Przegląd wybranych oszustw internetowych - SIERPIEŃ 2025

 

1087

 

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w sierpniu 2025 roku, gdzie wskazujemy na schematy działania cyberprzestępców.

W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:

  • oferty fałszywych inwestycji,
  • podszycia bezpośrednio pod banki,
  • wymagane działanie w celu przetworzenia Twojego zwrotu, czyli podszycie pod PZU,
  • nadpłata na koncie, czyli podszycie PGE,
  • Chcesz paczkę? Kliknij w link,
  • Twoje konto na Facebooku zostało ograniczone,
  • rozlicz swoje zadłużenie w Allegro,
  • podszycie pod e-Bilet,
  • fałszywe sklepy.


OFERTY FAŁSZYWYCH INWESTYCJI
Dodatkowo, w sierpniu 2025 roku analitycy CSIRT KNF zgłosili również do blokady 297 fałszywych profili (374 w lipcu’25), które publikowały reklamy fałszywych inwestycji (rys. 1).

1064

Rysunek 1 Reklamy fałszywych inwestycji

Po kliknięciu w reklamę ofiara trafiała na stronę z artykułem mającym na celu uwiarygodnienie inwestycji i zachęcenie do pozostawienia swoich danych kontaktowych. W kolejnym etapie oszustwa cyberprzestępcy kontaktowali się z ofiarami i wyłudzali środki finansowe użytkowników. W tym przypadku cyberprzestępcy, aby wzmocnić prowadzoną grę psychologiczną podszywali się pod mObywatel. (rys. 2-3).

1065

Rysunek 2 Fałszywe inwestycje – artykuł mający na celu uwiarygodnienie programu inwestycyjnego

1066

Rysunek 3 Fałszywe inwestycje – formularz rejestracyjny

Powtarzającym się schematem jest również drugi etap omawianego oszustwa. W nim, przestępcy publikują informacje o rzekomej możliwości odzyskania utraconych wcześniej pieniędzy. W rzeczywistości, jest to ponowna próba oszukania osób, której już wcześniej dały się nabrać na ten scenariusz (rys. 4).

1067

Rysunek 4 Fałszywe reklamy inwestycyjne dystrybuowane na platformie Facebook

W tej części raportu przedstawiamy zidentyfikowane kampanie przestępcze podszywające się bezpośrednio pod podmioty z sektora finansowego oraz inne organizacje, mające na celu wykradanie informacji osobowych i/lub danych produktów bankowych.

PODSZYCIA BEZPOŚREDNIO POD BANKI

Przestępcy wykorzystują wizerunek znanych instytucji, aby zwiększać wiarygodność kampanii phishingowych, dlatego też regularnie podszywają się pod polskie Banki. Wyłudzają w ten sposób m.in informacje o kartach płatniczych, dane uwierzytelniające do bankowości elektronicznej, czy kody BLIK.  W sierpniu 2025 roku nadal wykorzystywali ten sposób. Zidentyfikowane kampanie phishingowe wykorzystywały wizerunki m.in.:

  • Santander Banku Polskiego,
  • Banku BPS.

„WAŻNA AKTUALIZACJA SYSTEMU”, CZYLI PODSZYCIE POD SANTANDER BANK POLSKA

Przestępcy podszywając się pod Santander Bank Polska przesyłali wiadomości e-mail, w których informowali użytkowników o rzekomej aktualizacji bezpieczeństwa. Oszuści na niebezpiecznych stronach wyłudzali poświadczenia logowania użytkowników.

Wygląd fałszywej wiadomości e-mail, którą przesyłali cyberprzestępcy (rys. 5):

1068

Rysunek 5 Fałszywa wiadomość e-mail, w której cyberprzestępcy podszywają się pod Santander Bank Polska

Wygląd strony phishingowej (rys. 6):

1069

Rysunek 6 Fałszywa strona, na której cyberprzestępcy wyłudzali poświadczenia logowania użytkowników

 

„AKTUALIZACJA DOSTĘPU”, CZYLI PODSZYCIE POD BANK BPS

Przestępcy podszywając się pod Bank BPS przesyłali wiadomości e-mail, w których informowali użytkowników o konieczności potwierdzenia i uzupełnienia danych w swoim profilu. Oszuści na niebezpiecznych stronach wyłudzali poświadczenia logowania użytkowników.

Wygląd fałszywej wiadomości e-mail, którą przesyłali cyberprzestępcy (rys. 7):

1070

 

Rysunek 7 Fałszywa wiadomość e-mail, podszywająca się pod Bank BPS

 

Strona phishingowa wykorzystywana w opisywanej kampanii (rys. 8):

1071

Rysunek 8 Podszycie pod Bank BPS – strona phishingowa

WYMAGANE DZIAŁANIE W CELU PRZETWORZENIA TWOJEGO ZWROTU, CZYLI PODSZYCIE POD PZU

Cyberprzestępcy przesyłali fałszywe wiadomości, w których informowali o konieczności podjęcia działań w celu przetworzenia zwrotu. W treści wiadomości znajdował się link, który w rzeczywistości prowadził na fałszywą stronę, na której cyberprzestępcy wyłudzali dane osobowe oraz informacje o kartach płatniczych.

Fałszywa wiadomość podszywająca się pod PZU (rys. 9):

1072

Rysunek 9 Fałszywa wiadomość, w której cyberprzestępcy podszywali się pod firmę PZU

Wygląd stron phishingowych, na których oszuści wyłudzali dane osobowe oraz informacje o kartach płatniczych (rys. 10)

1073

Rysunek 10 Strony phishingowe, na których oszuści wymagali podania danych osobowych oraz informacji o kartach płatniczych

NADPŁATA NA KONCIE, CZYLI PODSZYCIE POD PGE

Cyberprzestępcy przygotowali kampanię phishingową podszywającą się pod Polską Grupę Energetyczną. Oszuści przesyłali fałszywe wiadomości e-mail, w których informowali o rzekomej nadwyżce środków. W treści znajdował się link przekierowujący do fałszywej strony łudząco przypominające witrynę PGE. W rzeczywistości była to próba wyłudzenia danych logowania do konta oraz informacji o kartach płatniczych.

Wygląd fałszywej wiadomości e-mail (rys. 11):

1074

Rysunek 11 Fałszywa wiadomość e-mail podszywająca się pod PGE

Wygląd stron phishingowych (rys. 12):

1075

Rysunek 12 Fałszywa strona wyłudzająca dane osobowe użytkowników oraz informacje o kartach płatniczych

CHCESZ PACZKĘ? KLIKNIJ W LINK

Przestępcy wykorzystując wizerunek firmy Pocztex informowali o rzekomo niedostarczonej paczce. Pod pretekstem możliwości dostarczenia paczki, zachęcali do kliknięcia w link, który w rzeczywistości prowadził do strony phishingowej. W ten sposób oszuści chcieli pozyskać informację o danych kart płatniczych.

Przykładowe wiadomości SMS oraz fałszywe strony wykorzystywane w opisywanych kampaniach phishingowych (rys. 13).

1076

 

1077

 

1078

Rysunek 13 Wiadomość SMS i strony phishingowe podszywająca się pod Pocztex

TWOJE KONTO NA FACEBOOKU ZOSTAŁO OGRANICZONE

Przestępcy przygotowali kampanię phishingową podszywającą się pod serwis społecznościowy Facebook. Oszuści przesyłali do użytkowników wiadomości z informacją o rzekomych problemach z kontem. Link z wiadomości prowadził na niebezpieczną stronę, na której oszuści wykradali dane logowania użytkowników. Przejęte w ten sposób konta wykorzystywane były do dalszych przestępstw.

Fałszywa wiadomość e-mail podszywająca się pod portal Facebook rys. 14):

1079

Rysunek 14 Fałszywa wiadomość, w której cyberprzestępcy podszywali się pod serwis społecznościowy Facebook

Wygląd strony phishingowej (rys. 15):

1080

Rysunek 15 Strona phishingowa – podszycie pod serwis społecznościowy Facebook

ROZLICZ SWOJE ZADŁUŻENIE W ALLEGRO

W sierpniu 2025 roku przestępcy wykorzystywali wizerunek platformy sprzedażowej Allegro. Oszuści tworzyli fałszywe strony, gdzie informowali o możliwości rozliczenia swojego zadłużenia. W rzeczywistości oszuści na niebezpiecznych stronach wyłudzali informacje o kartach płatniczych.

Wygląd stron phishingowych wykorzystywanych w opisywanej kampanii (rys. 16-17):

1081

Rysunek 16 Wygląd fałszywej strony podszywającej się pod serwis sprzedażowy Allegro 1/2

1082

Rysunek 17 Wygląd fałszywej strony podszywającej się pod serwis sprzedażowy Allegro 2/2

PODSZYCIE POD E-BILET

W sierpniu 2025 roku przestępcy wykorzystywali wizerunek portalu e-Bilet. Oszuści tworzyli fałszywe strony, gdzie oferowali możliwość zakupienia biletów na koncert. W rzeczywistości oszuści wyłudzali środki finansowe użytkowników.

Wygląd stron phishingowych wykorzystywanych w opisywanej kampanii (rys. 18-19):

1083

Rysunek 18 Wygląd fałszywej strony podszywającej się pod serwis e-Bilet 1/2

1084

Rysunek 19 Wygląd fałszywej strony podszywającej się pod serwis e-Bilet 2/2

FAŁSZYWE SKLEPY

Cyberprzestępcy w ostatnim miesiącu tworzyli fałszywe strony podszywające się pod znane marki. W rzeczywistości oszuści na niebezpiecznych stronach wyłudzali kody BLIK oraz dane kart płatniczych.

Wygląd stron phishingowych wykorzystywanych w opisywanej kampanii (rys. 20-21):

1085

Rysunek 20 Wygląd fałszywej strony podszywającej się pod sklep Black Red White 1/2

1086

Rysunek 21 Wygląd fałszywej strony podszywającej się pod sklep Agata 2/2

 

O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach TwitterLinkedIn oraz Facebook