W ostatnich tygodniach tysiące Polaków otwiera skrzynki pocztowe tylko po to, by znaleźć w nich niepokojącą wiadomość – rzekome wezwanie do zapłaty zaległej faktury na kwotę 2249,99 złotych. Ten precyzyjnie zaprojektowany atak phishingowy, podszywający się pod popularne biuro księgowe serwisu booking.com, to nowa fala cyberprzestępczości, która skutecznie omija standardowe zabezpieczenia i sieje strach wśród użytkowników Internetu. Eksperci ds. bezpieczeństwa cyfrowego biją na alarm – ten niepozorny mail może być początkiem prawdziwego koszmaru finansowego.

Fot. Pexels
UwagaOstrzegamy przed kampanią dystrybuującą szkodliwe oprogramowanie. Lakoniczne wiadomości informują o rzekomo zaległej fakturze i zawierają w załączniku plik HTML.
Proces infekcji ma kilka etapów.
Po otwarciu fałszywej faktury wyświetlana jest informacja imitującą… pic.twitter.com/kJwAzreSC7
— CERT Polska (@CERT_Polska) March 12, 2025
Mechanizm działania oszustwa jest niepokojąco prosty, a jednocześnie niezwykle skuteczny. Wiadomość, która trafia do skrzynek odbiorczych, uderza w czuły punkt – nasze poczucie odpowiedzialności finansowej. Krótki, lakoniczny tekst brzmi zazwyczaj: „Prosimy o uregulowanie należności 2249,99 zł za załączoną fakturę”. Brak dodatkowych gróźb czy nacisków sprawia, iż wiadomość wydaje się bardziej wiarygodna. Cyberprzestępcy wykorzystują psychologiczny fakt, iż większość z nas obawia się zalegania z płatnościami i potencjalnych konsekwencji prawnych.
Eksperci z CERT Polska, rządowego zespołu reagowania na incydenty komputerowe, zidentyfikowali ten atak jako szczególnie niebezpieczny wariant scamu. Co ciekawe, oszuści wcale nie liczą na to, iż odbiorcy przelewem uregulują nieistniejącą należność. Prawdziwy cel jest znacznie bardziej złowieszczy – załącznik do wiadomości zawiera złośliwe oprogramowanie, które po aktywacji infekuje komputer ofiary.
„To klasyczny przykład ataku typu malware, tylko w nowym przebraniu,” wyjaśnia Anna Kowalska, specjalistka ds. cyberbezpieczeństwa. „Otwarcie załącznika inicjuje proces pobierania szkodliwego oprogramowania. Szczególnie perfidne jest to, iż po kliknięciu pojawia się komunikat informujący, iż dokument może zostać otwarty tylko na komputerze, co skłania ofiarę do pobrania i uruchomienia złośliwego pliku.”
Booking.com jest idealnym „przebraniem” dla oszustów z kilku powodów. Po pierwsze, jest to jeden z najpopularniejszych serwisów rezerwacyjnych w Polsce – miliony Polaków regularnie korzystają z tej platformy do rezerwacji hoteli i apartamentów. Po drugie, osoby które rzeczywiście korzystały z usług tego portalu mogą mieć trudność z natychmiastowym zweryfikowaniem, czy faktycznie zalegają z jakąkolwiek płatnością, szczególnie jeżeli często podróżują. Wątpliwości te skłaniają niektórych do otwierania załączników „na wszelki wypadek”, co prowadzi wprost w pułapkę zastawioną przez cyberprzestępców.
Konsekwencje otwarcia złośliwego załącznika mogą być druzgocące. Według specjalistów, malware instalowany w ten sposób potrafi przechwytywać dane logowania do bankowości elektronicznej, kopiować informacje o kartach kredytowych, a choćby przejmować pełną kontrolę nad komputerem ofiary. W skrajnych przypadkach może dojść do całkowitego wyczyszczenia konta bankowego, zaciągnięcia pożyczek na dane ofiary, czy kradzieży tożsamości. Straty finansowe mogą wielokrotnie przekroczyć kwotę widniejącą w fałszywej fakturze.
„To, co widzimy obecnie, to tylko wierzchołek góry lodowej,” ostrzega Marek Nowak, analityk zagrożeń internetowych. „Kampanie tego typu stają się coraz bardziej wyrafinowane. Zaczynaliśmy od oczywistych błędów językowych i graficznych w fałszywych mailach, a dziś mamy do czynienia z perfekcyjnie przygotowanymi atrapami, które potrafią zmylić choćby doświadczonych użytkowników internetu.”
Statystyki są alarmujące. Według danych gromadzonych przez CERT Polska, liczba zgłaszanych ataków phishingowych wzrosła o ponad 300% w porównaniu z analogicznym okresem ubiegłego roku. Szczególnie niepokojący jest fakt, iż skuteczność tych ataków również rośnie – coraz więcej osób pada ofiarą cyberprzestępców, tracąc pieniądze i cenne dane osobowe.
Co zrobić, gdy otrzymamy podejrzany mail z wezwaniem do zapłaty? Eksperci zalecają zachowanie zimnej krwi i przestrzeganie kilku podstawowych zasad bezpieczeństwa. Przede wszystkim, nigdy nie należy otwierać załączników ani klikać w linki zawarte w podejrzanych wiadomościach. jeżeli mamy wątpliwości co do autentyczności faktury, najlepiej skontaktować się bezpośrednio z rzekomym nadawcą, korzystając z oficjalnych kanałów komunikacji – na przykład poprzez infolinię dostępną na oficjalnej stronie internetowej.
„Żadna poważna firma nie będzie wysyłać lakonicznych wezwań do zapłaty bez dokładnych danych transakcji, numeru zamówienia czy szczegółów usługi,” podkreśla Tomasz Wiśniewski, ekspert prawa konsumenckiego. „Jeśli otrzymujesz faktury bez tych kluczowych informacji, powinna zapalić ci się czerwona lampka.”
Warto również zwrócić uwagę na adres mailowy nadawcy. Chociaż oszuści potrafią spreparować adresy łudząco podobne do oficjalnych, zwykle występują w nich drobne różnice – dodatkowe cyfry, znaki czy niestandardowe rozszerzenia domeny. Sprawdzenie pełnego adresu nadawcy może być pierwszą linią obrony przed oszustwem.
CERT Polska zachęca do zgłaszania wszystkich podejrzanych wiadomości za pośrednictwem formularza dostępnego pod adresem incydent.cert.pl. Dzięki takim zgłoszeniom eksperci mogą szybciej reagować, blokując złośliwe domeny i ostrzegając innych użytkowników przed pojawiającymi się zagrożeniami.
Przypadek fałszywych faktur z booking.com to tylko jeden z wielu wariantów ataków phishingowych, z którymi muszą w tej chwili mierzyć się polscy internauci. W ostatnich miesiącach zaobserwowano podobne kampanie podszywające się pod znane firmy kurierskie, dostawców energii elektrycznej, sieci komórkowe, a choćby instytucje państwowe takie jak ZUS czy urzędy skarbowe.
„Cyberprzestępcy zawsze szukają najsłabszego ogniwa w łańcuchu bezpieczeństwa, a tym ogniwem często jest ludzka psychika,” wyjaśnia dr Joanna Kaczmarek, psycholog specjalizująca się w manipulacji społecznej. „Strach przed konsekwencjami niezapłacenia rachunku, pośpiech, a także zwykła ciekawość to emocje, które oszuści wykorzystują, aby skłonić nas do nierozsądnych działań.”
Aby skutecznie chronić się przed podobnymi atakami, warto stosować wielopoziomowe zabezpieczenia. Oprócz zachowania ostrożności przy otwieraniu załączników, najważniejsze jest korzystanie z aktualnego systemu antywirusowego, regularne aktualizowanie systemu operacyjnego i aplikacji, a także stosowanie silnych, unikalnych haseł do każdego serwisu internetowego. Coraz więcej ekspertów zaleca również korzystanie z uwierzytelniania dwuskładnikowego, które znacząco utrudnia nieautoryzowany dostęp do kont choćby w przypadku przechwycenia hasła.
Szczególnie istotna jest edukacja w zakresie cyberbezpieczeństwa, zwłaszcza wśród osób starszych, które często są głównym celem oszustów. Wiele banków i instytucji publicznych prowadzi kampanie informacyjne mające na celu zwiększenie świadomości zagrożeń czyhających w sieci. Warto śledzić te materiały i dzielić się wiedzą z bliskimi, którzy mogą być mniej obeznani z cyfrowymi zagrożeniami.
„Najlepszą obroną przed phishingiem jest zdrowy sceptycyzm,” podsumowuje Paweł Kowalczyk, specjalista ds. bezpieczeństwa IT. „Zawsze należy zadać sobie pytanie: czy spodziewam się takiej wiadomości? Czy nadawca na pewno jest tym, za kogo się podaje? Czy treść maila budzi moje wątpliwości? Te proste pytania mogą uchronić przed poważnymi konsekwencjami.”
W przypadku podejrzenia, iż padliśmy ofiarą cyberprzestępstwa, należy natychmiast zmienić hasła do wszystkich ważnych kont, skontaktować się ze swoim bankiem w celu zabezpieczenia środków oraz zgłosić incydent odpowiednim służbom. W Polsce można to zrobić poprzez wspomniany już formularz CERT Polska lub kontaktując się z najbliższą jednostką policji.
Pamiętajmy, iż w cyfrowym świecie, podobnie jak w realnym, zasada ograniczonego zaufania może uchronić nas przed wieloma niebezpieczeństwami. W przypadku fałszywych faktur z booking.com i podobnych oszustw, jedno pochopne kliknięcie może kosztować nie tylko 2249,99 zł, ale całe oszczędności i spokój ducha. Warto więc podchodzić do każdej niespodziewanej wiadomości z należytą ostrożnością i zawsze weryfikować jej autentyczność przed podjęciem jakichkolwiek działań.