Fałszywe SMS-y od InPost, DPD i Poczty Polskiej: Jak rozpoznać oszustwo i co robić, by chronić swoje pieniądze i dane

Spis treści

• Czym jest smishing i dlaczego firmy kurierskie są celem oszustów?
• Jak rozpoznać fałszywy SMS od InPost, DPD czy Poczty Polskiej? Kluczowe sygnały ostrzegawcze
• Mechanizmy oszustwa: Od fałszywej strony do utraty pieniędzy
• Złośliwe aplikacje i trojany bankowe: Ukryte zagrożenie w fałszywych SMS-ach
• Oficjalne komunikaty firm kurierskich: Co naprawdę wysyła InPost, DPD i Poczta Polska?
• Co robić, gdy otrzymasz fałszywy SMS? Instrukcja krok po kroku
• Jak chronić swoje dane i pieniądze? Profilaktyka i dobre praktyki
• Co zrobić, jeśli padłeś ofiarą oszustwa? Natychmiastowe działania
• FAQ: Najczęściej zadawane pytania dotyczące fałszywych SMS-ów

Czym jest smishing i dlaczego firmy kurierskie są celem oszustów?

Smishing to termin, który powstał z połączenia dwóch angielskich słów: „SMS” oraz „phishing”. Phishing to metoda oszustwa polegająca na podszywaniu się pod zaufaną osobę lub instytucję w celu wyłudzenia poufnych informacji, takich jak dane logowania, numery kart kredytowych czy dane osobowe. Smishing jest więc po prostu odmianą phishingu, w której narzędziem ataku jest wiadomość tekstowa SMS. Cyberprzestępcy wysyłają fałszywe SMS-y, licząc na to, że odbiorca, działając w pośpiechu lub pod wpływem emocji, kliknie w zawarty w nich link i wykona polecenia na spreparowanej stronie internetowej. Celem jest najczęściej kradzież pieniędzy z konta bankowego, przejęcie dostępu do kont w mediach społecznościowych lub instalacja złośliwego oprogramowania na telefonie ofiary.

Firmy kurierskie, takie jak InPost, DPD czy Poczta Polska, stały się ulubionym celem oszustów z kilku kluczowych powodów. Po pierwsze, ich usługi są niezwykle popularne – w dobie e-commerce niemal każdy z nas regularnie zamawia coś przez internet i czeka na przesyłkę. To sprawia, że wiadomość o paczce jest dla nas czymś naturalnym i oczekiwanym, co usypia czujność. Po drugie, oszuści mistrzowsko wykorzystują psychologię. Bazują na emocjach związanych z oczekiwaniem na zamówiony towar – niecierpliwości, ekscytacji, a czasem obawie o problemy z dostawą. Wiadomość, która sugeruje konieczność podjęcia natychmiastowego działania (np. dopłaty niewielkiej kwoty, by przesyłka nie została zwrócona), wywołuje poczucie pilności i skłania do impulsywnych reakcji, bez dokładnej weryfikacji nadawcy.

Ataki te nie są pojedynczymi incydentami, lecz starannie zaplanowanymi, zmasowanymi kampaniami smishingowymi . Przestępcy potrafią w krótkim czasie wysłać setki tysięcy, a nawet miliony SMS-ów, licząc na to, że nawet niewielki odsetek odbiorców da się nabrać. Szczególnie często wykorzystywany jest wizerunek firmy InPost, która ze względu na ogromną popularność Paczkomatów jest marką o wysokim zaufaniu społecznym ¹. Oszuści tworzą wiadomości i strony internetowe łudząco podobne do oficjalnej komunikacji firmy, co dodatkowo utrudnia odróżnienie prawdy od fałszu.

Skuteczność tych oszustw opiera się na prostym mechanizmie manipulacji. Wiadomość często informuje o rzekomym problemie, który można łatwo rozwiązać. Typowe preteksty to:

• Konieczność niewielkiej dopłaty: „Twoja paczka została wstrzymana z powodu niedopłaty 1,49 PLN. Prosimy o uregulowanie należności pod linkiem…” Kwota jest na tyle mała, że nie budzi podejrzeń i wydaje się nieznacznym kosztem w porównaniu z ryzykiem utraty całej przesyłki.
• Aktualizacja adresu dostawy: „Adres na Twojej paczce jest niekompletny. Zaktualizuj go, aby uniknąć zwrotu do nadawcy…” Taki komunikat gra na obawie przed komplikacjami i opóźnieniem w dostawie.
• Przekierowanie paczki: „Nieudana próba doręczenia. Kliknij tutaj, aby wybrać nowy termin lub przekierować paczkę do punktu odbioru.” To częsty scenariusz, który sprawia, że wiadomość wygląda wiarygodnie.

Wszystkie te scenariusze mają jeden cel: skłonić ofiarę do kliknięcia w link prowadzący do fałszywej strony. Skala tego zjawiska ma również szersze konsekwencje – podważa zaufanie do całej branży kurierskiej. Klienci stają się podejrzliwi nawet wobec autentycznych wiadomości od przewoźników, co może utrudniać faktyczną komunikację i proces dostawy.

Jak rozpoznać fałszywy SMS od InPost, DPD czy Poczty Polskiej? Kluczowe sygnały ostrzegawcze

Oszuści działają według powtarzalnych schematów, dlatego nauczenie się rozpoznawania kluczowych sygnałów ostrzegawczych jest najskuteczniejszą formą obrony. Fałszywe wiadomości SMS, choć na pierwszy rzut oka mogą wyglądać wiarygodnie, niemal zawsze zawierają charakterystyczne elementy, które powinny zapalić w naszej głowie czerwoną lampkę. Analizując treść, nadawcę i zawarte w SMS-ie linki, możemy z dużą pewnością zidentyfikować próbę oszustwa, zanim wyrządzi ona jakąkolwiek szkodę.

Najczęstszym wabikiem stosowanym przez cyberprzestępców jest informacja o konieczności niewielkiej dopłaty do przesyłki. Kwota jest celowo niska, np. 2,99 zł, aby nie wzbudzać podejrzeń i skłonić do szybkiego działania bez zastanowienia ². Scenariusz jest prosty: rzekomo paczka została wstrzymana z powodu niedopłaty, błędnego adresu lub przekroczenia gabarytów. Inne popularne warianty to prośby o potwierdzenie danych osobowych w celu sfinalizowania dostawy ³ lub konieczność zaktualizowania adresu odbioru ⁴. Wszystkie te preteksty mają jeden cel: skłonić Cię do kliknięcia w załączony link. Prawdziwe firmy kurierskie nigdy nie proszą o dopłaty za pomocą wiadomości SMS z linkiem do natychmiastowej płatności. Wszelkie ewentualne opłaty (np. za pobraniem) reguluje się bezpośrednio u kuriera lub w oficjalnej aplikacji mobilnej.

Kluczowym i najbardziej niebezpiecznym elementem fałszywego SMS-a jest link. Zawsze prowadzi on do strony internetowej kontrolowanej przez oszustów, która jedynie udaje oficjalny serwis firmy kurierskiej ⁵. Zanim klikniesz, przyjrzyj się uważnie adresowi. Zamiast oficjalnej domeny, takiej jak inpost.pl czy dpd.com.pl, zobaczysz adresy z literówkami, dodatkowymi słowami lub inną końcówką, np. inpost-pl.net, sledzenie-dpd.com czy poczta-polska.info. Oszuści często używają też serwisów skracających linki (np. bit.ly, tinyurl.com), aby ukryć prawdziwy adres docelowy. Pamiętaj, że kliknięcie takiego linku przenosi Cię na fałszywą bramkę płatności lub stronę wyłudzającą dane logowania do bankowości.

Zwróć uwagę na nadawcę i ogólny ton wiadomości. Oszuści potrafią podszyć się pod oficjalną nazwę firmy, wykorzystując technikę zwaną SMS spoofingiem. Polega ona na manipulacji polem nadawcy, dzięki czemu na Twoim telefonie wiadomość może wyświetlić się z nazwą „InPost”, „DPD”, a nawet zostać dołączona do prawdziwego wątku konwersacji z daną firmą ⁶. Nie jest to jednak żaden dowód autentyczności. Równie często SMS-y przychodzą z losowych, prywatnych numerów telefonów, co jest natychmiastowym sygnałem alarmowym. Dodatkowo, wiadomości od oszustów niemal zawsze próbują wywołać presję czasu i poczucie zagrożenia – „Twoja paczka zostanie odesłana w ciągu 24 godzin”, „Działaj natychmiast, aby uniknąć zwrotu”. Często zawierają też błędy językowe, stylistyczne lub brak polskich znaków (np. „paczka” zamiast „paczka”), co rzadko zdarza się w oficjalnej komunikacji.

Aby ułatwić identyfikację zagrożenia, przygotowaliśmy tabelę z najczęstszymi sygnałami ostrzegawczymi.

Sygnał Ostrzegawczy	Jak to wygląda w praktyce (przykłady treści)
Prośba o dopłatę	„Twoja paczka zostala wstrzymana z powodu niedoplaty 1.49 PLN. Oplac teraz: [link]”
Podejrzany link	Adres URL to np. inpost-24.info, mojapaczka-dpd.net lub skrócony link typu bit.ly/xxxxxx.
Presja czasu i straszenie	„Masz 24h na uregulowanie naleznosci, inaczej paczka wroci do nadawcy.”
Błędy językowe	Brak polskich znaków, literówki, nielogiczna składnia: „Prosimy o zaktualizowanie adresu dostawy twojej paczke.”
Nietypowy nadawca	Wiadomość przychodzi z losowego numeru telefonu lub nadawca to np. „InfoSMS”, „Paczka”.

Mechanizmy oszustwa: Od fałszywej strony do utraty pieniędzy

Kliknięcie w link zawarty w fałszywym SMS-ie to moment, w którym oszuści rozpoczynają właściwy atak. Ofiara jest natychmiast przenoszona na stronę internetową, która została starannie przygotowana, aby wizualnie naśladować oficjalny serwis InPost, DPD czy Poczty Polskiej ⁵. Przestępcy dbają o detale: wykorzystują te same logotypy, kolory i układ graficzny, co sprawia, że witryna na pierwszy rzut oka wygląda wiarygodnie i profesjonalnie ⁷. Adres URL w przeglądarce jest jedyną, często subtelną różnicą – może zawierać literówkę, dodatkowy wyraz lub być osadzony na nietypowej domenie (np. .xyz zamiast .pl). Na takiej stronie ofiara znajduje komunikat zgodny z treścią SMS-a, na przykład informację o konieczności potwierdzenia adresu dostawy ⁴ lub, co znacznie częstsze, o potrzebie uregulowania niewielkiej należności.

Najpopularniejszym scenariuszem wykorzystywanym przez cyberprzestępców jest pułapka „na dopłatę”. Na fałszywej stronie pojawia się informacja o rzekomo wstrzymanej paczce i konieczności dopłacenia symbolicznej kwoty, aby wznowić proces dostawy – na przykład 1,49 zł lub 2,99 zł ². Kwota ta jest celowo bardzo niska, aby nie wzbudzać podejrzeń i uśpić czujność ofiary. Wiele osób, nie chcąc problemów z wyczekiwaną przesyłką, uznaje to za niewielką, wiarygodną opłatę manipulacyjną i bez wahania klika przycisk „Dopłać” lub „Przejdź do płatności”. To właśnie w tym momencie oszuści przechodzą do kluczowego etapu, którego celem nie jest kradzież kilku złotych, a przejęcie dostępu do znacznie większych środków.

Po kliknięciu przycisku płatności ofiara trafia na fałszywą bramkę płatniczą. Strona ta imituje popularne serwisy, jak PayU czy Przelewy24, lub wyświetla listę banków do wyboru. Tutaj atak może przebiegać według dwóch głównych scenariuszy:

1. Wyłudzenie danych karty płatniczej: Formularz prosi o podanie pełnego numeru karty, daty jej ważności oraz trzycyfrowego kodu CVC/CVV. Po ich wprowadzeniu przestępcy natychmiast uzyskują komplet danych, który pozwala im na dokonywanie zakupów w internecie lub dodanie karty do swoich cyfrowych portfeli (np. Google Pay, Apple Pay) i płacenie nią w sklepach stacjonarnych.
2. Wyłudzenie danych logowania do bankowości: Po wybraniu swojego banku ofiara widzi stronę, która jest niemal idealną kopią panelu logowania jej banku. Wpisuje tam swój identyfikator (login) oraz hasło. Dane te są w czasie rzeczywistym przechwytywane przez oszustów.

Samo pozyskanie danych logowania do banku to często za mało, by ukraść pieniądze, ponieważ transakcje wymagają dodatkowej autoryzacji. Dlatego oszuści posuwają się o krok dalej. Po wpisaniu loginu i hasła na fałszywej stronie banku, ofiara widzi komunikat o przetwarzaniu płatności, a następnie prośbę o podanie kodu autoryzacyjnego z SMS-a lub o potwierdzenie operacji w aplikacji mobilnej. W tym samym czasie przestępcy, używając skradzionych danych, logują się na prawdziwe konto ofiary i zlecają przelew na wysoką kwotę na własny rachunek. Ofiara, przekonana, że autoryzuje symboliczną dopłatę za przesyłkę, w rzeczywistości zatwierdza kradzież wszystkich lub części swoich oszczędności.

Poniższa tabela przedstawia uproszczony schemat ataku krok po kroku:

Krok	Działanie ofiary	Działanie przestępcy	Cel przestępcy
1	Otrzymuje SMS i klika w link.	Wysyła masowo SMS-y, podszywając się pod firmę kurierską 8.	Zwabienie ofiary na fałszywą stronę.
2	Na fałszywej stronie wybiera opcję dopłaty.	Przygotowuje wiarygodnie wyglądającą stronę z pułapką.	Wzbudzenie zaufania i skłonienie do działania.
3	Wpisuje dane karty lub dane logowania do banku.	Przechwytuje wpisywane dane w czasie rzeczywistym.	Kradzież danych uwierzytelniających.
4	Podaje kod z SMS lub potwierdza operację w aplikacji.	Loguje się na konto ofiary i zleca przelew na wysoką kwotę.	Wyłudzenie autoryzacji dla kradzieży środków.

Złośliwe aplikacje i trojany bankowe: Ukryte zagrożenie w fałszywych SMS-ach

Oszustwo SMS-owe nie zawsze kończy się na fałszywej stronie internetowej. Bardziej zaawansowane i znacznie groźniejsze ataki mają na celu zainstalowanie na Twoim telefonie złośliwego oprogramowania. Taki scenariusz często zaczyna się od wiadomości, która zamiast prosić o dopłatę, nakłania do podjęcia działania związanego z aplikacją mobilną. Może to być komunikat o konieczności pilnej aktualizacji aplikacji kurierskiej do nowszej wersji w celu odbioru paczki lub prośba o instalację zupełnie nowego programu do śledzenia przesyłki ⁹. Cel jest jeden: skłonić Cię do ominięcia oficjalnych sklepów z aplikacjami (Google Play i Apple App Store) i zainstalowania programu bezpośrednio z linku podanego przez oszustów. Jest to niezwykle niebezpieczne, ponieważ w ten sposób instalujesz na swoim urządzeniu oprogramowanie, które nie przeszło żadnej weryfikacji bezpieczeństwa.

Gdy zdecydujesz się kliknąć link i pobrać rzekomą aplikację, w rzeczywistości instalujesz na swoim smartfonie trojana bankowego. Jest to rodzaj złośliwego oprogramowania, które działa jak cyfrowy szpieg, ukrywając swoją obecność i czekając na odpowiedni moment do ataku. Pierwszym sygnałem alarmowym powinna być prośba o przyznanie aplikacji nadmiernych uprawnień. O ile legalna aplikacja InPost Mobile może prosić o dostęp do aparatu (by skanować kody QR) czy lokalizacji (by nawigować do Paczkomatu), o tyle fałszywa aplikacja zażąda dostępu do znacznie wrażliwszych funkcji .

Poniższa tabela pokazuje, jakie uprawnienia powinny wzbudzić Twoją natychmiastową czujność:

Uprawnienie (Permission)	Legitymowana aplikacja kurierska	Złośliwa aplikacja (Trojan)
Dostęp do aparatu i lokalizacji	Tak, do podstawowych funkcji (skanowanie, nawigacja)	Tak, ale może być użyty do szpiegowania
Dostęp do odczytu i wysyłania SMS	Nigdy	Tak, kluczowe do przechwytywania kodów z banku i BLIK
Funkcje ułatwień dostępu (Accessibility)	Nigdy	Tak, pozwala na przejęcie pełnej kontroli nad ekranem i rejestrowanie dotknięć
Wyświetlanie nad innymi aplikacjami	Rzadko	Tak, niezbędne do wyświetlania fałszywych ekranów logowania
Dostęp do listy kontaktów	Nigdy	Tak, do kradzieży danych i rozsyłania oszustwa dalej

Po uzyskaniu niebezpiecznych uprawnień trojan bankowy rozpoczyna swoje działanie. Najczęściej stosuje jedną z dwóch metod. Pierwsza to tzw. atak nakładki (overlay attack): gdy uruchamiasz prawdziwą aplikację swojego banku, trojan w czasie rzeczywistym wykrywa ten fakt i wyświetla na ekranie identycznie wyglądające, fałszywe okno logowania . Wpisując w nim swój login i hasło, w rzeczywistości przekazujesz je prosto w ręce przestępców ¹⁰. Druga metoda polega na przechwytywaniu wiadomości SMS. Dzięki uzyskanemu wcześniej dostępowi, złośliwa aplikacja potrafi odczytywać wszystkie przychodzące SMS-y, w tym jednorazowe kody autoryzacyjne z banku czy kody BLIK, a następnie ukrywać powiadomienia o nich. W ten sposób oszuści mogą nie tylko zalogować się na Twoje konto, ale również autoryzować przelewy i inne operacje bez Twojej wiedzy.

Oficjalne komunikaty firm kurierskich: Co naprawdę wysyła InPost, DPD i Poczta Polska?

Aby skutecznie bronić się przed oszustami, kluczowe jest zrozumienie, jak wyglądają i czego dotyczą prawdziwe wiadomości od przewoźników. Firmy kurierskie mają ściśle określone zasady komunikacji z klientami, które diametralnie różnią się od metod stosowanych przez cyberprzestępców. Najważniejsza zasada, którą warto zapamiętać, jest prosta: żaden z głównych operatorów logistycznych w Polsce – ani InPost, ani DPD, ani Poczta Polska – nigdy nie poprosi Cię o dokonanie dopłaty do przesyłki za pośrednictwem linku w wiadomości SMS. Prośby o uregulowanie niewielkich kwot rzędu złotówki czy dwóch w celu „odblokowania” paczki to absolutny standard oszustwa, a nie oficjalna procedura.

Złote zasady komunikacji z przewoźnikiem

Prawdziwe komunikaty od firm kurierskich mają charakter czysto informacyjny. Ich celem jest powiadomienie Cię o kluczowych etapach podróży Twojej paczki. Nigdy nie zawierają wezwania do natychmiastowej płatności pod groźbą niedostarczenia przesyłki.

Czego NIGDY nie znajdziesz w oficjalnym SMS-ie:

• Prośby o dopłatę: Firmy kurierskie nigdy nie proszą o dopłaty za przesyłki poprzez wiadomości SMS ¹¹. Wszelkie opłaty (np. za przesyłkę pobraniową) reguluje się w momencie odbioru paczki u kuriera (kartą lub gotówką) lub w aplikacji przy nadawaniu, a nie przez link do płatności.
• Linków do stron płatności: Oficjalne SMS-y nie zawierają linków przekierowujących do bramek płatniczych w celu uiszczenia jakiejkolwiek, nawet najmniejszej kwoty.
• Załączników: Wiadomości SMS technicznie nie obsługują załączników, ale oszuści mogą próbować wysyłać linki do rzekomych dokumentów. Firmy kurierskie nigdy nie wysyłają w ten sposób faktur, potwierdzeń czy innych plików ¹¹.
• Groźby lub presji czasu: Komunikaty w stylu „Twoja paczka zostanie zwrócona, jeśli nie dopłacisz 1,50 zł w ciągu 2 godzin” to typowa socjotechnika stosowana przez oszustów.

Jak bezpiecznie sprawdzić status przesyłki?

Najbezpieczniejszą metodą weryfikacji statusu paczki jest całkowite zignorowanie linków otrzymanych w wiadomościach i samodzielne sprawdzenie informacji w oficjalnych źródłach. To prosta procedura, która daje 100% pewności, że nie trafisz na fałszywą stronę.

Instrukcja krok po kroku:

1. Otrzymałeś SMS lub e-mail z numerem przesyłki. Skopiuj sam numer, ignorując resztę treści i linki.
2. Otwórz oficjalną aplikację mobilną firmy (np. InPost Mobile, DPD Mobile) lub wejdź na jej oficjalną stronę internetową, wpisując adres ręcznie w przeglądarce (np. inpost.pl, dpd.com.pl, poczta-polska.pl).
3. Na stronie głównej lub w aplikacji znajdź opcję „Śledzenie przesyłki” (lub „Znajdź paczkę”, „Monitoring przesyłek”).
4. Wklej lub wpisz ręcznie skopiowany numer przesyłki w odpowiednie pole.
5. Zatwierdź i sprawdź oficjalny status. Tylko informacje wyświetlone w ten sposób są w pełni wiarygodne .

Porównanie prawdziwych i fałszywych komunikatów

Aby jeszcze lepiej zobrazować różnice, spójrz na poniższą tabelę. Pokazuje ona typowe cechy autentycznych wiadomości w porównaniu z tymi spreparowanymi przez oszustów.

Cecha	Prawdziwy SMS (np. od InPost)	Fałszywy SMS (Oszustwo)
Cel wiadomości	Informacja o statusie (np. nadana, w drodze, czeka w Paczkomacie), podanie kodu odbioru.	Nakłonienie do pilnego działania (kliknij, dopłać, zaktualizuj dane).
Link	Może zawierać link do śledzenia na oficjalnej domenie (inpost.pl) lub nie zawierać go wcale.	Zawsze zawiera link, często skrócony (np. bit.ly) lub do podejrzanej domeny (inpost-pl.xyz).
Treść	Konkretna, zawiera pełny numer przesyłki, kod odbioru. Zazwyczaj brak błędów językowych.	Ogólnikowa („Twoja paczka…”), często z błędami, straszy wstrzymaniem paczki lub naliczeniem opłat.
Żądanie dopłaty	Nigdy.	Prawie zawsze. Zwykle jest to niewielka, pozornie niegroźna kwota (np. 1,50 zł).

Warto również wiedzieć, że w odpowiedzi na masowe kampanie phishingowe, firmy podejmują dodatkowe kroki. Przykładowo, w przeszłości InPost czasowo wstrzymywał wysyłanie własnych powiadomień SMS o statusie przesyłki, aby nie myliły się one użytkownikom z zalewem fałszywych wiadomości . To pokazuje skalę problemu i utwierdza w przekonaniu, że proaktywne sprawdzanie statusu w aplikacji lub na stronie jest najbezpieczniejszym nawykiem.

Co robić, gdy otrzymasz fałszywy SMS? Instrukcja krok po kroku

Otrzymanie podejrzanej wiadomości może wywołać niepokój, ale najważniejsza jest spokojna i przemyślana reakcja. Oszuści liczą na Twój pośpiech i chwilę nieuwagi. Pod żadnym pozorem nie działaj pod presją czasu, którą próbują na Tobie wymusić. Zamiast tego postępuj według sprawdzonych, bezpiecznych zasad. Pierwsza i absolutnie fundamentalna zasada brzmi: jeśli masz jakiekolwiek wątpliwości co do autentyczności SMS-a, potraktuj go jako oszustwo. Poniżej znajdziesz konkretne kroki, które należy podjąć w takiej sytuacji.

Przede wszystkim skup się na tym, czego nie robić. Twoje zaniechanie działania jest w tym przypadku najlepszą formą obrony. Pamiętaj o czterech kluczowych zakazach:

• Nie klikaj w żadne linki. To najważniejsza zasada. Link jest bramą do fałszywej strony lub mechanizmu instalującego złośliwe oprogramowanie. Nawet jeśli link wygląda znajomo, nie ryzykuj.
• Nie odpowiadaj na wiadomość. Odpowiedź, nawet z wyzwiskami, jest dla oszusta sygnałem, że Twój numer telefonu jest aktywny i używany. Może to skutkować otrzymywaniem jeszcze większej liczby fałszywych wiadomości w przyszłości.
• Nie dzwoń pod numery podane w SMS-ie. Mogą to być numery premium, które narażą Cię na wysokie koszty, lub kolejne ogniwo oszustwa, gdzie rozmówca będzie próbował wyłudzić od Ciebie dane.
• Nie podawaj żadnych danych osobowych ani finansowych. Prawdziwe firmy kurierskie nigdy nie proszą o pełne dane logowania do banku, numer PESEL czy dane karty płatniczej przez SMS.

Twoim najważniejszym i najskuteczniejszym działaniem jest zgłoszenie próby oszustwa do odpowiednich służb. W Polsce główną jednostką odpowiedzialną za reagowanie na incydenty w sieci jest CERT Polska (zespół działający w strukturach NASK). Zgłoszenie jest proste, bezpłatne i niezwykle wartościowe. Wystarczy, że przekażesz całą, oryginalną treść otrzymanej wiadomości na bezpłatny numer 8080 . Dzięki Twojemu zgłoszeniu analitycy CERT Polska mogą przeanalizować zagrożenie, a następnie zablokować fałszywą stronę lub numer nadawcy, chroniąc w ten sposób tysiące innych, potencjalnych ofiar.

Jak zgłosić SMS na numer 8080? Krok po kroku:

1. Otwórz podejrzaną wiadomość SMS w swoim telefonie.
2. Znajdź i użyj opcji „Przekaż dalej” (lub „Forward”). Nie kopiuj samego tekstu, ponieważ ważne są też metadane wiadomości, które zostaną przekazane razem z nią.
3. W polu odbiorcy wpisz numer 8080.
4. Wyślij wiadomość. Usługa jest bezpłatna dla wszystkich użytkowników polskich sieci komórkowych.

Po zgłoszeniu wiadomości do CERT Polska, czas na porządki w telefonie. Usuń fałszywy SMS ze swojej skrzynki odbiorczej. Pozostawienie go stwarza ryzyko, że w przyszłości przez pomyłkę klikniesz w zawarty w nim link. Następnie zablokuj numer nadawcy. Większość smartfonów oferuje taką funkcję bezpośrednio w opcjach wiadomości lub kontaktu. Choć oszuści ciągle zmieniają numery, z których wysyłają wiadomości, zablokowanie konkretnego numeru uniemożliwi im ponowny kontakt z tego samego źródła.

Co jednak zrobić, jeśli w pośpiechu lub przez pomyłkę kliknąłeś w link, a nawet podałeś jakieś dane na fałszywej stronie? Przede wszystkim – działaj natychmiast, ale bez paniki. Natychmiast rozłącz urządzenie z internetem (wyłącz Wi-Fi i transmisję danych), aby przerwać ewentualną komunikację z serwerem oszustów. Jeśli podałeś dane logowania do banku lub dane karty, niezwłocznie skontaktuj się ze swoim bankiem w celu zablokowania dostępu do konta i karty. Szczegółowe instrukcje, co robić po fakcie, znajdziesz w ostatniej sekcji naszego poradnika.

Jak chronić swoje dane i pieniądze? Profilaktyka i dobre praktyki

Ochrona przed oszustwami to nie tylko umiejętność rozpoznawania fałszywych wiadomości, ale przede wszystkim budowanie trwałych, cyfrowych nawyków bezpieczeństwa. Skuteczna profilaktyka działa jak solidny mur, który powstrzymuje większość ataków, zanim zdążą wyrządzić szkodę. Zamiast reagować na zagrożenie, możesz mu aktywnie zapobiegać, stosując kilka kluczowych zasad w codziennym korzystaniu z telefonu i internetu. Poniższe praktyki to fundament Twojego cyfrowego bezpieczeństwa, który chroni Cię nie tylko przed smishingiem na firmę kurierską, ale przed całym spektrum internetowych zagrożeń.

Wzmacniaj swoje cyfrowe zamki: Hasła i uwierzytelnianie dwuskładnikowe (2FA)

Twoje hasła są pierwszą linią obrony. Podstawową zasadą jest używanie unikalnych i silnych haseł do każdego ważnego serwisu – zwłaszcza do bankowości, poczty e-mail i aplikacji, w których podajesz dane płatnicze. Silne hasło składa się z co najmniej 12 znaków, zawiera małe i wielkie litery, cyfry oraz znaki specjalne. Unikaj prostych słów i sekwencji (np. „qwerty”, „123456”) oraz danych osobowych (imiona, daty urodzenia). Aby nie musieć zapamiętywać dziesiątek skomplikowanych haseł, rozważ użycie menedżera haseł. To bezpieczna aplikacja, która przechowuje wszystkie Twoje hasła w zaszyfrowanym sejfie i pomaga generować nowe, silne kombinacje.

Jednak nawet najlepsze hasło może zostać wykradzione. Dlatego absolutnie kluczowe jest włączenie uwierzytelniania dwuskładnikowego (2FA) wszędzie tam, gdzie jest to możliwe. 2FA to dodatkowa warstwa zabezpieczeń, która wymaga podania drugiego, jednorazowego kodu podczas logowania. Kod ten jest zazwyczaj generowany w aplikacji na Twoim telefonie (np. Google Authenticator) lub przesyłany SMS-em. Dzięki 2FA, nawet jeśli oszust zdobędzie Twoje hasło, nie zaloguje się na Twoje konto, ponieważ nie będzie miał dostępu do Twojego telefonu, czyli drugiego składnika uwierzytelniania.

Pobieraj aplikacje z głową i kontroluj ich uprawnienia

Złośliwe oprogramowanie, które kradnie dane bankowe, często ukrywa się w fałszywych aplikacjach ¹⁰. Podstawowa zasada brzmi: instaluj aplikacje wyłącznie z oficjalnych sklepów – Google Play dla systemu Android i App Store dla systemu iOS. Nigdy nie pobieraj aplikacji z linków otrzymanych w SMS-ach, e-mailach czy z nieznanych stron internetowych. Nawet w oficjalnych sklepach zdarzają się podróbki, dlatego zawsze przed instalacją zweryfikuj kilka elementów :

• Nazwa dewelopera: Sprawdź, czy jest to oficjalna nazwa firmy (np. „InPost Sp. z o.o.”).
• Liczba pobrań i oceny: Popularne, oficjalne aplikacje mają miliony pobrań i tysiące opinii. Nowa aplikacja z małą liczbą instalacji powinna wzbudzić Twoją czujność.
• Uprawnienia aplikacji: To najważniejszy krok. Zanim zainstalujesz aplikację, system zapyta Cię o zgodę na dostęp do różnych funkcji telefonu. Zastanów się, czy żądane uprawnienia są logiczne. Aplikacja kurierska może potrzebować dostępu do lokalizacji (aby pokazać Ci paczkomaty) lub aparatu (do skanowania kodów QR), ale nigdy nie powinna prosić o dostęp do Twoich SMS-ów, listy kontaktów czy możliwość nagrywania dźwięku. Zgoda na dostęp do SMS-ów pozwala złośliwej aplikacji przechwytywać kody autoryzacyjne z banku i jednorazowe hasła .

Weryfikuj adresy i aktualizuj oprogramowanie

Oszuści liczą na Twój pośpiech i brak uwagi. Linki w fałszywych SMS-ach prowadzą do stron, które do złudzenia przypominają prawdziwe serwisy banków czy firm kurierskich ⁷. Zawsze, gdy masz zamiar podać jakiekolwiek dane, dokładnie sprawdź adres strony w pasku przeglądarki.

• Sprawdź protokół: Upewnij się, że adres zaczyna się od https://, a obok niego widnieje ikona zamkniętej kłódki. Oznacza to, że połączenie jest szyfrowane.
• Sprawdź domenę: To kluczowy element. Oszuści często rejestrują adresy, które na pierwszy rzut oka wyglądają poprawnie. Zwracaj uwagę na to, co znajduje się bezpośrednio przed .pl, .com itd.

Prawidłowy adres	Fałszywy adres (przykłady)	Na co zwrócić uwagę
inpost.pl	inpost-doplata.net	Inna końcówka (.net zamiast .pl) i dodatkowe słowo.
moj.dpd.com.pl	moj-dpd-pl.com	Zmieniona kolejność i myślniki. Prawidłowa domena to dpd.com.pl.
ebok.poczta-polska.pl	poczta-polska.info	Inna domena główna (.info zamiast poczta-polska.pl).

Najbezpieczniejszą metodą jest unikanie klikania w linki i samodzielne wpisywanie adresu w przeglądarce lub korzystanie z oficjalnej aplikacji mobilnej do sprawdzenia statusu przesyłki . Równie ważne jest regularne aktualizowanie systemu operacyjnego telefonu oraz wszystkich zainstalowanych aplikacji. Aktualizacje zawierają nie tylko nowe funkcje, ale przede wszystkim poprawki błędów i luk bezpieczeństwa, które mogłyby zostać wykorzystane przez przestępców do zainstalowania złośliwego oprogramowania ⁹.

Co zrobić, jeśli padłeś ofiarą oszustwa? Natychmiastowe działania

Zorientowałeś się, że podałeś swoje dane na fałszywej stronie lub zainstalowałeś podejrzaną aplikację? To moment, w którym liczy się każda sekunda. Oszuści działają błyskawicznie, dlatego Twoja reakcja również musi być natychmiastowa. Nie obwiniaj się i nie panikuj – skup się na metodycznym działaniu, które może zminimalizować straty, a nawet pozwolić na odzyskanie pieniędzy. Poniżej znajdziesz instrukcję krok po kroku, co robić w takiej sytuacji. Pamiętaj, że szybka reakcja to Twój największy sojusznik w walce ze skutkami oszustwa.

Krok 1: Natychmiast skontaktuj się ze swoim bankiem

To absolutny priorytet. Twoje pieniądze są w bezpośrednim niebezpieczeństwie. Oszuści, którzy uzyskali dostęp do Twojego konta lub danych karty, mogą próbować je wyczyścić w ciągu kilku minut. Nie czekaj, aż zauważysz podejrzane transakcje – działaj prewencyjnie.

1. Znajdź numer infolinii swojego banku. Najlepiej mieć go zapisanego w telefonie lub poszukać na oficjalnej stronie banku (wpisując jej adres ręcznie w przeglądarce, nie przez link!). Infolinie do zastrzegania kart są czynne 24/7.
2. Zadzwoń i połącz się z konsultantem. Po weryfikacji tożsamości od razu powiedz, że podejrzewasz oszustwo i chcesz zablokować dostęp do swoich produktów.
3. Zleć następujące blokady:
   • Zastrzeżenie karty płatniczej (debetowej/kredytowej), której dane podałeś.
   • Tymczasową blokadę dostępu do bankowości elektronicznej i aplikacji mobilnej.
   • Blokadę płatności BLIK, jeśli istnieje taka możliwość.

Konsultant poinstruuje Cię o dalszych krokach. Pamiętaj, że nawet jeśli oszustwo dotyczyło niewielkiej kwoty, np. rzekomej dopłaty 2,99 zł ², mogło to być tylko działanie testowe przed kradzieżą znacznie większych środków.

Krok 2: Zmień hasła do kluczowych usług

Jeśli podałeś jakiekolwiek dane logowania na fałszywej stronie ⁵ lub zainstalowałeś złośliwą aplikację, która mogła je przechwycić ¹⁰, musisz założyć, że oszuści mają do nich dostęp. Natychmiast zmień hasła, zachowując poniższą kolejność:

1. Bankowość elektroniczna: Jeśli nie zablokowałeś dostępu przez infolinię, zrób to natychmiast po odzyskaniu kontroli nad kontem. Ustaw nowe, silne i unikalne hasło.
2. Główny adres e-mail: Twoja poczta elektroniczna to klucz do odzyskiwania haseł w wielu innych serwisach. Jeśli przestępcy przejmą nad nią kontrolę, mogą zablokować Ci dostęp do mediów społecznościowych, sklepów internetowych i innych kont.
3. Inne ważne serwisy: Pomyśl, gdzie jeszcze używałeś tego samego lub podobnego hasła. Zmień je w portalach społecznościowych, sklepach internetowych (szczególnie tam, gdzie masz podpiętą kartę), serwisach subskrypcyjnych (Netflix, Spotify) i na portalach rządowych (np. Profil Zaufany).

Krok 3: Zgłoś przestępstwo na policję

Formalne zgłoszenie oszustwa jest kluczowe, jeśli chcesz mieć szansę na odzyskanie pieniędzy w ramach procedury bankowej (chargeback) i przyczynić się do ujęcia sprawców. Udaj się na najbliższy komisariat policji i przygotuj jak najwięcej dowodów. Im lepiej się przygotujesz, tym sprawniej przebiegnie przyjęcie zgłoszenia.

Co zabrać ze sobą na policję?

Dokument / Dowód	Opis i cel
Dowód osobisty	Niezbędny do potwierdzenia Twojej tożsamości.
Zrzut ekranu SMS-a	Pełna treść fałszywej wiadomości wraz z widocznym numerem nadawcy.
Adres fałszywej strony	Jeśli wciąż masz go w historii przeglądarki, zapisz go lub wydrukuj.
Potwierdzenia transakcji	Wyciąg z konta bankowego pokazujący wszystkie nieautoryzowane transakcje.
Informacje o urządzeniu	Model telefonu i wersja systemu operacyjnego, na którym doszło do zdarzenia.
Wszelka korespondencja	Jeśli doszło do jakiejkolwiek innej komunikacji z oszustami.

Pamiętaj, że takie ataki to często zmasowane kampanie , a Twoje zgłoszenie może być ważnym elementem większej sprawy.

Krok 4: Zadbaj o swoje samopoczucie

Padnięcie ofiarą oszustwa to niezwykle stresujące doświadczenie. Możesz odczuwać złość, wstyd lub bezradność. To zupełnie naturalne emocje. Ważne jest, aby nie zostawać z nimi samemu. Porozmawiaj z kimś zaufanym – rodziną lub przyjaciółmi. Jeśli czujesz, że sytuacja Cię przerasta i negatywnie wpływa na Twoje codzienne funkcjonowanie, nie wahaj się poszukać profesjonalnego wsparcia. Możesz skorzystać z bezpłatnych telefonów zaufania lub skonsultować się z psychologiem. Pamiętaj, że oszuści stosują wyrafinowane techniki manipulacji, a ich ofiarą może paść każdy.

FAQ: Najczęściej zadawane pytania dotyczące fałszywych SMS-ów

W tej sekcji zbieramy najczęściej pojawiające się pytania dotyczące oszustw SMS-owych związanych z firmami kurierskimi. Znajdziesz tu szybkie i konkretne odpowiedzi, które pomogą Ci rozwiać wątpliwości i bezpiecznie poruszać się w cyfrowym świecie.

Czy InPost, DPD lub Poczta Polska kiedykolwiek proszą o dopłatę SMS-em?

Absolutnie nie. To najczęstszy i najbardziej rozpoznawalny schemat oszustwa. Żadna z renomowanych firm kurierskich nie wymaga od odbiorców niewielkich dopłat (np. 0,50 zł lub 1 zł) za pośrednictwem linku w wiadomości SMS w celu rzekomego odblokowania, dezynfekcji czy ponowienia dostawy paczki. InPost w swoich oficjalnych komunikatach podkreśla, że nigdy nie prosi o dopłaty za przesyłki poprzez wiadomości tekstowe ¹¹. Każdy taki SMS to próba wyłudzenia danych i pieniędzy.

Czy samo kliknięcie w link z fałszywego SMS-a jest już niebezpieczne?

Samo kliknięcie linku nie zawsze prowadzi do natychmiastowej infekcji telefonu, zwłaszcza jeśli posiadasz aktualny system operacyjny i przeglądarkę. Zazwyczaj przenosi ono na fałszywą stronę internetową. Prawdziwe zagrożenie pojawia się w momencie, gdy na tej stronie wykonasz kolejny krok: podasz swoje dane logowania do banku, numer karty płatniczej lub, co gorsza, pobierzesz i zainstalujesz plik .apk (fałszywą aplikację). Mimo wszystko, traktuj każde kliknięcie jako potencjalne ryzyko i nigdy nie otwieraj linków z niepewnych źródeł.

Gdzie i jak mogę zgłosić próbę oszustwa SMS?

Najprostszym i rekomendowanym sposobem jest zgłoszenie wiadomości do zespołu CERT Polska, który zajmuje się reagowaniem na incydenty w sieci. Wystarczy, że skorzystasz z funkcji „Przekaż dalej” w aplikacji do obsługi SMS-ów w swoim telefonie i wyślesz całą, niezmienioną treść podejrzanej wiadomości na bezpłatny numer 8080 . Twoje zgłoszenie pomoże w analizie zagrożenia i blokowaniu stron internetowych wykorzystywanych przez cyberprzestępców.

Jak mogę bezpiecznie sprawdzić, gdzie jest moja paczka?

Aby uniknąć ryzyka, nigdy nie polegaj na linkach otrzymanych w wiadomościach SMS czy e-mail. Najbezpieczniejszą metodą jest samodzielne i świadome działanie. Wejdź na oficjalną stronę internetową przewoźnika, wpisując jej adres ręcznie w pasku przeglądarki (np. inpost.pl, dpd.com.pl, poczta-polska.pl) lub skorzystaj z oficjalnej aplikacji mobilnej pobranej wyłącznie z autoryzowanych sklepów (Google Play lub Apple App Store). Następnie w odpowiednim polu wprowadź numer śledzenia przesyłki, który otrzymałeś od nadawcy .

SMS wyświetlił się w jednym wątku z prawdziwymi wiadomościami od InPost. Czy to znaczy, że jest autentyczny?

Nie, to bardzo częsta technika stosowana przez oszustów. Potrafią oni podszyć się pod dowolną nazwę nadawcy (tzw. sender ID), taką jak „InPost”, „DPD” czy „PocztaPolska”. W efekcie fałszywa wiadomość jest grupowana przez telefon w tej samej konwersacji, w której znajdują się prawdziwe powiadomienia od przewoźnika. To celowe działanie mające na celu uśpienie Twojej czujności. Dlatego nigdy nie ufaj samej nazwie nadawcy – zawsze krytycznie analizuj treść wiadomości.

Co robić, jeśli podałem dane karty płatniczej na fałszywej stronie?

Działaj natychmiast, ponieważ liczy się każda sekunda. Niezwłocznie skontaktuj się ze swoim bankiem – zadzwoń na oficjalną infolinię lub skorzystaj z opcji zastrzeżenia karty w aplikacji mobilnej. Poinformuj konsultanta o zaistniałej sytuacji i poproś o zablokowanie karty, której dane wyciekły. Następnie dokładnie monitoruj historię swojego konta bankowego pod kątem nieautoryzowanych transakcji i rozważ zgłoszenie sprawy na policję, zachowując wszystkie dowody (treść SMS-a, adres fałszywej strony).

Źródła

Zobacz też

• Deepfake: Jak rozpoznać fałszywe filmy i zdjęcia AI? poradnik
• OSINT w poszukiwaniu osób: Pipl, Lenso, PimEyes i polskie RODO – Kompletny
• Oszustwo ”na BLIK”: Jak działają cyberprzestępcy i dlaczego nawet młodzi
• Pułapka w sieci: Jak fałszywe reklamy na Facebooku z wizerunkiem polityków

Footnotes

1. corroborating — https://www.oszustwo.info/blog/oszustwa-w-sieci/falszywe-smsy-od-inpost/ ↩

2. corroborating — https://next.gazeta.pl/next/7,151003,32805514,masowo-wysylaja-takie-sms-y-w-polsce-policja-alarmuje-badz.html ↩ ↩² ↩³

3. corroborating — https://inpost.pl/aktualnosci-phishing-jak-dzialaja-oszusci-i-jak-sie-przed-nimi-bronic ↩

4. pillar — https://kicb.pl/uwazajcie-na-falszywe-sms-y-podszywajace-sie-pod-inpost/ ↩ ↩²

5. corroborating — https://www.anty-dlug.pl/oszustwo-na-inpost/ ↩ ↩² ↩³

6. corroborating — https://bezprawnik.pl/wlasnie-trwa-potezny-atak-oszustow-udajacych-dpd/ ↩

7. corroborating — https://wiadomosci.dziennik.pl/wydarzenia/artykuly/9828708,uwaga-na-falszywe-sms-y-od-kurierow-oszusci-podszywaja-sie-pod-inpost.html ↩ ↩²

8. corroborating — https://cert.orange.pl/ostrzezenia/oszusci-podszywaja-sie-pod-inpost-i-poczte-polska/ ↩

9. corroborating — https://www.oszustwo.info/oszustwa-internetowe/inpost/ ↩ ↩²

10. corroborating — https://www.neuca.pl/news-producencki/smishing-czyli-falszywe-sms-y-ktore-moga-cie-duzo-kosztowac ↩ ↩² ↩³

11. corroborating — https://kicb.pl/uwazajcie-na-falszywe-sms-y-podszywajace-sie-pod-inpost/ ↩ ↩² ↩³