Przegląd wybranych oszustw internetowych - LUTY 2026

 

1105

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w lutym 2026 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • oferty fałszywych inwestycji,
  • podszycia bezpośrednio pod banki,
  • fałszywe sklepy internetowe,
  • kontrola podatkowa, czyli podszycie pod Krajową Administrację Skarbową,
  • nowa sesja uruchomiona na urządzeniu mobilnym,
  • opłać należność celną,
  • kwalifikujesz się do refundacji, czyli podszycie pod NFZ,
  • ureguluj zaległości na swoim koncie,
  • dystrybucja złośliwego oprogramowania – fałszywa aplikacja mobilna.

FAŁSZYWE INWESTYCJE

W lutym 2026 roku analitycy CSIRT KNF zgłosili do blokady 550 fałszywych profili (347 w styczniu’25), które publikowały reklamy fałszywych inwestycji. W scenariuszu znanym pod nazwą „fraud inwestycyjny” cyberprzestępcy podszywają się pod znane osoby lub instytucje, celem nakłonienia potencjalnej ofiary do zainwestowania środków i otrzymania wysokiej stopy zwrotu. W rzeczywistości prowadzą grę psychologiczną, mającą na celu narażanie ofiary na wysokie starty finansowe.

Fałszywe oferty dystrybuowane były poprzez reklamy na platformie Facebook. Cyberprzestępcy niezmiennie próbowali obchodzić mechanizmy ochrony wizerunku stosowane przez firmę Meta. Oszuści w zamieszczanych reklamach fałszywych inwestycji wciąż wykorzystywali wizerunki osób zmarłych, które znane są ze świata medialnego. Fałszywe reklamy zachęcały sensacyjnymi informacjami dotyczącymi rzekomego testamentu zmarłych osób.

Cyberprzestępcy publikowali także reklamy na Facebooku, w których informowali o rzekomej możliwości odzyskania utraconych wcześniej pieniędzy. W rzeczywistości była to ponowna próba oszukania osób, które już wcześniej padły ofiarą oszustwa i dały się nabrać na ten scenariusz (rys.1).

1106

Rysunek 1 Fałszywe inwestycje – reklamy na platformie Facebook

Ofiary na fałszywych stronach zachęcane były do dokonania rejestracji. W dalszej części oszustwa cyberprzestępcy kontaktowali się z ofiarami i namawiali do zainwestowania oszczędności. Cyberprzestępcy, aby uwiarygodnić swoje oszustwa podszywali się m. in. pod portal Gov.pl (rys. 2).

1107

Rysunek 2 Fałszywe inwestycje – podszycie pod portal Gov.pl

PODSZYCIA BEZPOŚREDNIO POD BANKI

Przestępcy wykorzystują wizerunek znanych instytucji, aby zwiększać wiarygodność kampanii phishingowych, dlatego też regularnie podszywają się pod polskie Banki. Wyłudzają w ten sposób m.in informacje o kartach płatniczych, dane uwierzytelniające do bankowości elektronicznej, czy kody BLIK.  W lutym 2026 roku nadal wykorzystywali ten sposób. Zidentyfikowane kampanie phishingowe wykorzystywały wizerunki m.in.:

  • PKO BP,
  • iPKO Biznes,
  • Credit Agricole.

FAŁSZYWE REKLAMY OFERUJĄCE NAGRODĘ PIENIĘŻNĄ 

Cyberprzestępcy podszywając się pod PO BP publikowali reklamy na portalu Facebook. Pod pretekstem rzekomej możliwości otrzymania dodatkowych pieniędzy wyłudzali dane uwierzytelniające do bankowości elektronicznej.

Wygląd fałszywych reklam publikowanych w mediach społecznościowych (rys. 3):

1108

Rysunek 3 Fałszywe reklamy, w których cyberprzestępcy podszywali się pod PKO BP

NIE MOŻEMY ZWERYFIKOWAĆ TWOICH DANYCH, CZYLI PODSZYCIE POD CREDIT AGRICOLE

Cyberprzestępcy podszywając się pod Credit Agricole wysyłali wiadomości e-mail informując o rzekomych problemach z kontem i konieczności dokonania weryfikacji swoich danych. Oszuści zachęcali do kliknięcia w zawarty w wiadomości, link. W rzeczywistości prowadził on na stronę phishingową, podszywającą się pod wskazany bank i wyłudzającą dane logowania do bankowości elektronicznej.

Wygląd fałszywej wiadomości e-mail oraz strony phishingowej wykorzystywanych w opisywanej kampanii(rys. 4):

1109

Rysunek 4 Podszycie pod Credit Agricole – wiadomość e-mail oraz strona phishignowa

FAŁSZYWA STRONA IPKO BIZNES WYPOZYCJONOWANA W WYSZUKIWARCE BING

W ostatni miesiącu spotkać można było także fałszywą witrynę podszywającą się pod iPKO Biznes, która pojawiała się wysoko w wynikach wyszukiwania Bing. Po wejściu w link użytkownik trafiał na niebezpieczną stronę, na której oszuści wyłudzali dane logowania do bankowości elektronicznej.

Fałszywa witryna pojawiająca się wysoko w wynikach wyszukiwania Bing (rys. 5):

1110

Rysunek 5 Podszycie pod iPKO Biznes – fałszywa witryna w wyszukiwarce Bing

FAŁSZYWE SKLEPY INTERNETOWE

Cyberprzestępcy w ostatnim miesiącu tworzyli fałszywe strony, gdzie podszywali się pod popularne marki takie jak: CCC, Sizeer, Deichmann. Oszuści na niebezpiecznych stronach zachęcali atrakcyjnymi cenami i wyłudzali dane kart płatniczych użytkowników.

Wygląd fałszywych stron tworzonych przez cyberprzestępców (rys. 6-8):

1111

Rysunek 6 Fałszywe sklepy – podszycie pod CCC

1112

Rysunek 7 Fałszywe sklepy – podszycie pod sklep Sizeer

1113

Rysunek 8 Fałszywe sklepy – podszycie pod Deichmann

KONTROLA PODATKOWA, CZYLI PODSZYCIE POD KRAJOWĄ ADMINISTRACJĘ SKARBOWĄ 

Przestępcy podszywając się pod Krajową Administrację Skarbową (KAS) przesyłali fałszywe wiadomości, w których informowali o rzekomym zamiarze wszczęcia kontroli podatkowej. Po kliknięciu w przycisk „Przejdź do szczegółów”, użytkownik zostawał przekierowany na stronę, na której oszuści wyłudzali dane logowania do Profilu Zaufanego oraz poświadczenia logowania do bankowości elektronicznej.

Fałszywa wiadomość e-mail, którą przesyłali cyberprzestępcy (rys. 9):

1114

Rysunek 9 Wygląd fałszywej wiadomości e-mail, w której oszuści podszywali się pod KAS

1115

Rysunek 10 Fałszywa strona wykorzystująca wizerunek portalu Gov.pl, na której oszuści wyłudzali dane użytkowników

NOWA SESJA URUCHOMIONA NA URZĄDZENIU MOBILNYM

Przestępcy podszywając się pod portal Gov.pl przesyłali fałszywe wiadomości e-mail, w których informowali o rzekomej nowej sesji uruchomionej na urządzeniu mobilnym i wymagali pilnego kontaktu telefonicznego z pomocą techniczną. W rzeczywistości była to próba wyłudzenia danych, kodów autoryzacyjnych oraz nakłonienia do wykonania działań na szkodę użytkownika.

Fałszywa wiadomość e-mail, w której oszuści podszywali się pod portal Gov.pl (rys. 11):

1116

 

Rysunek 11 Fałszywa wiadomość e-mail przesyłana przez cyberprzestępców

OPŁAĆ NALEŻNOŚĆ CELNĄ 

W ostatnim miesiącu cyberprzestępcy przesyłali fałszywe wiadomości e-mail, w których informowali użytkowników o tym iż doręczenie przesyłki  zostało wstrzymane z powodu nieuregulowanych opłat celnych. W treści wiadomości znajdował się link przekierowujący do fałszywej strony, która łudząco przypominała witrynę Poczty Polskiej. W rzeczywistości była to próba wyłudzenia informacji o kartach płatniczych użytkowników.

Fałszywa wiadomość e-mail podszywająca się pod Pocztę Polską (rys. 12):

1117

Rysunek 12 Fałszywa wiadomość e-mail – podszycie pod Pocztę Polską

Wygląd strony phishingowej wykorzystywanej w opisywanej kampanii (rys. 13):

1118

Rysunek 13 Wygląd fałszywej strony wyłudzającej dane kart płatniczych użytkowników

KWALIFIKUJESZ SIĘ DO REFUNDACJI, CZYLI PODSZYCIE POD NFZ

Cyberprzestępcy przygotowali kampanię phishingową podszywającą się pod NFZ. Oszuści przesyłali fałszywe wiadomości e-mail, w których informowali o możliwości zwrotu wydatków medycznych. Aby to było możliwe, oszuści wymagali podania swoich danych osobowych oraz informacji o kartach płatniczych.

Fałszywa wiadomość e-mail podszywająca się pod NFZ (rys. 14):

1119

Rysunek 14 Fałszywa wiadomość e-mail, w której cyberprzestępcy podszywali się pod NFZ

Wygląd strony phishingowej wykorzystywanej w opisywanej kampanii (rys. 15):

1120

Rysunek 15 Wygląd fałszywej strony wyłudzającej informacje o kartach płatniczych użytkowników – podszycie pod NFZ

UREGULUJ ZALEGŁOŚCI NA SWOIM KONCIE 

Cyberprzestępcy przygotowali także kampanię phishingową podszywającą się pod serwis Allegro. W fałszywych wiadomościach e-mail informowali o rzekomej zaległości związanej z korzystaniem z usług. W rzeczywistości, po kliknięciu w link użytkownik trafiał na niebezpieczną stronę, na której wyłudzane były informacje o kartach płatniczych.
Fałszywa wiadomość e-mail podszywająca się pod serwis Allegro (rys.16):

1121

Rysunek 16 Fałszywa wiadomość e-mail podszywająca się pod serwis Allegro

1122

Rysunek 17 Wygląd fałszywej strony wyłudzającej informacje o karatach płatniczych użytkowników

DYSTRYBUCJA ZŁOŚLIWEGO OPROGRAMOWANIA - FAŁSZYWA APLIKACJA MOBILNA

Cyberprzestępcy przygotowali fałszywą aplikację podszywającą się pod mBank. Aplikacja występowała pod nazwą Klucz Bezpieczeństwa mBank i po uruchomieniu informowała o wymaganym komponencie Play. Instalacja komponentu prowadziła użytkownika przez kolejne kroki, związane z przydzieleniem uprawnień do Funkcji Dostępności, mogących skutkować potencjalnym przejęciem kontroli nad urządzeniem.

Wygląd fałszywej aplikacji (rys.18):

1123

Rysunek 18 Fałszywa aplikacja podszywająca się pod mBank

 

Zachęcamy także do zapoznania się z Biuletynem Nask, gdzie dokonano przeglądu najważniejszych informacji dotyczących cyberbezpieczeństwa.

W materiale znalazła się również informacja o kampaniach wykorzystujących wizerunek VeloBanku, Santander Bank Polska oraz Banku Pocztowego, o których ostrzegał w ostatnim czasie CSIRT KNF.

 Materiał dostępny jest tutaj:
https://www.linkedin.com/pulse/biuletyn-nask-142-30-lat-cert-polska-z-efekt%C3%B3w-ich-pracy-korzysta-retpf/?trackingId=ILzTom5VR5Cf3IO7a4Y2qQ%3D%3D

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook