Przegląd wybranych oszustw internetowych - MAJ 2026

 

1170

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w maju 2026 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • oferty fałszywych inwestycji,
  • podszycia bezpośrednio pod banki,
  • „wykryto wykroczenie drogowe",
  • "nieopłacona kara drogowa".

OFERTY FAŁSZYWYCH INWESTYCJI

Dodatkowo, w maju 2026 roku analitycy CSIRT KNF zgłosili również do blokady 708 fałszywych profili (435 w kwietniu’25), które publikowały reklamy fałszywych inwestycji. W scenariuszu znanym pod nazwą „fraud inwestycyjny” cyberprzestępcy podszywają się pod znane osoby lub instytucje, celem nakłonienia potencjalnej ofiary do zainwestowania środków i otrzymania wysokiej stopy zwrotu. W rzeczywistości prowadzą grę psychologiczną, mającą na celu narażanie ofiary na wysokie starty finansowe.

Fałszywe oferty (zarówno w postaci nagrań video, jak i statycznych reklam) dystrybuowane są poprzez reklamy na platformie Facebook (rys. 1):

1171

Rysunek 1 Fałszywe reklamy zamieszczane przez cyberprzestępców na portalu Facebook

 

Reklamy zamieszczane przez cyberprzestępców prowadziły do niebezpiecznych stron z artykułem mającym na celu uwiarygodnienie inwestycji i zachęcenie do pozostawienia swoich danych kontaktowych. W tym przypadku cyberprzestępcy wykorzystywali wizerunek Zakładu Ubezpieczeń Społecznych (ZUS).

1172

Rysunek 2 Fałszywe inwestycje – formularz rejestracyjny

 

Powtarzającym się schematem jest również drugi etap omawianego oszustwa. W nim przestępcy publikują informacje o rzekomej możliwości odzyskania utraconych wcześniej pieniędzy. W rzeczywistości, jest to ponowna próba oszukania osób, które już wcześniej dały się nabrać na ten scenariusz.

Przykładowe reklamy, które cyberprzestępcy publikowali na portalu Facebook (rys. 3):

1173

Rysunek 3 Fałszywe inwestycje – motyw zwrotu straconych środków

 

PODSZYCIA BEZPOŚREDNIO POD BANKI

W tej części raportu przedstawiamy zidentyfikowane kampanie przestępcze podszywające się bezpośrednio pod podmioty z sektora finansowego oraz inne organizacje, mające na celu wykradanie informacji osobowych i/lub danych produktów bankowych.

Przestępcy wykorzystują wizerunek znanych instytucji, aby zwiększać wiarygodność kampanii phishingowych, dlatego też regularnie podszywają się pod polskie Banki. Wyłudzają w ten sposób m.in informacje o kartach płatniczych, dane uwierzytelniające do bankowości elektronicznej, czy kody BLIK.  W maju 2026 roku nadal wykorzystywali ten sposób. Zidentyfikowane kampanie phishingowe wykorzystywały wizerunki m.in.:

  • PKO BP,
  • Santander Banku Polska (obecnie Erste),
  • Erste,
  • BNP Paribas.

FAŁSZYWE STRONY BANKOWOŚCI ELEKTRONICZNEJ 

W ostatni miesiącu cyberprzestępcy przygotowali fałszywe strony, na których podszywali się pod Santander Bank Polska (obecnie Erste) oraz PKO BP. Oszuści na niebezpiecznych stronach wyłudzali poświadczenia logowania do bankowości elektronicznej.

Wygląd fałszywych stron wykorzystywanych w opisywanej kampanii (rys. 4-5):

1174

 

Rysunek 4 Fałszywa strona podszywająca się pod Santander Bank Polska

 

1175

Rysunek 5 Fałszywa strona podszywająca się pod PKO BP

 

KONTO WYMAGA WERYFIKACJI BEZPIECZEŃSTWA

Cyberprzestępcy podszywając się pod Erste wysyłali wiadomości e-mail informując o wymaganej weryfikacji bezpieczeństwa. Oszuści zachęcali do kliknięcia w zawarty w wiadomości, link. W rzeczywistości prowadził on na stronę phishingową, podszywającą się pod wskazany bank i wyłudzającą dane logowania do bankowości elektronicznej.

Wygląd fałszywej wiadomości e-mail, którą przesyłali cyberprzestępcy (rys. 6):

1176

 

Rysunek 6 Podszycie pod Erste – wiadomość e-mail

Wygląd strony phishingowej wykorzystywanej w opisywanej kampanii:

1177

Rysunek 7 Wygląd fałszywej strony phishingowej, na której cyberprzestępcy podszywali się pod Erste

 

OTRZYMAŁEŚ AKTUALIZACJĘ, CZYLI PODSZYCIE POD BNP PARIBAS

Przestępcy podszywając się pod BNP Paribas przesyłali fałszywe wiadomości e-mail o otrzymaniu rzekomej aktualizacji. Po kliknięciu w link użytkownik trafiał na fałszywą stronę, gdzie cyberprzestępcy informowali o zablokowanym zwrocie nadpłaconych składek. Aby możliwe było rzekome odblokowanie kwoty oszuści wymagali zalogowania się do bankowości elektronicznej. W rzeczywistości dane trafiały bezpośrednio w ręce cyberprzestępców.  

Fałszywa wiadomość e-mail, w której przestępcy podszywali się pod BNP Paribas (rys. 8):

1178

 

Rysunek 8 Wygląd fałszywej wiadomości e-mail – podszycie pod BNP Paribas

Wygląd stron phishingowych (rys.9):

         1179

      1180                         

Rysunek 9 Fałszywe strony podszywające się pod BNP Paribas, na których cyberprzestępcy informowali o zablokowanym zwrocie nadpłaconych składek i wyłudzali dane logowania do bankowości elektronicznej

 

WYKRYTO WYKROCZENIE DROGOWE

Cyberprzestępcy przesyłali fałszywe wiadomości SMS podszywające się pod mObywatel. Oszuści nadpisywali identyfikator nadawcy w taki sposób, że SMS trafiał do wcześniejszej korespondencji przez co wiadomość nabierała wiarygodności. W treści wiadomości SMS przestępcy informowali o rzekomym wykryciu wykroczenia drogowego i konieczności opłacenia mandatu, aby uniknąć dalszych konsekwencji. W rzeczywistości była to próba wyłudzenia informacji o kartach płatniczych użytkowników.

Fałszywa wiadomość SMS oraz strony phishingowe, na których oszuści wyłudzali dane osobowe oraz informacje o kartach płatniczych (rys. 10):

1181

 Rysunek 10 Fałszywa wiadomość SMS oraz strony phishingowe – podszycie pod mObywatel

 

NIEOPŁACONA KARA DROGOWA

W ostatnim miesiącu cyberprzestępcy przesyłali fałszywe wiadomości SMS, w których informowali o rzekomym ostrzeżeniu od Krajowej Administracji Ruchu Drogowego. Oszuści w treści wiadomości wskazywali na nieopłaconą karę drogową i konieczność natychmiastowego uregulowania wpłaty. Po kliknięciu w link użytkownik trafiał na fałszywą stronę, na której oszuści wykorzystywali wizerunek portalu GovPL i wyłudzali dane kart płatniczych użytkowników.

Wygląd fałszywej wiadomość SMS wykorzystywanej w opisywanej kampanii:

1182

Rysunek 11 Fałszywa wiadomość SMS, którą przesyłali cyberprzestępcy

Wygląd fałszywej strony, na której oszuści podszywali się pod portal GovPL:

                        1183

 Rysunek 12 Fałszywa strona – podszycie pod GovPL

 

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook