Phishing wraca w nowych szatach — fałszywe paczki, zwroty podatku i mandaty

Stare sztuczki, nowe preteksty

Oszuści internetowi nie wymyślają koła na nowo. Zamiast tego biorą sprawdzone schematy wyłudzeń i pakują je w aktualne tematy, które budzą emocje — niedostarczoną paczkę, obiecany zwrot podatku albo mandat za parking. W pierwszych dniach lipca 2026 roku CSIRT KNF i CERT Polska ostrzegły przed trzema równoległymi kampaniami, które działają dokładnie w ten sposób.

Wszystkie trzy ataki łączy jeden mechanizm: ofiara otrzymuje wiadomość (e-mail lub SMS), klika w link i trafia na podrobioną stronę, gdzie podaje dane karty płatniczej. Technika jest znana od lat, ale kontekst zmienia się co sezon — i właśnie dlatego ludzie wciąż się na nią nabierają.

Czym właściwie jest phishing (i jego odmiany)

Phishing to rodzaj ataku, w którym przestępca podszywa się pod zaufaną instytucję (bank, urząd skarbowy, firmę kurierską), aby wyłudzić od ofiary wrażliwe dane — najczęściej numer karty płatniczej, login i hasło lub dane osobowe. Nazwa pochodzi od angielskiego „fishing” (łowienie) — atakujący zarzuca przynętę i czeka, aż ktoś się złapie.

Gdy przynęta przychodzi SMS-em, mówimy o smishingu (SMS + phishing). Gdy oszust dzwoni i podaje się za pracownika banku — to vishing (voice + phishing). Całość opiera się na social engineeringu, czyli manipulacji psychologicznej: atakujący wywołuje pośpiech, strach lub nadzieję na zysk, żeby ofiara działała odruchowo, bez zastanowienia.

Kampania 1: fałszywe opłaty celne za paczkę

Od 1 lipca 2026 roku w Unii Europejskiej nie obowiązuje już zwolnienie celne dla paczek spoza UE o wartości do 150 euro. Na każdy przedmiot nałożono cło w wysokości 3 euro, przy czym opłatę ponoszą platformy sprzedażowe (Temu, Shein, AliExpress), a nie klienci końcowi.

PRZECZYTAJ  Co to jest MFA i jak włączyć uwierzytelnianie wieloskładnikowe?

Oszuści natychmiast wykorzystali tę zmianę. Już 3 lipca CSIRT KNF (zespół reagowania na incydenty przy Komisji Nadzoru Finansowego) donosił o mailach z nagłówkiem „Wezwanie do zapłaty — opłata celna”. W treści ofiara czyta, że jej przesyłka jest w Polsce i czeka na odprawę celną. Trzeba uiścić „opłaty celne i manipulacyjne”, żeby „uniknąć opóźnień”. Podana kwota jest niewielka — zbliżona do wspomnianych 3 euro.

Po kliknięciu w przycisk „zapłać teraz” ofiara trafia na podrobioną stronę płatności z logo firmy kurierskiej. Tam wyłudzane są dane karty płatniczej. To klasyczny przykład spoofingu — techniki, w której atakujący podszywa się pod prawdziwą markę, kopiując jej logo, kolorystykę i układ strony, żeby wyglądać wiarygodnie.

Równolegle CERT Polska ostrzega przed wiadomościami podszywającymi się pod firmę kurierską DPD. Schemat jest analogiczny: mail informuje o braku możliwości dostarczenia paczki, a link prowadzi do formularza, który rzekomo służy do umówienia nowego terminu dostawy. W rzeczywistości formularz zbiera dane osobowe ofiary, które w dalszych krokach służą do wykonania płatności.

Kampania 2: fałszywy zwrot podatku PIT

„Informacja o nadpłacie podatku dochodowego” — taki nagłówek aż prosi się, żeby go szybko otworzyć. CSIRT KNF ostrzega, że pod serwis podatki.gov.pl podszywają się ponownie oszuści. W tej kampanii pojawia się pewna „innowacja”: możliwość otrzymania zwrotu na kartę płatniczą.

Wiadomość informuje, że Krajowa Administracja Skarbowa dokonała „automatycznej weryfikacji” rocznego zeznania PIT i pieniądze czekają na odbiór. Wystarczy kliknąć w link. Ten prowadzi do strony przypominającej oficjalny serwis podatkowy, gdzie ofiara ma wybrać metodę zwrotu środków. Opcja uznania karty płatniczej — nieistniejąca w prawdziwym serwisie — wymaga podania pełnych danych karty. W ten sposób dochodzi do wyłudzenia.

Zwróc uwagę na dwa sygnały alarmowe. Po pierwsze, prawdziwy urząd skarbowy nigdy nie oferuje zwrotu na kartę — zwrot trafia na konto bankowe podane w zeznaniu PIT. Po drugie, adres URL fałszywej strony różni się od oryginalnego podatki.gov.pl, choć bywa łudząco podobny (np. podatki-gov.pl, podatki.gov-pl.com).

PRZECZYTAJ  Hexadecimal i Base64 w cybersecurity: jak dekodować zagrożenia

Kampania 3: mandat za parking przez SMS

Trzeci aktualny schemat to smishing — atak za pośrednictwem wiadomości SMS. Ofiara dostaje powiadomienie rzekomo od operatora strefy płatnego parkowania o nieopłaconym postoju. W wiadomości znajduje się link do „obsługi płatności”.

CERT Polska zwraca uwagę na dodatkową sztuczkę: oszuści próbują obchodzić zabezpieczenia telefonów przed linkami z nieznanych źródeł. W tym celu proszą odbiorcę o odpowiedź w konwersacji SMS lub manualne skopiowanie adresu fałszywej strony do przeglądarki. To pozwala ominąć filtr, który normalnie blokuje podejrzane linki w wiadomościach od nieznanych nadawców.

Po otwarciu odnośnika ofiara trafia na podrobioną stronę obsługi transakcji — ponownie z formularzem na dane karty płatniczej. Fałszywa strona może wyglądać jak serwis płatności (np. imitacja Przelewy24 lub PayU), ale jej adres URL nie ma nic wspólnego z prawdziwym operatorem.

Jak rozpoznać phishing — praktyczna checklista

Niezależnie od pretekstu (paczka, podatek, mandat), ataki phishingowe mają wspólne cechy. Oto lista sygnałów ostrzegawczych:

Sprawdź nadawcę. Adres e-mail oszusta często wygląda podobnie do prawdziwego, ale zawiera drobne różnice — literówkę, dodatkową cyfrę, inną domenę (np. @dpd-powiadomienia.com zamiast @dpd.com.pl). W przypadku SMS-ów — numer często jest zagraniczny lub alfanumeryczny.

Sprawdź URL przed kliknięciem. Najedź kursorem na link (na telefonie — przytrzymaj palcem) i przeczytaj pełny adres. Prawdziwy serwis podatkowy to podatki.gov.pl, nie podatki-gov.pl ani podatki.gov.com.pl. Domena (to, co jest tuż przed pierwszym ukośnikiem) musi się zgadzać co do znaku.

Szukaj presji czasowej. Komunikaty w stylu „zapłać w ciągu 24h, inaczej paczka wróci do nadawcy” lub „zwrot wygasa za 48h” to klasyczna technika social engineeringu. Prawdziwe instytucje nie stawiają takich ultimatum przez mail.

Sprawdź, czy instytucja w ogóle kontaktuje się tą drogą. Urząd skarbowy nie wysyła informacji o zwrotach mailem z linkiem do płatności. Firma kurierska podaje numer przesyłki, który można zweryfikować na oficjalnej stronie. Operator parkingu wystawia mandat w formie papierowej za wycieraczką.

PRZECZYTAJ  Social engineering: techniki ataku i skuteczna obrona

Nie podawaj danych karty na stronach, do których trafiłeś z linka w mailu lub SMS. Jeśli rzeczywiście masz do opłacenia cło lub mandat — wejdź na stronę operatora samodzielnie, wpisując adres ręcznie w przeglądarce.

Co zrobić, gdy natrafisz na podejrzaną wiadomość

Podejrzane wiadomości można (i warto) zgłaszać. Każde zgłoszenie pomaga zablokować fałszywe domeny dla innych użytkowników. Oto trzy kanały:

  • SMS na numer 8080 — bezpłatny numer CERT Polska. Wystarczy przesłać dalej podejrzanego SMS-a.
  • Formularz incydent.cert.pl — do zgłaszania phishingowych stron i maili. Po weryfikacji niebezpieczne domeny trafiają na Listę Ostrzeżeń CERT Polska, co ogranicza ich dostępność dla polskich internautów.
  • Aplikacja mObywatel — usługa „Bezpiecznie w sieci” pozwala zgłosić zagrożenie bezpośrednio z telefonu.

Jeśli podałeś dane karty na podejrzanej stronie — natychmiast zadzwoń do banku i zablokuj kartę. Większość banków udostępnia tę opcję też w aplikacji mobilnej. Następnie zmień hasła do kont, na których używasz tego samego adresu e-mail.

Dlaczego stare ataki wciąż działają

Phishing nie wymaga zaawansowanej wiedzy technicznej. Atakujący nie musi pisać exploitów ani szukać luk w oprogramowaniu. Wystarczy postawić prostą stronę internetową imitującą znany serwis — narzędzia typu malware dropper (oprogramowanie, które po kliknięciu pobiera i instaluje złośliwy program na urządzeniu ofiary) bywają dodatkowym elementem, ale sam phishing opiera się przede wszystkim na psychologii.

Przestępcy celowo wybierają tematy, które dotyczą dużych grup ludzi w danym momencie. W lipcu 2026 takim tematem są nowe cła na paczki z Chin i sezon rozliczeń podatkowych. Za kilka tygodni pretekstem będzie coś innego — ale mechanizm pozostanie ten sam: fałszywa wiadomość, link, podrobiona strona, formularz na dane karty.

Znajomość tego schematu to najlepsza obrona. Techniczne zabezpieczenia (filtry antyspamowe, blokady w przeglądarkach, listy ostrzeżeń) pomagają, ale ostatecznie to człowiek decyduje, czy kliknie w link i wpisze dane. Dlatego warto traktować każdą nieoczekiwaną wiadomość z linkiem jako potencjalnie niebezpieczną — i weryfikować ją, zanim podejmiesz jakiekolwiek działanie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

You May Also Like