szymona, który porównał dane o przejeździe w systemie eToll z tymi, które miał w Google Maps. Okazało się, że system błędnie zarejestrował znaczniki czasowe przejazdu oraz – co najważniejsze – części przejzadu zaliczył do innego dnia co powodowało niesłuszne naliczenie opłaty. Szymona napisał. Sprawa w końcu ma swój (szczęśliwy) finał. Sprzeciw uwzględniony, pieniądze oddadzą w ciągu 30 dni. Ale ile czasu musiałem na to wszystko stracić… Ehhh, szkoda gadać. A w sumie nadal nie wiadomo ilu rzeczywiście jest pokrzywdzonych kierowców oraz jak często ten błąd występował. Bo w ich tłumaczenie, że to de facto wina mojego urządzenia, to nie wierzę. To u mnie w telefonie musiałaby się data nie zmienić i ich aplikacja odczytałaby z mojego smartfona błędną datę. Raczej nierealne, tym bardziej, że historia lokalizacji Google Maps nie miała żadnych błędów, a rejestrowała się dokładnie na tym samym urządzeniu. Błąd jest ewidentnie po ich stronie, ale nie wiem co trzeba by zrobić, żeby się przyznali. Pismo od skarbówki wyglądało tak. Już wcześniej w odpowiedzi na nasze pytania Ministerstwo Finansów przyznało, że takie sytuacje [...] #AplikacjeMobilne #Błędy #Kas https://niebezpiecznik.pl/post/szymon-odzyska-pieniadze-ktorych-skarbowka-zazadala-za-przejazd-a4/

Zarzuty dla 29-latka w sprawie wycieku z Morele.net Włamanie do sklepu Morele.net miało miejsce w 2018 roku, ale funkcjonariusze Centralnego Biura Zwalczania Cyberprzestępczości (CBZC) nie odpuścili. Udało im się ustalić osobę odpowiedzialną za atak i przedstawić jej zarzuty.  Zakładamy, że większość naszych Czytelników słyszała o kradzieży danych klientów Morele.net, a niektórzy z Was wgryzali się w analizy licznych skutków prawnych tego zdarzenia. Oczy opinii publicznej były skierowane głównie na karę nałożoną przez UODO i spór sądowy wokół niej, natomiast równolegle toczyło się jeszcze inne niezwykle ważne postępowanie. CBZC pod nadzorem Prokuratury Okręgowej w Krakowie starało się znaleźć sprawcę. Pierwotnie postępowanie zostało umorzone z uwagi na niewykrycie sprawcy, ale to nie znaczy, że policja przestała się sprawą interesować. CBZC ciągle prowadziło intensywne analizy współpracując z pokrzywdzonym. Zidentyfikowano wektor ataku i ustalono przebieg zdarzenia. Potem udało się ustalić personalia sprawcy, który jednak pewne ślady pozostawił. W dniu 30 stycznia 2026 roku prokurator nadzorujący postępowanie przedstawił zarzuty z art. 267§1 i §4 Kodeksu karnego 29-letniemu obywatelowi Polski. Podejrzany przyznał się do popełnienia zarzucanego czynu oraz złożył obszerne wyjaśnienia. Zakres ujawnionych informacji obejmował m.in. imiona i nazwiska, adresy e-mail, numery telefonów, adresy zamieszkania oraz zaszyfrowane hasła do kont użytkowników. Dane dotyczące płatności nie były objęte incydentem. źródło: materiały Policji Co jeszcze robi CBZC? Trzeba przyznać, że w ostatnim czasie CBZC raz po raz potwierdzało, że udało mu się zbudować imponujące kompetencje. W listopadzie donosiliśmy o zatrzymaniu Mikołaja R., który podszywał się m.in. pod [...] #CBZC #CentralneBiuroZwalczaniaCyberprzestępczości #Cyberprzestępcy https://niebezpiecznik.pl/post/zarzuty-dla-29-latka-w-sprawie-wycieku-z-morele-net/

⚠️ Uwaga na Powiadomienia w sprawie KSeF Otrzymujemy informacje o tym, że oszuści zaczęli podszywać się pod Ministerstwo Finansów oraz Krajową Administrację Skarbową i rozsyłają e-maile dotyczące KSeF, które zawierają złośliwe załączniki, których uruchomienie może spowodować kradzież danych i pieniędzy. Oto jak wyglądają przykładowe wiadomości: Kategoria: Publiczne Szanowni Państwo, W załączniku znajduje się Powiadomienie Naczelnika Urzędu Skarbowego. Prosimy o informację, czy potrzebują Państwo szkolenia lub wsparcia informacyjnego. Będziemy również wdzięczni za informacje zwrotną, czy są Państwo gotowi do korzystania z systemu Z wyrazami szacunku starszy referent Dział Wsparcia Urząd Skarbowy Warszawa-Praga Wiadomości różnią się nieznacznie treścią (nie zawsze mają pełen podpis) i są wysyłane z różnych adresów e-mail — oto przykładowe z nich: us.warszawe.prage@mf.gov.pl powiadomKAS@mf.gov.pl Jak widać, skrzynki e-mail nadawców mają prawidłową domenę Ministerstwa Finansów. Jak to możliwe, że adres jest “poprawny”? Bardzo prosto, każdy może wysłać e-maila z dowolnym adresem nadawcy, ale taki e-mail nie powinien dotrzeć do skrzynki odbiorcy, o ile: nadawca poprawnie zaimplementował mechanizmy bezpieczeństwa poczty elektronicznej (SPF, DKIM, DMARC) a odbiorca wiadomości je sprawdza Ministerstwo Finansów ma poprawnie wdrożone nagłowki: v=spf1 ip4:145.237.237.0/26 ip4:145.237.192.0/27 ip4:145.237.160.128/27 include:spf.protection.outlook.com -all v=DMARC1;p=quarantine;pct=100;rua=mailto:postmaster@mf.gov.pl co oznacza, że e-maile od oszustów widzą w skrzynkach te osoby, których administratorzy firmowej poczty nie weryfikują poprawnie ww. mechanizmów bezpieczeństwa. Niestety, nawet duże firmy (nie tylko w Polsce) wciąż mają z tym problem. Dlatego zdecydowaliśmy się w tej sprawie wysłać ostrzeżenie użytkownikom [...] #Cyberalert #KSeF https://niebezpiecznik.pl/post/uwaga-na-powiadomienia-w-sprawie-ksef/

Możesz dostać 500zł mandatu, bo system poboru opłat na A4 miał ciekawy błąd Jechałeś A4? To skarbówka może Cię wezwać do wniesienia opłaty za “nieopłacony przejazd autostradą” sprzed kilku (!) lat. I to mimo tego, że Ty przejazd opłaciłeś, a dziś podróż tym odcinkiem jest bezpłatna. Wiele osób po prostu płaci, choć niektóre z opłat są naliczone błędnie i Ministerstwo Finansów najwyraźniej o tym wie. Płacić już nie trzeba, ale… Czy pamiętacie system e-Toll i kupowanie biletów na niekulczykowe odcinki autostrad (na stacjach lub w aplikacji)? Zwykłemu obywatelowi może się wydawać, że te opłaty za niekulczykowe autostrady to przeszłość, ale… one mogą o sobie przypomnieć gdy się tego najmniej spodziewasz, chociaż od lipca 2023 płacić nie trzeba, przynajmniej jeśli jedziesz samochodem osobowym lub motocyklem. Wezwanie, za przejazd sprzed lat Nasz Czytelnik Szymon dostał wezwanie do zapłaty 500zł za przejazd autostradą A4 sprzed 3 lat. Początkowo rozważał zapłacenie, bo czy normalny człowiek może być pewien, że trzy lata wcześniej nie zapomniał odpalić aplikacji i przejechał autostradą bez wykupionego biletu? Szymon skonsultował znajomych i dowiedział się, że więcej osób takie wezwania otrzymało. Jedna z nich powiedziała mu, że zapłaciła dla świętego spokoju za wszystkie 3 wezwania, jakie dostała. Szymon postanowił drążyć sprawę. Zajrzał do galerii zdjęć w swoim smartfonie i ustalił, że tego dnia rzeczywiście odbył jednodniową wycieczkę do Wrocławia. Postanowił sprawdzić czy zapłacił za przejazd płatnym odcinkiem autostrady do Wrocławia, więc zalogował się na swoje koto w systemie e-TOLL, wszedł w zakładkę “historia przejazdów” i wybrał odpowiedni zakres dat. System jednak niczego nie pokazał, bo Szymon nie był w stanie wskazać [...] #Aplikacje #AplikacjeMobilne #Autostrady #Kas #MinisterstwoFinansów https://niebezpiecznik.pl/post/wezwanie-do-zaplaty-a4-mandat-etoll-autostrada/

Jak Rosjanie zhackowali polski sektor energetyczny miesiąc temu? W końcówce 2025 doszło do bezprecedensowego i skoordynowanego ataku na kilkadziesiąt obiektów w strukturach polskiego sektora energetycznego. Atakującym udało się włamać do co najmniej 30 obiektów typu OZE (farmy wiatrowe i fotowoltaiczne) ale także elektrociepłowni obsługującej 500 tysięcy Polaków i do jednej z firm produkcyjnych. Wszystkie z tych obiektów próbowano unieruchomić i w wielu przypadkach atakujący osiągnęli swój cel. Kto stoi za tym atakiem (i dlaczego tym razem to naprawdę są Rosjanie)? Jak działali włamywacze? Dlaczego nie doszło do tragedii? Tego dowiecie się z niniejszego artykułu. Dlaczego piszecie o tym dopiero teraz? O atakach na polską infrastrukturę krytyczną wiadomo od miesiąca. Na przełomie roku informowali o nich politycy. Podsyłaliście nam ich wypowiedzi i oczekiwaliście komentarza. Nie komentowaliśmy tych wypowiedzi świadomie — oświadczenia polityków na temat (cyber)ataków prawie zawsze nie są rzetelne, służą celom politycznym i zazwyczaj wcale nie rozjaśniają sytuacji, a jedynie wprowadzają więcej zamieszania. Dlatego czekaliśmy na techniczne raporty i oświadczenia zaatakowanych podmiotów lub odpowiednich CSIRT-ów. W międzyczasie pojawiły się raporty dotyczące tych incydentów od firm ESET i Dragos, ale z całym szacunkiem do koleżanek i kolegów z obu tych podmiotów, widać było, że te raporty odbiegają od standardów jakościowych obu firm i są bardziej PR-owe, zamiast merytorycznie prezentować całość incydentu (jak się zresztą zaraz okaże, niektóre z wyciąganych w tych raportach wniosków okazały się błędne — jak widać nie zawsze sama telemetria vendora wystarczy, aby zrozumiał on całość ataku). Dziś sytuację uratował raport CERT Polska, który całościowo i bardzo rzetelnie opisał jak wyglądały [...] #Atak #CERTPolska #Energetyka #OSD #OZE #Rosja https://niebezpiecznik.pl/post/rosja-atak-polska-energetyka-oze-osd/

⚠️ Uwaga na SMS od “mObywatela”

Na telefony Polaków wysyłane są SMS-y od nadawcy “mOBYWATEL”. Wiadomości informują, że w “skrzynce odbiorczej mObywatel” czeka na nas wiadomość i proszą o zalogowanie się. Oto jak wygląda SMS:

Skrócony link w wiadomości prowadził pod adres zakupionej przedwczoraj domeny obywatel[.]cloud wskazującej na serwer 193.200.16.47. Strona aktualnie nie jest dostępna — nie udało nam się ustalić, co dokładnie na niej się znajdowało, ale domyślamy się, że celem atakujących mogło być wyłudzenie danych dostępowych i/lub zapoznanie się z pozostałymi informacjami, które na temat każdego z nas dostępne są w aplikacji mObywatel.
Niestety, dane z aplikacji mObywatel są bardzo przydatne m.in. do ataków socjotechnicznych dotyczących bankowości internetowej. Dodatkowo, o mObywatelu jest ostatnio dość głośno. Z tego powodu, choć skala ataku nie była wielka, postanowiliśmy rozesłać ostrzeżenie przed tą kampanią do użytkowników naszej aplikacji CyberAlerty. Spodziewamy się że niebawem pojawia się kolejne ataki wykorzystujące wątek “mObywatela”.
Jeśli nie masz naszej aplikacji CyberAlerty, to rozważ jej instalacje. Jedyne co robi, to ostrzega Cię przed atakami zagrażającymi bezpieczeństwu Twoich danych i pieniędzy. Jest darmowa, działa na Androidzie i iPhonie. Pobierzesz ją z oficjalnych sklepów — tu bezpośredni link.
PS. A dla użytkowników mObywatela małą rada: włączcie logowanie do apki biometrią i zapamiętajcie, że to wystarczy, więc nigdzie nie musicie podawać żadnych haseł. Ci z urządzeniami z gorszą jakością biometrii mogą dodatkowo ustawić PIN.
Przeczytaj także:

Minister Cyfryzacji chce dodać …streaming meczy do mObywatela. Dlaczego to zły pomysł?
Uwaga na SMS-y obiecujące kupony od Żabki!
Uwaga na SMS od PGE

#Cyberalert #MObywatel

https://niebezpiecznik.pl/post/uwaga-na-sms-od-mobywatela/