Útočníci opäť zneužívajú dôveru v známu značku. Bezpečnostní výskumníci spoločnosti ESET zachytili phishingovú kampaň zameranú na slovenských používateľov, v ktorej sa podvodníci vydávajú za spoločnosť ZSE a rozosielajú e-maily s predmetom „Elektronická faktúra“. Príloha pritom neobsahuje žiadny účet za elektrinu, ale škodlivý kód určený na krádež hesiel a ďalších citlivých údajov.
Podľa ESETu bezpečnostné riešenia firmy na Slovensku zablokovali pokus o útok približne na 1 300 zariadeniach. Najviac zachytených vzoriek pribudlo 9. marca 2026. Rovnaká kampaň zároveň prebiehala aj v Poľsku a Chorvátsku, pričom útočníci menili obsah správ podľa miestnych podmienok.
E-mail vyzerá dôveryhodne
Na prvý pohľad ide o správu, ktorú by mnohí príjemcovia nemuseli spochybniť. Ako zobrazované meno odosielateľa sa objaví ZSE, predmet e-mailu znie „Elektronická faktúra“ a odkazy v tele správy smerujú na skutočný web energetickej spoločnosti. Dokonca aj uvedené bankové účty patria reálnej firme.
Práve to robí útok nebezpečnejším. Podvodná správa nepôsobí ako lacno zlepený scam, ale ako bežná fakturačná komunikácia. Používateľ si môže ľahko myslieť, že dostal štandardnú elektronickú faktúru, najmä ak v posledných týždňoch riešil ceny energií, preplatky, nedoplatky alebo štátnu energopomoc.
ESET upozorňuje, že útočníci využili aj psychologický moment. Téma energií je pre domácnosti citlivá a v období zvýšenej neistoty majú takéto správy väčšiu šancu uspieť. Kyberzločinci čoraz častejšie nespoliehajú len na techniku, ale aj na správne načasovanie a dôveryhodný kontext.
„Útočníkom hrá do kariet aj to, že sa v uplynulých týždňoch mnohí odberatelia obávali rastúcich cien energií a ešte úplne neodznela komunikácia súvisiaca s energopomocou. Je to ďalší dôkaz, že kyberzločinci sledujú aktuálne dianie a snažia sa vytvoriť čo najuveriteľnejšie správy, ktoré korešpondujú s aktuálnymi udalosťami,“ uviedol Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.
Samotná príloha je pritom pripravená tak, aby si ju používateľ pomýlil s neškodným dokumentom. E-mail obsahuje archív ZIP s názvom Faktura_7576654137·pdf.zip. Po rozbalení sa v ňom nachádza súbor Faktura_7576654137˙pdf.js, ktorý opäť na prvý pohľad vyzerá ako PDF. Útočníci v názvoch zneužili unicode znaky pripomínajúce bodku, takže pri vypnutom zobrazovaní známych prípon môže obeť nadobudnúť dojem, že otvára obyčajnú faktúru.
V skutočnosti však nejde o PDF dokument, ale o škodlivý skript. Po jeho spustení sa rozbehne viacstupňový reťazec infekcie, ktorého úlohou je stiahnuť a ukryť ďalšie časti útoku.
Nasleduje CloudEyE a krádež hesiel
Po otvorení škodlivého JavaScriptu sa podľa ESETu spustí malvér CloudEyE. Ten slúži ako maskovacia a doručovacia vrstva pre ďalšie fázy útoku. Nasleduje séria ďalších skriptov, pričom časť komponentov si útočníci sťahujú aj zo služby Google Drive. Finálnym škodlivým kódom je Formbook, známy infostealer zameraný na krádež prihlasovacích údajov a ďalších citlivých informácií z napadnutého zariadenia.
Takýto malvér môže útočníkom otvoriť cestu k e-mailovým schránkam, firemným účtom, internetbankingu aj ďalším službám. Riziko preto nekončí pri jednom otvorenom súbore. Jeden chybný klik môže viesť k strate prístupu do účtov, úniku údajov alebo k ďalšiemu zneužitiu identity obete.
Dôležité je, že nejde o úplne izolovaný incident. Phishing patrí podľa ESETu dlhodobo medzi najrozšírenejšie digitálne hrozby na Slovensku a útočníci čoraz častejšie využívajú škodlivé JavaScripty a viacstupňové kampane, ktoré sa snažia skryť skutočný účel prílohy. V tomto prípade len zmenili kulisu a namiesto zmluvy či inej administratívnej komunikácie nasadili falošnú faktúru za elektrinu.
ZSE pred podobnými e-mailami varovala už skôr
Prípad je zaujímavý aj tým, že značka ZSE bola pri podobných útokoch zneužitá už v minulosti. Spoločnosť v roku 2024 upozorňovala na škodlivé e-maily s predmetom „Elektronická faktúra“ a pripomenula, že faktúry nikdy neposiela v ZIP prílohách. V inom varovaní zároveň uviedla, že zákazníci nemajú otvárať podvodný e-mail vystupujúci pod aliasom ZSE, pričom riešenie útoku konzultovala so štátnymi orgánmi.
Aj preto by mali byť používatelia pri podobných správach mimoriadne opatrní. Nestačí, že e-mail používa známe meno, obsahuje logo alebo odkazuje na pravý web. Rozhodujúce je, z akej adresy prišiel, akú má prílohu a či daný spôsob komunikácie zodpovedá tomu, ako firma bežne faktúry doručuje.
Pri podozrivých správach teda platí jednoduché pravidlo. Faktúru si neoverujte cez prílohu ani cez odkaz v e-maile, ale cez oficiálny účet zákazníka alebo zákaznícku podporu.
