Dziennik Gazeta Prawana logo

Myślisz, że to SMS lub email od kuriera? CERT ostrzega: możesz stracić pieniądze

Dominik Kulig
Dominik KuligDziennikarz i redaktor specjalizujący się w tematyce społecznej, gospodarczej oraz nowych technologii.
dzisiaj, 12:23
[aktualizacja 30 minut temu]
Ten tekst przeczytasz w 10 minut
Oszustwo, fałszywy SMS, fałszywy email
Myślisz, że to SMS lub email od kuriera? Jeden klik i oszuści mogą wyczyścić kartę/Shutterstock
Wiadomość SMS lub mail wygląda znajomo: paczka nie została doręczona, trzeba dopłacić symboliczną kwotę i ustalić nowy termin dostawy. To właśnie na tej codziennej sytuacji żerują cyberprzestępcy, którzy podszywają się pod DPD i inne firmy kurierskie. Schemat jest prosty, ale wyjątkowo skuteczny. CERT Polska ostrzega jednak, że to może być element kampanii phishingowej, której celem są dane karty płatniczej.

Fałszywy kurier, prawdziwe ryzyko

Oszuści znów wykorzystują jeden z najpopularniejszych scenariuszy internetowych wyłudzeń: wiadomość o niedostarczonej paczce. Tym razem podszywają się pod kuriera DPD (ale trik przestępców nie ogranicza się tylko do tej firmy kurierskiej), a osoba otrzymuje SMS-a lub e-mail z informacją, że przesyłka została wstrzymana albo nie mogła zostać doręczona.

Wiadomość zawiera link do strony, która ma umożliwiać „zaplanowanie nowej dostawy”. W praktyce prowadzi jednak do fałszywego serwisu, stworzonego po to, by wyłudzić dane osobowe i informacje o karcie płatniczej.

Przed podobną kampanią ostrzegał w ostatnich dniach CERT Polska. Zespół informował o wiadomościach wykorzystujących wizerunek DPD, w których cyberprzestępcy piszą o nieudanej próbie dostarczenia paczki i kierują użytkowników na stronę imitującą serwis kurierski.

„Dopłać 1-2 złote”. Tak zaczyna się oszustwo

Najgroźniejszy element tego ataku wygląda na pierwszy rzut oka niewinnie. Oszuści proszą o drobną dopłatę, często rzędu kilku złotych albo nawet mniej. To celowy zabieg psychologiczny.

Niska kwota ma uśpić czujność. Wiele osób myśli: „to tylko 1,20 zł”, „pewnie chodzi o przekierowanie paczki” albo „nie będę ryzykować zwrotu przesyłki”. Cyberprzestępcy liczą właśnie na pośpiech, rutynę i fakt, że wielu użytkowników naprawdę czeka w danym momencie na jakąś dostawę.

Po kliknięciu linku trafimy na stronę udającą panel firmy kurierskiej. Może zobaczyć fikcyjny status przesyłki, informację o magazynie, przycisk do ponownego zaplanowania dostawy i formularz płatności. Numer paczki, choć wygląda wiarygodnie, może w rzeczywistości nigdy nie istnieć.

Oszuści nie chcą drobnych. Chcą danych karty

W kolejnym kroku fałszywa strona prosi o podanie danych adresowych, numeru telefonu, adresu e-mail, a następnie danych karty płatniczej. To właśnie ten moment jest najniebezpieczniejszy!

Cyberprzestępcy nie pobierają symbolicznej opłaty za dostawę. Ich celem jest zdobycie pełnych danych karty i wykorzystanie ich do znacznie większych transakcji. Jeżeli ofiara poda numer karty, datę ważności i kod CVV/CVC, oszuści mogą próbować obciążyć konto kwotą ograniczoną jedynie limitami ustawionymi w banku.

Fałszywe strony często próbują dodatkowo budować zaufanie, pokazując komunikaty o bezpieczeństwie, ochronie przed oszustwami, 3D Secure albo zgodności z PCI DSS. To jednak tylko element scenografii. Prawdziwy system płatności banku albo operatora płatności nie powinien pojawiać się na przypadkowej stronie z linku w SMS-ie czy mailu.

subskrypcja-oplata-karta-telefon-39042650.jpg
Smartfon, karta płatnicza

Dlaczego ten trik nadal działa?

Oszustwo „na kuriera” jest skuteczne, bo trafia w bardzo codzienny kontekst. Zakupy internetowe są powszechne, a wiele osób regularnie otrzymuje powiadomienia od firm kurierskich. Cyberprzestępcy nie muszą wiedzieć, czy konkretna osoba rzeczywiście czeka na paczkę. Wystarczy, że wyślą masowo tysiące wiadomości, część odbiorców akurat będzie spodziewać się dostawy.

Atak opiera się na trzech mechanizmach: presji czasu, rozpoznawalnej marce i niskiej kwocie rzekomej dopłaty. Użytkownik ma działać szybko, bez sprawdzania adresu strony i bez weryfikacji numeru przesyłki.

DPD Polska na swojej stronie ostrzega przed fałszywymi wiadomościami wysyłanymi w imieniu firmy i wyjaśnia, jak rozpoznawać podejrzane maile oraz co robić po ich otrzymaniu. Podobne zalecenia publikują instytucje zajmujące się cyberbezpieczeństwem, które zwracają uwagę, że linki w wiadomościach SMS mogą prowadzić do stron wyłudzających dane lub instalujących złośliwe oprogramowanie.

Jak sprawdzić, czy wiadomość od kuriera jest prawdziwa?

Najważniejsza zasada: nie klikaj w link z wiadomości, jeżeli masz choć cień wątpliwości. Status paczki najlepiej sprawdzić samodzielnie, wpisując adres oficjalnej strony firmy kurierskiej w przeglądarce albo korzystając z oficjalnej aplikacji.

Warto też porównać numer przesyłki z informacjami od sklepu, w którym dokonano zakupu. Jeżeli paczka istnieje, powinna być widoczna w oficjalnym systemie śledzenia. Jeżeli system jej nie rozpoznaje, wiadomość może być próbą oszustwa.

Szczególną ostrożność należy zachować wtedy, gdy wiadomość wymaga dopłaty, podania danych karty, wpisania danych osobowych lub natychmiastowego działania. Firmy kurierskie nie powinny wymagać podawania danych karty płatniczej na przypadkowych stronach otwieranych z linków w SMS-ach lub e-mailach.

Co zrobić, jeśli podałeś dane karty?

Jeżeli dane karty zostały wpisane na podejrzanej stronie, trzeba działać natychmiast. Najlepiej od razu skontaktować się z bankiem, zastrzec kartę i sprawdzić historię transakcji. Warto również zmienić hasła, jeżeli na fałszywej stronie podano adres e-mail, numer telefonu lub inne dane, które mogą zostać wykorzystane w kolejnych atakach.

Podejrzane SMS-y można zgłaszać do CERT Polska, a fałszywe strony, do odpowiednich zespołów reagowania na incydenty. Im szybciej takie domeny są zgłaszane, tym większa szansa, że zostaną zablokowane, zanim oszuści zdążą okraść kolejne osoby.

Jak zgłosić fałszywy SMS lub stronę do CERT Polska?

Podejrzanych wiadomości nie warto kasować od razu. Można je zgłosić do CERT Polska, czyli zespołu działającego w strukturach NASK i pełniącego funkcję CSIRT NASK. Dzięki takim zgłoszeniom specjaliści mogą szybciej analizować kampanie phishingowe i inne fałszywe akcje oszustów, ostrzegać użytkowników i podejmować działania wobec fałszywych stron.

Jak zgłosić podejrzany SMS?

Najprostsza metoda to przesłanie podejrzanej wiadomości SMS na numer 8080. Najlepiej użyć w telefonie opcji „Przekaż” albo „Prześlij dalej”, aby zachować oryginalną treść wiadomości. Jeżeli telefon nie pozwala na przekazanie SMS-a, można skopiować jego treść i wysłać ją ręcznie na numer 8080. Na ten numer można zgłaszać zarówno SMS-y z linkiem, jak i wiadomości bez linku, które wyglądają na próbę oszustwa.

Procedura krok po kroku:

  1. Otwórz podejrzanego SMS-a.
  2. Nie klikaj w link i nie odpowiadaj na wiadomość.
  3. Wybierz opcję „Przekaż” lub „Prześlij dalej”.
  4. Jako odbiorcę wpisz 8080.
  5. Wyślij wiadomość.
  6. Dopiero potem usuń SMS-a ze skrzynki, jeśli nie jest już potrzebny jako dowód.

Jak zgłosić fałszywą stronę internetową?

Fałszywe strony, formularze wyłudzające dane, podejrzane e-maile i inne incydenty można zgłaszać przez oficjalny formularz CERT Polska dostępny pod adresem incydent.cert.pl. To właściwa ścieżka zwłaszcza wtedy, gdy użytkownik trafił na stronę podszywającą się pod firmę kurierską, bank, operatora płatności, sklep internetowy albo instytucję publiczną.

Procedura krok po kroku:

  1. Wejdź samodzielnie na stronę incydent.cert.pl, nie przez link z podejrzanej wiadomości.
  2. Wybierz odpowiedni typ zgłoszenia, np. fałszywa strona, phishing, podejrzana wiadomość lub inny incydent.
  3. Wklej adres podejrzanej strony.
  4. Opisz krótko, co się stało: gdzie pojawił się link, jak wyglądała wiadomość, czy podano dane.
  5. Dodaj zrzuty ekranu, treść wiadomości albo nagłówki e-maila, jeśli je posiadasz.
  6. Wyślij zgłoszenie.

Co warto zachować przed zgłoszeniem?

W przypadku phishingu przydatne mogą być: pełna treść SMS-a lub e-maila, numer nadawcy, adres fałszywej strony, zrzuty ekranu oraz informacja, czy użytkownik kliknął link lub podał dane. Nie należy jednak wpisywać tych danych ponownie na podejrzanej stronie ani testować jej „dla sprawdzenia”.

Jeżeli ktoś podał dane karty płatniczej, samo zgłoszenie do CERT Polska nie wystarczy. W takiej sytuacji trzeba natychmiast skontaktować się z bankiem, zastrzec kartę i sprawdzić historię transakcji.

Kurier nie potrzebuje danych twojej karty

Fałszywe wiadomości o paczkach będą wracać, bo to dla oszustów wygodny i skuteczny schemat. Zmieniają się domeny, grafiki, treść komunikatów i podszywane marki, ale cel pozostaje ten sam: skłonić użytkownika do kliknięcia i podania danych.

Najprostsza zasada bezpieczeństwa brzmi: jeśli wiadomość o paczce każe kliknąć link i zapłacić drobną kwotę, najpierw zatrzymaj się i sprawdź ją poza wiadomością. Ta minuta ostrożności może uratować nie tylko dane, ale też pieniądze z konta.

paczka-kurier-logistyka-38484261.jpg
paczka, kurier, logistyka

FAQ. Fałszywe SMS-y i e-maile od kuriera

Czy DPD lub inna firma kurierska może wysłać wiadomość z linkiem do śledzenia paczki?

Firmy kurierskie mogą wysyłać powiadomienia o przesyłkach, ale sama obecność logo DPD lub innej firmy kurierskiej, numeru paczki czy linku nie oznacza, że wiadomość jest prawdziwa. Bezpieczniej jest samodzielnie wejść na oficjalną stronę firmy kurierskiej lub do aplikacji i tam sprawdzić numer przesyłki.

Po czym poznać fałszywą wiadomość od kuriera?

Podejrzane są zwłaszcza wiadomości, które informują o niedostarczonej paczce, wymagają natychmiastowej dopłaty, zawierają skrócony lub dziwnie wyglądający link, wywołują presję czasu albo proszą o dane karty płatniczej. CERT Polska ostrzegał w kwietniu 2026 r. przed kampanią SMS-ową wykorzystującą wizerunek DPD, w której oszuści pisali o nieudanej próbie doręczenia i kierowali użytkowników na fałszywą stronę imitującą serwis kurierski.

Czy dopłata 1-2 zł za paczkę może być oszustwem?

Tak. Niska kwota to częsty element socjotechniki. Oszuści liczą na to, że użytkownik uzna płatność za nieistotną i bez zastanowienia poda dane karty. W rzeczywistości celem nie jest pobranie symbolicznej opłaty, ale przejęcie danych płatniczych.

Co zrobić, gdy kliknąłem link, ale nie podałem danych?

Najlepiej zamknąć stronę, nie wpisywać żadnych informacji i nie pobierać plików. Warto też zgłosić podejrzany SMS do CERT Polska na numer 8080 albo fałszywą stronę przez formularz incydent.cert.pl. Podejrzany SMS należy przekazać w całości, bez wycinania treści ani linku.

Co zrobić, gdy podałem dane karty?

Trzeba natychmiast skontaktować się z bankiem, zastrzec kartę i sprawdzić historię transakcji. Warto też obniżyć limity płatności, jeśli karta nie została jeszcze zablokowana, oraz zgłosić incydent do CERT Polska. Samo zamknięcie fałszywej strony nie wystarczy.

Jak zgłosić podejrzany SMS do CERT Polska?

Podejrzaną wiadomość należy przekazać na numer 8080. CERT Polska i administracja publiczna zalecają, aby przesłać całą wiadomość w oryginalnej formie, bez usuwania linku ani fragmentów treści. Z jednego numeru można zgłosić maksymalnie trzy wiadomości w ciągu czterech godzin.

Jak zgłosić fałszywą stronę internetową?

Fałszywą stronę, podejrzany e-mail lub inny incydent można zgłosić przez formularz na stronie incydent.cert.pl. Formularz służy do przekazywania zgłoszeń do CSIRT NASK/CERT Polska.

Czy warto zgłaszać wiadomość, jeśli nie dałem się oszukać?

Tak. Zgłoszenia pomagają specjalistom szybciej identyfikować kampanie phishingowe i blokować fałszywe strony. NASK przypomina, że podejrzane strony, fałszywe wiadomości e-mail i próby wyłudzenia danych można zgłaszać przez incydent.cert.pl, a SMS-y z linkami, na numer 8080.

Czy fałszywe wiadomości dotyczą tylko DPD?

Nie. Oszuści regularnie podszywają się pod różne firmy kurierskie, banki, operatorów płatności, sklepy internetowe i instytucje publiczne. Marka może się zmieniać, ale schemat zwykle pozostaje podobny: wiadomość, presja czasu, link i próba wyłudzenia danych.

Gdzie bezpiecznie sprawdzić numer paczki?

Najbezpieczniej wejść bezpośrednio na oficjalną stronę firmy kurierskiej albo skorzystać z jej aplikacji. DPD Polska publikuje własne ostrzeżenia dotyczące fałszywych wiadomości i radzi zachować ostrożność wobec podejrzanych maili wysyłanych w imieniu firmy.

Źródła

  1. CERT Polska: ostrzeżenie przed fałszywymi SMS-ami podszywającymi się pod firmę kurierską
  2. CERT Polska: formularz zgłaszania incydentów
  3. Gov.pl: jak zgłaszać podejrzane SMS-y i e-maile do CERT Polska
  4. NASK: zgłaszanie incydentów do CERT Polska
  5. DPD Polska: ostrzeżenie przed fałszywymi wiadomościami
Copyright
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję
Źródło dziennik.pl
Tematy: oszuścismskurierfałszywy sms
Powiązane
smartfon, pieniądze
Masz stary smartfon? Możesz dostać za niego pieniądze na nowy telefon - tylko do 4 maja
Nowa Kia Seltos debiutuje podczas Poznań Motor Show
Nowa Kia trzęsie rynkiem. Jest ładna, szybka i wygodna. Cena?
płyta grzewcza
Nowa płyta, niższe rachunki za prąd. Ale jest jeden haczyk
Dominik Kulig
Dominik Kulig
Dziennikarz i redaktor specjalizujący się w tematyce społecznej, gospodarczej oraz nowych technologii.
Zobacz wszystkie artykuły tego autoraMyślisz, że to SMS lub email od kuriera? CERT ostrzega: możesz stracić pieniądze »
Zobacz
|
Emeryci mają czas do 30 kwietnia 2026
Seniorzy mają czas do 30 kwietnia 2026. ZUS wysłał ważne dokumenty do emerytów. Co trzeba zrobić do końca kwietnia?
Osoba trzymająca smartfon i robiąca zdjęcie samochodu Lexus UX na parkingu, kontrola abonamentu RTV w aucie, dokumentowanie radia w samochodzie przez szybę
24 kwietnia kontrolerzy zaczną robić zdjęcia. To będzie czarny piątek dla kierowców
Michelle Pfeiffer jako Stacy Clyburn w szóstym odcinku serialu "Madison"
Kultowy twórca nie zawiódł. Finałowy odcinek serialu uznany najlepszym
Jak wybielić firanki w pralce?
Zanim włożę firanki do pralki, wsypuję do bębna 3 łyżki tego proszku. Najlepszy sposób na idealnie białe firanki, bez sody oczyszczonej i proszku do prania. Jak prać firanki?
Nowa Kia Seltos debiutuje podczas Poznań Motor Show
Nowa Kia trzęsie rynkiem. Jest ładna, szybka i wygodna. Cena?
Waldemar Żurek
Prezydent Nawrocki chce odtajnić aneks WSI. Minister Żurek: To absurd
Zapisz się na newsletter
Najważniejsze wydarzenia polityczne i społeczne, istotne wiadomości kulturalne, najlepsza rozrywka, pomocne porady i najświeższa prognoza pogody. To wszystko i wiele więcej znajdziesz w newsletterze Dziennik.pl. Trzymamy rękę na pulsie Polski i świata. Zapisz się do naszego newslettera i bądź na bieżąco!

Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich

Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj