Przegląd wybranych oszustw internetowych

Przegląd wybranych oszustw internetowych - KWIECIEŃ 2026

13 66

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w kwietniu 2026 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

oferty fałszywych inwestycji,
podszycia bezpośrednio pod banki,
„doładuj telefon” – podszycie pod PayU,
„system wykazał błąd w stanie rozliczeń ubezpieczenia zdrowotnego”,
„ostatnie bilety” – podszycie pod mTicket,
raport dotyczący socjotechniki grup APT w procesach rekrutacyjnych i relacjach biznesowych.

OFERTY FAŁSZYWYCH INWESTYCJI

W kwietniu 2026 roku analitycy CSIRT KNF zgłosili również do blokady 435 fałszywych profili (778 w marcu’25), które publikowały reklamy fałszywych inwestycji. W scenariuszu znanym pod nazwą „fraud inwestycyjny” cyberprzestępcy podszywają się pod znane osoby lub instytucje, celem nakłonienia potencjalnej ofiary do zainwestowania środków i otrzymania wysokiej stopy zwrotu. W rzeczywistości prowadzą grę psychologiczną, mającą na celu narażanie ofiary na wysokie starty finansowe.

Fałszywe oferty (zarówno w postaci nagrań video, jak i statycznych reklam) dystrybuowane są poprzez reklamy na platformie Facebook (rys. 1)

1150

Rysunek 1 Fałszywa reklama zamieszczana przez cyberprzestępców na portalu Facebook

Reklamy zamieszczane przez cyberprzestępców prowadziły do niebezpiecznych stron z artykułem mającym na celu uwiarygodnienie inwestycji i zachęcenie do pozostawienia swoich danych kontaktowych. W tym przypadku cyberprzestępcy wykorzystywali wizerunek portalu Onet.

1151

Rysunek 2 Fałszywe inwestycje – formularz rejestracyjny

Powtarzającym się schematem jest również drugi etap omawianego oszustwa. W nim przestępcy publikują informacje o rzekomej możliwości odzyskania utraconych wcześniej pieniędzy. W rzeczywistości, jest to ponowna próba oszukania osób, które już wcześniej dały się nabrać na ten scenariusz.

Przykładowe reklamy, które cyberprzestępcy publikowali na portalu Facebook (rys. 3):

1152

Rysunek 3 Fałszywe inwestycje – motyw zwrotu straconych środków

Przestępcy nadal chętnie wykorzystują technologię deepfake do tworzenia materiałów oszukańczych. Oszuści wykorzystują wizerunki znanych osób, generując nagrania video, na których przedstawiona jest treść zachęcająca do rzekomych inwestycji (rys. 4).

1153

Rysunek 4 Wykorzystanie technologii deepfake do tworzenia oszukańczych treści

PODSZYCIA BEZPOŚREDNIO POD BANKI

Przestępcy wykorzystują wizerunek znanych instytucji, aby zwiększać wiarygodność kampanii phishingowych, dlatego też regularnie podszywają się pod polskie Banki. Wyłudzają w ten sposób m.in informacje o kartach płatniczych, dane uwierzytelniające do bankowości elektronicznej, czy kody BLIK. W kwietniu 2026 roku nadal wykorzystywali ten sposób. Zidentyfikowane kampanie phishingowe wykorzystywały wizerunki m.in.:

PKO BP,
BNP Paribas,
Santander Banku Polska (obecnie Erste).

FAŁSZYWE STRONY BANKOWOŚCI ELEKTRONICZNEJ

W ostatni miesiącu cyberprzestępcy przygotowali fałszywe strony, na których podszywali się pod Santander Bank Polska (obecnie Erste) PKO BP oraz BNP Paribas. Oszuści na niebezpiecznych stronach wyłudzali poświadczenia logowania do bankowości elektronicznej.

Wygląd fałszywych stron wykorzystywanych w opisywanej kampanii (rys. 5-6):

1154

Rysunek 5 Fałszywa strona podszywająca się pod Santander Bank Polska

1156

Rysunek 6 Fałszywa strona podszywająca się pod PKO BP

KARTA ZABLOKOWANA, CZYLI PODSZYCIE POD BNP PARIBAS

Cyberprzestępcy podszywając się pod BNP Paribas wysyłali wiadomości e-mail informując o rzekomo wykrytej podejrzanej aktywności na koncie i tymczasowym zablokowaniu karty ze względów bezpieczeństwa. Oszuści zachęcali do kliknięcia w zawarty w wiadomości, link. W rzeczywistości prowadził on na stronę phishingową, podszywającą się pod wskazany bank i wyłudzającą dane logowania do bankowości elektronicznej.

Wygląd fałszywej wiadomości e-mail, którą przesyłali cyberprzestępcy(rys. 7):

1157

Rysunek 7 Podszycie pod BNP Paribas – wiadomość e-mail oraz strona phishignowa

Wygląd strony phishingowej wykorzystywanej w opisywanej kampanii:

1158

Rysunek 8 Wygląd fałszywej strony phishingowej, na której cyberprzestępcy podszywali się pod BNP Parbias

WYMAGANA SZYBKA WERYFIKACJA

Przestępcy podszywając się pod Santander Bank Polska przesyłali fałszywe wiadomości e-mail, w których informowali o konieczności natychmiastowego potwierdzenia tożsamości w systemie ze względów bezpieczeństwa. Po kliknięciu w link użytkownik trafiał na fałszywą stronę, gdzie cyberprzestępcy wyłudzali poświadczenia logowania do konta.

Fałszywa wiadomość e-mail, w której przestępcy podszywali się pod Santander Bank Polska (rys. 9):

1159

Rysunek 9 Wygląd fałszywej wiadomości e-mail – podszycie pod Santander Bank Polska

1160

Rysunek 10 Fałszywa strona wyłudzająca dane logowania do bankowości elektronicznej, na której oszuści podszywali się pod Santander Bank Polska

POŻYCZKA GOTÓWKOWA – PODZYCIE POD PKO BP

Cyberprzestępcy przygotowali fałszywe strony, na których podszywali się pod PKO BP. Oszuści na niebezpiecznych stronach zachęcali do złożenia wniosku o pożyczkę gotówkową. W kolejnym kroku, w celu rzekomego sfinalizowania umowy i uruchomienia wypłaty środków wymagali otworzenia konta kredytowego, przesłania dokumentu tożsamości oraz wyciągu bankowego.

Fałszywe strony, na których oszuści zachęcali do złożenia wniosku o pożyczkę gotówkową (rys. 11):

1161

Rysunek 11 Fałszywe strony – podszycie pod PKO BP 1/2

Fałszywe strony oraz wiadomości mailowe, w których oszuści informują o konieczności otworzenia konta kredytowego i przekazania wymaganych dokumentów (rys.12):

1162

Rysunek 12 Fałszywe strony – podszycie pod PKO BP 2/2

DOŁADUJ TELEFON – PODSZYCIE POD PAYU

W ostatnim miesiącu cyberprzestępcy przygotowali fałszywe strony podszywające się pod PayU. Oszuści oferowali rzekomą możliwość doładowania telefonu. W rzeczywistości na niebezpiecznych stronach, a w rzeczywistości wyłudzali dane kart płatniczych.

Wygląd fałszywych stron podszywających się pod PayU (rys. 13-14):

1163

Rysunek 13 Fałszywa strona – podszycie pod PayU 1/2

1164

Rysunek 14 Fałszywa strona – podszycie pod PayU 2/2

SYSTEM WYKAZAŁ BŁĄD W STANIE ROZLICZEŃ UBEZPIECZENIA ZDROWOTNEGO

Cyberprzestępcy podszywając się pod ZUS, przesyłali fałszywe wiadomości SMS, w których informowali o rzekomym błędzie w stanie rozliczeń ubezpieczenia zdrowotnego. Oszuści zachęcali do kliknięcia w znajdujący się w wiadomości link, a w kolejnym kroku wymagali podania swojego numeru PESEL oraz informacji o karcie płatniczej.

Wygląd fałszywej wiadomości SMS, w której oszuści podszywali się pod ZUS (rys. 15):

Rysunek 15 Fałszywa wiadomość SMS – podszycie pod ZUS

1166

Rysunek 16 Fałszywe strony, na których oszuści podszywali się pod ZUS i wyłudzali dane osobowe oraz informacje o kartach płatniczych

OSTATNIE BILETY – PODSZYCIE POD MTICKET

Cyberprzestępcy podszywając się pod polską firmę mTicket, opublikowali oszukańcze reklamy na platformie Facebook. Pod pretekstem możliwości zakupienia biletu na koncert zespołu Metalicca, zachęcali do kliknięcia w link. Następnie ofiara przekierowywana była do strony phishingowej, na której należało podać dane karty płatniczej.

Wygląd fałszywej reklamy, którą cyberprzestępcy publikowali na portalu Facebook (rys. 17):

1167

Rysunek 17 Fałszywa reklama, w której cyberprzestępcy podszywali się pod mTicket

1168

Rysunek 18 Fałszywe strony podszywające się pod mTicket, wyłudzające informacje o kartach płatniczych

Socjotechnika grupa APT w procesach rekrutacyjnych i relacjach biznesowych

Zachęcamy do zapoznania się z materiałem dotyczącym socjotechniki grup APT w procesach rekrutacyjnych i relacjach biznesowych. Przybliżamy w nim jak współczesne kampanie zagrożeń wykraczają poza klasyczny phishing i wykorzystują m.in. fałszywe rekrutacje, podszywanie się pod kandydatów IT, spreparowane spotkania Zoom, Teams, a także długoterminowe budowanie wiarygodności w kontaktach biznesowych.

W publikacji zaprezentowane zostały:

- najczęstsze schematy działania.

- sygnały ostrzegawcze,

- rekomendacje dla organizacji, zespołów bezpieczeństwa oraz osób zaangażowanych w rekrutację i onboarding.

Zachęcamy do lektury i przeglądu wewnętrznych procedur bezpieczeństwa w obszarach HR, współpracy z kontrahentami i ochrony pracowników technicznych.

Z materiałem można zapoznać się pod tym adresem:

https://cebrf.knf.gov.pl/images/Raporty/Ataki_socjotechniczne_grup_APT.pdf

Na podstawie opublikowanego raportu Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa wydał publiczne zalecenia, z którymi można zapoznać się tutaj:
https://www.gov.pl/web/cyfryzacja/zalecenia-w-zwiazku-z-atakami-socjotechnicznymi-stosowanymi-w-celu-przenikniecia-do-organizacji

1169

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach Twitter, LinkedIn oraz Facebook.