Wprowadzenie do problemu / definicja
FBI wydało ostrzeżenie dotyczące kampanii phishingowej, w której cyberprzestępcy podszywają się pod urzędników odpowiedzialnych za planowanie przestrzenne i wydawanie pozwoleń lokalnych w Stanach Zjednoczonych. Celem ataków są firmy oraz osoby prywatne posiadające aktywne wnioski związane z pozwoleniami budowlanymi, zagospodarowaniem terenu lub procedurami zoningowymi. To przykład ukierunkowanego oszustwa wykorzystującego dane publiczne do zwiększenia wiarygodności wiadomości.
W skrócie
9 marca 2026 roku FBI poinformowało o nowym schemacie phishingowym obejmującym podszywanie się pod urzędników miast i hrabstw. Atakujący wykorzystują publicznie dostępne informacje o wnioskach, adresach nieruchomości i numerach spraw, aby wysyłać wiarygodnie wyglądające e-maile z fałszywymi fakturami. Ofiary są nakłaniane do opłacenia rzekomych należności za pomocą przelewów, systemów płatności peer-to-peer lub kryptowalut. Kampania została zidentyfikowana na terenie całych Stanów Zjednoczonych.
Kontekst / historia
Podszywanie się pod przedstawicieli administracji publicznej nie jest nowym zjawiskiem, jednak obserwowany schemat pokazuje wyraźną ewolucję socjotechniki. Wcześniejsze ostrzeżenia FBI dotyczyły między innymi oszustw, w których przestępcy podszywali się pod funkcjonariuszy organów ścigania i urzędników państwowych w celu wyłudzenia pieniędzy lub danych osobowych. W kolejnych latach pojawiały się także kampanie odwołujące się do autorytetu IC3 oraz incydenty związane z wykorzystaniem generowanego maszynowo głosu w atakach vishingowych. Aktualny scenariusz różni się tym, że koncentruje się na bardzo konkretnym procesie administracyjnym, a więc na sytuacji, w której ofiara spodziewa się komunikacji urzędowej i potencjalnych opłat.
Analiza techniczna
Mechanizm oszustwa opiera się na precyzyjnym rozpoznaniu ofiary. Cyberprzestępcy identyfikują podmioty posiadające aktywne wnioski dotyczące pozwoleń na użytkowanie terenu lub planowania przestrzennego, korzystając z publicznie dostępnych rejestrów. Następnie przygotowują wiadomości e-mail zawierające prawidłowe dane dotyczące sprawy, takie jak adres nieruchomości, numer wniosku, nazwiska urzędników czy odniesienia do procedur administracyjnych.
Szczególnie istotnym elementem jest wiarygodna warstwa wizualna i językowa. Wiadomości mają formalny ton, odwołują się do rzeczywistych etapów procedury, a załączone dokumenty PDF imitują urzędowe faktury lub zestawienia opłat. W części przypadków wiadomości kierują odbiorcę do dalszego kontaktu wyłącznie przez e-mail, co ogranicza prawdopodobieństwo telefonicznej weryfikacji z urzędem.
FBI wskazuje kilka charakterystycznych wskaźników kompromitacji lub oszustwa. Nadawcy używają nazw użytkowników podobnych do oficjalnych wydziałów planowania i zagospodarowania przestrzennego, ale wiadomości pochodzą z domen niebędących domenami rządowymi. Dodatkowo kampania wykorzystuje presję czasu: ofiara ma uwierzyć, że brak natychmiastowej płatności spowoduje opóźnienia proceduralne, problemy administracyjne lub zablokowanie dalszego rozpatrywania wniosku.
Z perspektywy technicznej nie jest to klasyczny phishing nastawiony na kradzież poświadczeń logowania, lecz bardziej forma business email compromise i fraudu płatniczego z elementami spear phishingu. Atakujący nie muszą infekować systemów ani przełamywać zabezpieczeń technicznych, jeśli skutecznie przejmą proces decyzyjny po stronie ofiary i skłonią ją do wykonania autoryzowanego przelewu.
Konsekwencje / ryzyko
Najbardziej bezpośrednim skutkiem ataku jest strata finansowa wynikająca z opłacenia fałszywej faktury. Ponieważ przestępcy preferują przelewy, płatności P2P oraz kryptowaluty, odzyskanie środków może być utrudnione lub niemożliwe. Dla organizacji ryzyko obejmuje także zaburzenie procesów operacyjnych, błędną obsługę dokumentacji projektowej oraz konieczność prowadzenia działań wyjaśniających z udziałem działów prawnych, finansowych i bezpieczeństwa.
Wysokie zagrożenie dotyczy branż mających częsty kontakt z administracją lokalną, takich jak budownictwo, nieruchomości, infrastruktura czy usługi projektowe. Ryzyko rośnie tam, gdzie informacje o inwestycjach i pozwoleniach są jawne, a procesy płatności opierają się na komunikacji e-mailowej. Z punktu widzenia bezpieczeństwa informacji problem polega na tym, że atak bazuje na danych prawdziwych, więc standardowe szkolenia antyphishingowe oparte wyłącznie na wykrywaniu błędów językowych lub nienaturalnej treści mogą być niewystarczające.
Rekomendacje
Organizacje powinny wdrożyć obowiązkową weryfikację każdej niestandardowej prośby o płatność związanej z pozwoleniami, opłatami urzędowymi i procedurami lokalnymi. Najlepszą praktyką jest potwierdzenie należności telefonicznie, z wykorzystaniem numeru pobranego wyłącznie z oficjalnej strony urzędu, a nie z otrzymanej wiadomości.
Warto rozszerzyć procedury secure-by-process o dodatkowy etap kontroli domeny nadawcy, zgodności danych bankowych i kanału komunikacji. Każda faktura przesłana e-mailem, szczególnie z załącznikiem PDF i żądaniem pilnej zapłaty, powinna zostać sprawdzona pod kątem źródła, zgodności z wcześniejszą korespondencją oraz poprawności formalnej.
- monitorowanie domen podobnych do nazw urzędów i partnerów biznesowych,
- stosowanie DMARC, SPF i DKIM w celu poprawy uwierzytelniania poczty,
- szkolenia personelu finansowego, administracyjnego i projektowego w zakresie fraudu płatniczego,
- wdrożenie zasady podwójnej autoryzacji dla płatności niestandardowych,
- archiwizacja pełnych nagłówków wiadomości i artefaktów, takich jak załączniki PDF, na potrzeby analizy incydentu,
- szybkie raportowanie prób oszustwa do właściwych organów oraz zespołów bezpieczeństwa.
Jeżeli organizacja padła ofiarą takiego schematu, należy niezwłocznie wstrzymać dalszy kontakt z nadawcą, zabezpieczyć całą korespondencję, poinformować instytucję finansową oraz zgłosić incydent do odpowiednich służb. Kluczowe jest także ustalenie, czy oszustwo było odosobnione, czy stanowi element szerszej kampanii wymierzonej w inne projekty i kontrahentów.
Podsumowanie
Ostrzeżenie FBI pokazuje, że współczesny phishing coraz częściej opiera się nie na masowej dystrybucji prymitywnych wiadomości, lecz na precyzyjnym wykorzystaniu publicznych danych i znajomości procesów biznesowych. Kampania wymierzona w osoby i firmy realizujące procedury planistyczne oraz permitowe jest przykładem dojrzałego oszustwa finansowego, w którym kluczową rolę odgrywają wiarygodność, timing i presja operacyjna. Dla zespołów cyberbezpieczeństwa oznacza to konieczność łączenia zabezpieczeń poczty z kontrolami proceduralnymi, szkoleniami antyfraudowymi i formalną walidacją płatności.
Źródła
- Internet Crime Complaint Center (IC3) – Criminals Impersonating City and County Officials in Phishing Emails for Planning and Zoning Permits — https://www.ic3.gov/PSA/2026/PSA260309
- BleepingComputer – FBI warns of phishing attacks impersonating US city, county officials — https://www.bleepingcomputer.com/news/security/fbi-warns-of-phishing-attacks-impersonating-us-city-county-officials/
- Internet Crime Complaint Center (IC3) – FBI Warns of the Impersonation of Law Enforcement and Government Officials — https://www.ic3.gov/PSA/2022/PSA220307
- BleepingComputer – FBI: Scammers pose as FBI IC3 employees to 'help’ recover lost funds — https://www.bleepingcomputer.com/news/security/fbi-scammers-pose-as-fbi-ic3-employees-to-help-recover-lost-funds/
- BleepingComputer – FBI: US officials targeted in voice deepfake attacks since April — https://www.bleepingcomputer.com/news/security/fbi-us-officials-targeted-in-voice-deepfake-attacks-since-april/