Uwaga na fałszywe faktury za prąd i „niedopłaty" – nowe oszustwa w energetyce 2025/2026
W ostatnich miesiącach w Polsce nasiliły się oszustwa wymierzone w firmy i zarządców nieruchomości, wykorzystujące chaos wokół zmian w rozliczeniach energii, wdrożenia KSeF i nowych taryf. Fałszywe wezwania do zapłaty, podrobione potwierdzenia przelewów i rzekome „niedopłaty" od ministerstwa – wszystko wygląda wiarygodnie i wszystko ma jeden cel: skłonić Cię do kliknięcia. Ten artykuł pokazuje konkretne przykłady i wyjaśnia, jak się chronić.
Piszę ten artykuł, bo sam otrzymałem dwie wiadomości, które były bardzo dobrze przygotowanymi próbami wyłudzenia. Obie dotyczyły branży energetycznej, obie były skierowane do firm i obie opierały się na tym samym mechanizmie psychologicznym: presji, strachu i pośpiechu. W czasach, gdy firmy pilnują ciągłości dostaw mediów, boją się przerw w dostawach energii i reagują prewencyjnie na wszystko, co wygląda jak faktura lub wezwanie do zapłaty – oszuści mają idealne warunki do działania.
Przykład pierwszy – „zaległa płatność" i fałszywe potwierdzenie przelewu bankowego
Pierwszy mail był napisany po polsku, krótki i pozornie rzeczowy. Treść brzmiała mniej więcej tak: „Witam, w załączniku znajduje się kopia płatności dotycząca zaległych faktur." Bez numeru faktury. Bez kwoty. Bez danych firmy nadawcy. Bez okresu rozliczeniowego. Bez podpisu i stopki firmowej.
Zamiast normalnego załącznika w wiadomości znajdował się link do pobrania pliku z serwisu MediaFire – publicznej platformy do udostępniania plików, z której żadna poważna firma energetyczna ani bank nigdy nie korzysta do wysyłki dokumentów finansowych. Plik miał nazwę sugerującą oficjalne potwierdzenie transakcji bankowej, a jego miniaturka imitowała dokument z logo PKO Banku Polskiego – jednak była na tyle mała, że nie dało się odczytać żadnych konkretnych danych. To klasyczny zabieg socjotechniczny, który ma wzbudzić ciekawość i zmusić odbiorcę do pobrania pliku.
Format pliku – archaiczne rozszerzenie .lzh – to kolejna czerwona flaga. Ten typ archiwum jest praktycznie nieużywany w normalnej korespondencji biznesowej, ale bardzo często wykorzystywany do ukrywania złośliwego oprogramowania, ponieważ wiele systemów antywirusowych nie skanuje go domyślnie.
Celem takiej wiadomości nie jest wyjaśnienie jakiejkolwiek sprawy finansowej. Celem jest skłonienie odbiorcy do pobrania i uruchomienia pliku, który może zawierać malware (oprogramowanie szpiegujące, ransomware, trojan bankowy) albo przekierować na stronę wyłudzającą dane logowania do bankowości elektronicznej.
Przykład drugi – „Ministerstwo Klimatu" i rzekoma niedopłata za zmianę taryfy nocnej
Druga wiadomość była znacznie bardziej wyrafinowana, bo uderzyła w aktualne, realne tematy ze świata energetyki. Nadawca powoływał się na rzekome zmiany godzin obowiązywania taryfy nocnej, decyzje Ministerstwa Klimatu o wydłużeniu okresu stosowania obniżonej stawki z 8 do 10 godzin na dobę i „niezgodności wykryte w systemie fakturowania" za konkretny okres rozliczeniowy.
Wiadomość wyglądała jak oficjalny komunikat urzędowy – z harmonogramem godzinowym pokazującym „dawny zakres" i „obecny zakres" taryfy, z kwotą do zapłaty (297 PLN), z numerem referencyjnym, z powołaniem się na konkretny artykuł ustawy Prawo energetyczne i z profesjonalnie wyglądającym przyciskiem „Weryfikuj dane".
Problem w tym, że Ministerstwo Klimatu nie wysyła indywidualnych wezwań do zapłaty. Zmiany taryf nie są rozliczane w ten sposób – wszelkie korekty wynikające ze zmian taryfowych dokonywane są przez sprzedawcę energii na standardowej fakturze. A przycisk „weryfikuj dane" to klasyczny mechanizm phishingu, prowadzący do fałszywej strony, która zbiera dane logowania, numery kart płatniczych lub inne poufne informacje.
Takie wiadomości bazują na jednym mechanizmie psychologicznym: odbiorca myśli „lepiej sprawdzę i zapłacę, zanim odetną prąd". Ten strach – w połączeniu z profesjonalnym wyglądem wiadomości i powołaniem się na prawdziwe instytucje – wyłącza krytyczne myślenie i prowadzi do kliknięcia.
Dlaczego teraz jest tego tak dużo – kontekst zmian w energetyce i KSeF
Nasilenie tego typu oszustw nie jest przypadkowe. Zbiegło się z kilkoma równoległymi procesami, które tworzą idealną pożywkę dla cyberprzestępców.
Po pierwsze – firmy boją się przerw w dostawach energii i traktują każdy sygnał o zaległości bardzo poważnie. Nikt nie chce ryzykować odcięcia prądu w obiekcie komercyjnym, więc reakcja na „wezwanie do zapłaty" bywa natychmiastowa i bezkrytyczna.
Po drugie – trwające wdrożenie Krajowego Systemu e-Faktur (KSeF) generuje ogromne zamieszanie. Firmy nie do końca wiedzą, jakie dokumenty powinny otrzymywać i w jakiej formie, co ułatwia oszustom podszywanie się pod oficjalne systemy fakturowania.
Po trzecie – częste zmiany w taryfach energetycznych, zamrożeniach cen i regulacjach powodują, że nawet doświadczeni przedsiębiorcy nie są pewni, jakie korekty i dopłaty mogą się pojawić na ich rachunkach. Oszuści wykorzystują tę niepewność, tworząc wiadomości, które brzmią wiarygodnie właśnie dlatego, że odbiorca wie, iż „coś się zmienia", ale nie wie dokładnie co.
Prawie każda fałszywa wiadomość działa według tego samego schematu: sugeruje zaległość, sugeruje pilność, celowo nie podaje pełnych informacji (żeby zmusić do kliknięcia „po szczegóły") i prowadzi do linku lub załącznika, który jest faktycznym nośnikiem zagrożenia.
Jedna zasada, która chroni przed 90% oszustw energetycznych
Zasada jest prosta i jednoznaczna: jeśli mail dotyczy pieniędzy, faktury albo energii – nic nie klikamy.
Zamiast tego wykonujemy dwa proste kroki. Po pierwsze – rozwijamy szczegóły nadawcy (strzałkę przy adresie e-mail) i patrzymy na faktyczny adres, z którego przyszła wiadomość. Po drugie – sprawdzamy domenę. Jeśli adres nie jest prostą, oficjalną domeną sprzedawcy lub dystrybutora energii, z którym mamy podpisaną umowę – mail trafia do kosza. Bez wahania, bez „sprawdzania na wszelki wypadek", bez klikania w żaden link.
Nawet jeśli przez przypadek usuniemy coś prawdziwego i zapłacimy kilka złotych odsetek za opóźnioną płatność – to jest nieskończenie mniejszy problem niż utrata danych firmowych, zainfekowanie komputera ransomware'em, wyczyszczenie konta bankowego czy wyciek danych klientów. Warto też wiedzieć, że w branży energetycznej handlowcy obsługujący klienta otrzymują od sprzedawców informacje o zadłużeniu z prośbą o kontakt i wyjaśnienie sytuacji. Szansa, że dojdzie do odcięcia energii bez wcześniejszego kontaktu osobistego, jest minimalna.
Załączniki – dziś największe zagrożenie w korespondencji biznesowej
Nowoczesne przeglądarki internetowe i systemy operacyjne naprawdę dobrze radzą sobie z bezpieczeństwem. W większości przypadków same blokują podejrzane pliki, ostrzegają przed niebezpiecznymi stronami i filtrują phishing. Ale jeśli użytkownik się postara – kliknie mimo ostrzeżenia, pobierze plik, rozpakuje archiwum i uruchomi jego zawartość – żaden system bezpieczeństwa nie uchroni go przed konsekwencjami.
Dlatego fundamentalna zasada brzmi: nie pobieramy załączników z nieznanych źródeł, nie otwieramy „potwierdzeń płatności" których nie oczekiwaliśmy i nie klikamy linków „do weryfikacji" gdy ktoś straszy pieniędzmi lub odcięciem mediów. Każdy plik, którego się nie spodziewamy, traktujemy jak potencjalne zagrożenie – niezależnie od tego, jak profesjonalnie wygląda towarzysząca mu wiadomość.
Oficjalna droga kontaktu zawsze istnieje – i tylko nią warto iść
Każda firma energetyczna – sprzedawca i dystrybutor – ma oficjalną stronę internetową, infolinię, panel klienta online (e-BOK) i jasno opisaną ścieżkę kontaktu. Jeśli otrzymasz wiadomość, która budzi wątpliwości, jedyną bezpieczną reakcją jest samodzielne wejście na stronę sprzedawcy lub dystrybutora (wpisanie adresu ręcznie w przeglądarce, nie klikanie linku z maila), zalogowanie się do panelu klienta i sprawdzenie stanu rozliczeń albo zadzwonienie na numer infolinii z umowy.
Nigdy przez link z maila. Nawet jeśli link wygląda poprawnie – może prowadzić na identycznie wyglądającą, ale fałszywą stronę. Jedynym bezpiecznym sposobem jest ręczne wpisanie adresu lub skorzystanie z zakładki zapisanej wcześniej w przeglądarce.
Co zrobić, jeśli podejrzewasz, że kliknąłeś w fałszywy link?
Jeśli istnieje podejrzenie, że ktoś w firmie kliknął w podejrzany link lub pobrał plik z wiadomości, która mogła być oszustwem, warto natychmiast odłączyć komputer od sieci (odpiąć kabel lub wyłączyć Wi-Fi), zmienić hasła do bankowości elektronicznej i poczty firmowej z innego, bezpiecznego urządzenia, poinformować dział IT lub zewnętrzną firmę obsługującą infrastrukturę informatyczną oraz zgłosić incydent na stronie CERT Polska (cert.pl) – to zespół reagowania na incydenty bezpieczeństwa, który zbiera informacje o tego typu oszustwach i ostrzega innych użytkowników.
Podsumowanie – jeden nieprzemyślany klik to najdroższy błąd
Jeżeli ktoś straszy zaległą płatnością, każe pilnie coś pobrać, powołuje się na ministerstwo, bank albo firmę energetyczną, a wiadomość przychodzi z nietypowego adresu – to nie jest przypadek i nie jest pomyłka. To celowe działanie wymierzone w Twoje dane i Twoje pieniądze.
W energetyce, tak jak w bankowości, najdroższy błąd to jeden nieprzemyślany klik. A najlepszą ochroną jest spokój, kilka sekund na sprawdzenie nadawcy i żelazna zasada: najpierw oficjalna strona sprzedawcy lub dystrybutora, potem jakiekolwiek działania.
Masz wątpliwości co do wiadomości, która wygląda jak faktura lub wezwanie od firmy energetycznej? Napisz – pomogę zweryfikować, czy to prawdziwy dokument, czy próba wyłudzenia. Lepiej zapytać raz za dużo niż raz za mało.
FAQ – Najczęściej zadawane pytania
Jak rozpoznać fałszywą fakturę za energię? Fałszywe faktury zwykle nie zawierają pełnych danych firmy nadawcy, numeru faktury, okresu rozliczeniowego ani szczegółów umowy. Przychodzą z adresów e-mail niezwiązanych z oficjalną domeną sprzedawcy. Często zawierają linki do zewnętrznych serwisów (MediaFire, Dropbox) zamiast standardowych załączników PDF. Prawdziwe faktury za energię zawsze można zweryfikować w panelu klienta (e-BOK) u swojego sprzedawcy.
Czy Ministerstwo Klimatu wysyła wezwania do zapłaty za energię? Nie. Ministerstwo Klimatu nie wysyła indywidualnych wezwań do zapłaty ani korekt rozliczeń za energię elektryczną. Wszelkie rozliczenia wynikające ze zmian taryfowych dokonywane są wyłącznie przez sprzedawcę energii na standardowych fakturach. Każda wiadomość podająca się za ministerstwo i żądająca płatności to oszustwo.
Co to jest phishing energetyczny i jak działa? Phishing energetyczny to rodzaj oszustwa, w którym cyberprzestępcy podszywają się pod firmy energetyczne, dystrybutorów lub instytucje państwowe, żeby wyłudzić dane logowania, dane karty płatniczej lub skłonić ofiarę do pobrania złośliwego oprogramowania. Działa na zasadzie presji i pośpiechu – sugeruje zaległość, grozi odcięciem energii i zmusza do natychmiastowego kliknięcia w link lub pobrania pliku.
Czy firma energetyczna może odciąć prąd bez wcześniejszego kontaktu? W praktyce procedura odcięcia energii jest wieloetapowa i czasochłonna. Sprzedawca musi wcześniej wezwać do zapłaty, wysłać upomnienia i zachować określone terminy. Handlowcy obsługujący klienta zazwyczaj kontaktują się bezpośrednio z informacją o zadłużeniu. Nagłe odcięcie prądu na podstawie jednego maila bez wcześniejszych kontaktów jest praktycznie niemożliwe.
Gdzie zgłosić podejrzaną wiadomość podszywającą się pod firmę energetyczną? Podejrzane wiadomości warto zgłaszać na stronie CERT Polska (cert.pl) – zespołu reagowania na incydenty bezpieczeństwa komputerowego. Można też przesłać podejrzaną wiadomość na adres incydent@cert.pl. Warto również poinformować swojego faktycznego sprzedawcę energii, żeby mógł ostrzec innych klientów.