Spis treści
ToggleSchemat działania oszustów jest zawsze taki sam: wiadomość SMS z fałszywą prośbą o uregulowanie należności za energię elektryczną, subskrypcję lub przesyłkę, zakończona linkiem do strony płatności elektronicznych. Często wystarczy chwila nieuwagi i jedno kliknięcie, by udostępnić swoje dane, dostęp do konta i w konsekwencji – stracić wszystkie oszczędności. Codziennie ktoś pada ofiarą phishingu – Ty także możesz się nią stać.
Fałszywe SMS-y od PGIG, DPD i PZU – pod kogo podszywają się oszuści?
Jednym z najpopularniejszych ataków hakerskich jest phishing – metoda opierająca się na wysyłaniu fałszywych wiadomości SMS lub e-mail. Cyberprzestępcy próbują wyłudzić Twoje dane osobowe i dostęp do konta bankowego poprzez wysyłanie linków z szkodliwym oprogramowaniem lub załączników zainfekowanych wirusem.
Aby wzbudzić zaufanie ofiary i wymusić na niej działanie, przestępcy podszywają się pod:
- urzędy administracji – Ministerstwo Finansów, Urząd Skarbowy,
- firmy kurierskie – InPost, DHL, DPD, Poczta Polska,
- operatorów telekomunikacyjnych – Plus, Orange, Play, T-Mobile,
- dostawców usług internetowych – UPC, Netia,
- stacje radiowe i telewizyjne – Eska, Radio Zet, RMF, Polsat, TVN,
- przedsiębiorstwa ubezpieczeniowe – PZU,
- dostawców energii elektrycznej – PGIG, PGE,
- banki i systemy płatności – BLIK, mBank, PKO, Santander,
- platformy i portale internetowe – Allegro, Olx, Vinted,
- Twoich znajomych.
Jak rozpoznać fałszywy SMS? Przykłady phishingu

Większość fałszywych wiadomości tekstowych opiera się na tym samym schemacie. Na początku, w ramach informacji o nadawcy, cyberprzestępca wymienia nazwę podmiotu, który budzi powszechne zaufanie. Następnie podaje powód kontaktu i wzywa do pilnego działania poprzez dołączony na końcu link.
Fałszywe wiadomości SMS mogą zawierać:
- wezwanie do uregulowania należności za energię elektryczną,
- informację o przelewie od znajomego,
- obietnicę dodatkowej gotówki za wypełnienie ankiety lub w ramach dotacji,
- wezwanie zapłaty zaległych należności od groźbą windykacji,
- informację o nałożonej kwarantannie,
- informację o zablokowaniu konta na portalu internetowym,
- wezwanie do uiszczenia opłaty celnej,
- informację o odrzuceniu płatności za internetowy zakup z wezwaniem do ponownego wykonania transakcji,
- informację o filmie lub zdjęciu z wizerunkiem ofiary.
Wszystkie aktualne kampanie phishingowe i treści fałszywych wiadomości są umieszczane na profilu Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT na Twitterze. Tak wyglądają przykładowe SMS-y od cyberprzestępców, które były rozsyłane w 2022 roku:
“PGE: Na dzień 26.08 zaplanowano odłączenie energii elektrycznej! Prosimy o uregulowanie należności 3,46 zł. Zapłać teraz na <link>”
“Akcja Ministerstwa Finansów! Wypełnij krótką ankietę i zyskaj 250 zł na swoje konto <link>”
“Zostałeś skierowany do odbycia 10-dniowej kwarantanny z powodu zakażenia w Twoim najbliższym otoczeniu. Więcej informacji na stronie <link>”
“InPost. Prosimy uregulować należność <link>”
“Dotacja Santander Bank. Masz prawo na jednorazową pomoc finansową w kwocie 1000 zł. Żeby dostać dotacje wypełnij formularz <link>
“BLIK. Ktoś przesłał Ci przelew na telefon 350 zł, skorzystaj z poniższego linku do odbioru środków: <link>
Sposoby na weryfikowanie wiarygodności wiadomości SMS

Zanim zdecydujesz się kliknąć w otrzymany link, sprawdź, czy nie masz do czynienia z phishingiem. Każde wezwanie do szybkiej reakcji, typu “wyślij dane w ciągu 24 godzin”, “zapłać natychmiast”, powinno wzbudzić Twoją czujność. Najlepiej więc skontaktuj się z domniemanym nadawcą przez dane kontaktowe podane na oficjalnej stronie internetowej, by potwierdzić wiarygodność SMS-a. Pamiętaj, że żaden bank ani instytucja nie będzie w taki sposób prosić Cię o uzupełnienie danych osobowych.
Jeśli zdecydujesz się wejść w link, przyjrzyj się wyglądowi i adresowi strony. Każda literówka, niepoprawna gramatyka, interpunkcja i pisowania, a także brak polskich znaków diakrytycznych (“ą”, “ę”, “ż”) wskazują na wiadomość phishingową.
Gdzie zgłosić fałszywe SMS-y?
SMS wysłany przez oszusta możesz zgłosić do wcześniej wspomnianego CSIRT NASK. Wystarczy przesłać treść na numer 799-448-084. Każdy donos jest weryfikowany przez operatorów, którzy decydują o wydaniu oficjalnego ostrzeżenia.
Podejrzane SMS-y zgłosisz także przez stronę internetową https://incydent.cert.pl/#!/lang=pl. Wybierz reprezentowany przez siebie podmiot (osoba fizyczna), wskaż odpowiednią kategorię (podejrzana wiadomość e-mail/SMS) i opisz incydent. Otrzymasz odpowiedź w ciągu 48 godzin.
Ofiara phishingu – postępowanie w przypadku kradzieży

Niektóre fałszywe wiadomości wyglądają na tyle rzetelnie, że każdy z nas może stać się ofiarą oszustwa. W takim przypadku niezwłocznie przekaż dowody Policji (screeny wiadomości, linki do odwiedzonych stron) i zgłoś do banku żądanie zwrotu pieniędzy.
Zmień także wszystkie swoje hasła oraz przeskanuj urządzenie programem antywirusowym w celu wykrycia niebezpiecznego oprogramowania. Pomocne może być przywrócenie ustawień fabrycznych.

Fałszywe wiadomości SMS – FAQ
Poznaj odpowiedzi na najczęściej zadawane pytania o phishing!
Kto może paść ofiarą phishingu?
Każdy z nas otrzymuje fałszywe wiadomości SMS. Wystarczy chwila nieuwagi, abyś i Ty stał się ofiarą phishingu.
Skąd oszuści biorą numery telefonów?
Cyberprzestępcy szukają ofiar przez Internet – kopiują ich numery ze stron internetowych i zakładek kontaktowych. Wykradają bazy danych z popularnych serwisów internetowych, a także wykorzystują słabsze zabezpieczenia sieci GSM.
Jak rozpoznać fałszywy SMS?
- Sprawdź, czy domniemany nadawca w ogóle kontaktuje się przez SMS-y. Najlepiej sam do niego zadzwoń albo napisz, wykorzystując dane podane na oficjalnej stronie.
- Zwróć uwagę na literówki, błędy gramatyczne, obecność polskich znaków – każdy błąd powinien wzbudzać Twoje podejrzenia.
- Oceń, czy SMS wpływa na Twoje emocje i wzywa do natychmiastowych działań. Jeśli tak – prawdopodobnie jest fałszywy.
- Jeśli uważasz, że otrzymana wiadomość ma charakter phishingowy, sprawdź, czy może CSIRT nie ostrzegał przed nią w ostatnim czasie..
Co może się stać po kliknięciu w link w fałszywym SMS-ie?
Linki mogą prowadzić do stron instalujących złośliwe oprogramowanie na Twoim urządzeniu albo serwisów transakcyjnych, które wyłudzają dostęp do kont bankowych. Po kliknięciu w nie, cyberprzestępca zyska dostęp do Twoich danych osobistych.
Gdzie zgłosić próbę oszustwa SMS?
Fałszywe wiadomości SMS prześlij do CERT przez formularz zgłoszeniowy na ich stronie internetowej lub bezpośrednio na numer 799-448-084. Próbuję oszustwa zgłoś także Policji.
Czy PGE wysyła SMS-y?
PGE nie wysyła wiadomości SMS z wezwaniem do zapłaty czy informacją o planowanym odłączeniu energii elektrycznej.
Co zrobić, jeśli padło się ofiarą phishingu?
Udaj się na najbliższy komisariat Policji i zgłoś przestępstwo. Poinformuj także swój bank. Rozsądnym krokiem będzie zmiana haseł do kont oraz użycie programu antywirusowego.
Moja znajoma tak straciła oszczędności życia. Policja ani bank nie pomogły. Może kiedyś ich złapią, ale szansa na odzyskanie pieniędzy jest zerowa. Dlatego tak trzeba uważać i ostrzegać wszystkich przed tego typu wiadomościami i połączeniami.
to jest rak obecnych czasów. Szczególnie starsi ludzie są narażeni na tego typu ataki, ale nie tylko. Mam nadzieję, że powstaną narzędzia, żeby takie coś blokować, a odpowiedzialni za to ludzie pójdą siedzieć
Nie tylko sms-y ale także połączenia telefoniczne, metody na wnuczka, czy policjanta. Nie mówiąc już o fałszywych ksieniach z Nigerii. Policja powinna zająć się tymi ludźmi