Odsyłasz nietrafiony prezent? Uważaj na jednego SMS-a. Możesz stracić oszczędności życia. Nowa fala oszustw

Święta, Święta i po Świętach. Kurz po bożonarodzeniowej gorączce opada, choinka zaczyna gubić igły, a w kącie pokoju piętrzy się stos pudełek. Nietrafione prezenty. Za małe buty, brzydki sweter, trzeci taki sam blender. Styczeń to w e-commerce czas wielkich zwrotów. Pakujesz paczki, drukujesz etykiety i czekasz na zwrot gotówki na konto. Jesteś zadowolony, iż udało ci się wszystko ogarnąć w terminie 14 dni. Nagle twój telefon wibruje. Przychodzi SMS. Nadawca: „Kurier” lub „Paczka”. Treść brzmi niewinnie: „Twój zwrot nr 48291 wymaga dopłaty 1,49 PLN z powodu nadwagi paczki. Brak wpłaty spowoduje anulowanie zwrotu środków. Link do płatności: […]”. Myślisz: „Cholera, pewnie źle zważyłem. To tylko złotówka, dopłacę, żeby mieć spokój”. Klikasz w link, logujesz się do swojego banku, zatwierdzasz SMS-em i… właśnie oddałeś złodziejom klucze do swojego skarbca. Zamiast stracić 1,49 zł, następnego dnia budzisz się z wyczyszczonym kontem i debetem na karcie. Witaj w świecie phishingu „na dopłatę”, który w 2026 roku zbiera rekordowe żniwo.

Fot. Warszawa w Pigułce

Mechanizm tego oszustwa jest stary jak świat, ale wciąż przerażająco skuteczny, bo bazuje na dwóch ludzkich cechach: pośpiechu i ignorowaniu małych kwot. Gdyby oszust napisał: „Przelej mi 5000 zł”, wyśmiałbyś go. Ale 1,50 zł? To kwota, którą traktujemy jak błąd statystyczny. Nie włącza nam się lampka ostrzegawcza. Do tego dochodzi kontekst sytuacyjny. W styczniu miliony Polaków faktycznie czekają na jakieś paczki lub zwroty pieniędzy. Przestępcy nie muszą celować precyzyjnie – strzelają „na oślep” do milionów numerów, wiedząc, iż statystycznie co trzeci odbiorca akurat coś nadaje lub odbiera. To wystarczy, by zarobić miliony.

Nadpis nadawcy – dlaczego wierzymy oszustom?

Najbardziej podstępnym elementem tego ataku jest tzw. SMS Spoofing. Wielu ofiarom wydaje się, iż SMS jest prawdziwy, bo… „przydał w tym samym wątku, co prawdziwe SMS-y od InPostu czy DPD”. Jak to możliwe? Telefony komórkowe grupują wiadomości po nazwie nadawcy (polu tekstowym „Sender ID”). Oszuści korzystają z bramek internetowych, które pozwalają wpisać w to pole dowolną nazwę. jeżeli wpiszą „InPost”, a ty masz już w telefonie historię wiadomości od prawdziwego InPostu (np. z kodami odbioru), to fałszywy SMS „doklei się” do tej konwersacji. Widzisz historię: – Paczka odebrana.

Paczka w doręczeniu.

Twój kod odbioru: 123456.

[FAŁSZYWY] Dopłać 1.50 PLN do zwrotu. Mózg automatycznie uznaje ostatnią wiadomość za wiarygodną, bo jest w „zaufanym” otoczeniu. To techniczna pułapka, w którą wpadają choćby specjaliści IT, jeżeli działają w roztargnieniu.

Strona-bliźniak, czyli gdzie trafiasz po kliknięciu

Link w SMS-ie (często skrócony, np. bit.ly lub dziwne domeny typu „https://www.google.com/search?q=paczka-doplata24.com”) prowadzi do fałszywej bramki płatności. Strona wygląda identycznie jak popularne systemy: PayU, Dotpay, Przelewy24 czy BLIK. Ma logo, kłódkę (którą każdy może sobie wyrobić za darmo), szatę graficzną twojego banku. Wybierasz swój bank, np. mBank czy PKO BP. Pojawia się panel logowania. Wpisujesz login i hasło. W tym momencie skrypt po drugiej stronie przekazuje te dane na żywo złodziejowi. Ale to nie koniec. Bank prosi o kod SMS lub potwierdzenie w aplikacji mobilnej. Fałszywa strona też wyświetla prośbę o kod. Wpisujesz go. Myślisz, iż zatwierdzasz przelew na 1,49 zł. W rzeczywistości złodziej w tym czasie loguje się na twoje prawdziwe konto i zleca np. dodanie „zaufanego urządzenia” lub przelew wszystkich środków na tzw. słupa. Kod, który wpisałeś, nie autoryzował płatności na 1,50 zł. Autoryzował to, co złodziej robił w tle. Często w treści prawdziwego SMS-a z banku jest napisane: „Dodanie urządzenia zaufanego” albo „Zmiana limitów”, ale ludzie w pośpiechu czytają tylko kod cyfrowy.

Wariant drugi: „Kupiłem twój zwrot” (OLX/Vinted)

Po świętach kwitnie też handel na portalach ogłoszeniowych. Sprzedajemy nietrafione prezenty na Vinted czy OLX. Tu oszustwo wygląda nieco inaczej, ale skutek jest ten sam. Wystawiasz przedmiot. Po 5 minutach dostajesz wiadomość na WhatsAppie (poza portalem!): „Cześć, kupiłem twój przedmiot. Już zapłaciłem, pieniądze czekają. Kliknij tutaj, żeby odebrać środki na kartę”. Link prowadzi do fałszywej strony, gdzie masz podać numer karty, datę ważności i kod CVV (rzekomo po to, by wpłynęły tam pieniądze). Pamiętaj: Aby OTRZYMAĆ pieniądze, nigdy nie musisz podawać kodu CVV ani logować się do banku! Wystarczy podać numer konta (IBAN). jeżeli ktoś żąda logowania, byś mógł „odebrać” pieniądze – to na 100% oszustwo.

Bank umywa ręce? Problem „rażącego niedbalstwa”

Największy dramat zaczyna się po kradzieży. Zgłaszasz sprawę do banku (reklamacja nieautoryzowanej transakcji) i na Policję. Bank ma obowiązek zwrócić środki w ciągu 1 dnia roboczego (art. 46 Ustawy o usługach płatniczych), CHYBA ŻE… udowodni klientowi rażące niedbalstwo lub umyślność. Banki masowo odmawiają zwrotów, argumentując: „Klient sam podał login, hasło i kod SMS na fałszywej stronie. Zlekceważył ostrzeżenia w treści SMS-a autoryzacyjnego. To jest rażące niedbalstwo”. Odzyskanie pieniędzy staje się batalią sądową, która trwa lata. Sądy coraz częściej stają po stronie konsumentów (uznając, iż systemy bankowe powinny wyłapywać anomalie, np. logowanie z Nigerii chwilę po logowaniu z Polski), ale do czasu wyroku jesteś bez środków do życia.

Kredyt na klik – złodziej bierze wszystko

Wyczyszczenie konta z oszczędności to „wariant optymistyczny”. Większość banków oferuje „szybki kredyt” w aplikacji. Złodziej, mając dostęp do twojego konta, w kilka minut zaciąga maksymalny możliwy kredyt (np. 50 000 zł), a następnie wyprowadza te pieniądze przelewami natychmiastowymi lub kodami BLIK w bankomatach (wypłaty BLIK są trudne do namierzenia). Zostajesz nie tylko z zerem na koncie, ale z gigantycznym długiem, który bank każe ci spłacać. Udowodnienie, iż to nie ty wziąłeś kredyt, jest trudne, bo został on zatwierdzony twoimi narzędziami autoryzacyjnymi.

Certyfikat SSL (kłódka) to żaden gwarant

Przez lata uczono nas: „Sprawdzaj, czy jest zielona kłódka przy adresie strony”. W 2026 roku ta rada jest szkodliwa. Darmowe certyfikaty SSL może wyrobić każdy w 5 minut. Strony oszustów MAJĄ kłódkę. Przeglądarka oznacza je jako „połączenie bezpieczne” (co oznacza tylko tyle, iż nikt nie podsłucha transmisji danych między tobą a oszustem – ale dane i tak trafiają do oszusta). Jedynym wyznacznikiem bezpieczeństwa jest dokładny adres domeny. Nie „https://www.google.com/search?q=mbank-logowanie.com”, ale „mbank.pl”. Nie „inpost-doplata.eu”, ale „inpost.pl”.

Co to oznacza dla ciebie? HCU: Zasada ograniczonego zaufania

Wygoda nas gubi. Chcemy załatwić wszystko jednym kliknięciem. W przypadku finansów, jedno kliknięcie za dużo może kosztować nas dorobek życia. Co robić?

W pośpiechu poświątecznych porządków łatwo stracić czujność. Pamiętaj: prawdziwy kurier przyniesie ci paczkę lub zwrot. Fałszywy kurier przyniesie ci tylko puste konto. Weryfikuj, zanim klikniesz – to nic nie kosztuje, a może uratować wszystko.