Zwrot nadpłaty i kredyt Zero Procent+ – nowe kampanie phishingowe

07 listopada 2025

Zwrot nadpłaty to socjotechniczny trick (na szczęście) rzadko używany przez internetowych oszustów. W tym tygodniu sobie o nim przypomnieli, a CERT Orange Polska zaobserwował też kolejną kampanię podszywającą się pod serwisy rządowe.

Koniec nudy - cyber gamonie zaczęli zdaje się zbierać pieniądze na świąteczne prezenty. W mijającym tygodniu systemy bezpieczeństwa CERT Orange Polska wyłapały dwie ciekawe kampanie przed którymi chcę Was ostrzec. Jeśli szukacie pełnych, szczegółowych analiz - podam również linki do nich. A na blogu będzie krótko, zwięźle i tak, by trafić do każdego.

"Dekret państwowy" i zwrot nadpłaty za prąd

Ceny mediów to stałe - i bolesne dla portfela - koszty utrzymania mieszkania, czy domu. Nic więc dziwnego, iż informacja, że możemy zapłacić mniej, powoduje zaciekawienie i szerokie otwarcie oczu. Otwarcie czasem na tyle szerokie, że nie zauważamy, iż mail został nadany z prywatnego adresu w domenie jednego z krajowych dostawców usługi e-mail, a zawarty w nim link prowadzi nie na stronę PGE Dystrybucja, tylko na jakąś niezwiązaną tematycznie z energetyką domenę w... Japonii.

Sprawdzacie zawsze te absolutnie podstawowe informacje? Mam nadzieję, że jeśli jesteście od lat stałymi czytelnikami naszego bloga, to tylko wzruszacie ramionami i mówicie pod nosem:

No a jak?!

W tym przypadku odpowiednia reakcja na oczywiste czerwone flagi od razu uratowałaby potencjalną ofiarę. A co jeśli okażemy się niefrasobliwi? Najpierw pokaże się okienko z monitem o login i hasło do panelu klienta PGE (jeśli wpiszemy - trafią do oszustów), następnie przycisk "zleć zwrot nadpłaty", potem pole na wpisanie danych karty, aż w końcu "kod Apple Pay/Google Pay", który tak naprawdę okaże się SMS-em autoryzującym transakcję kartą płatniczą on-line.

Potencjalne ryzyko? Wyzerowanie limitu karty i przejęcie pary login-hasło, którą można sprawdzić w innych serwisach. Dla zainteresowanych - szczegółową analizę znajdziecie tutaj.

Kredyt Zero+ na wszystko

Tak, wiem - wystarczy spojrzeć na ten śródtytuł, by pomyśleć:

Serio? Przecież to mega grubymi nićmi szyte!

No szyte, szyte - ale nie zmienia faktu, że ludzie się na to łapią, więc ostrzegać warto. W tym przypadku atak zaczyna się od fałszywej reklamy na Facebooku. Jeśli damy się jej skusić i wpiszemy przynajmniej numer telefonu - dostaniemy SMS-a. Dowiemy się z niego, że:

Wniosek rozpatrzono pozytywnie. Dokończ proces: hxxps://is[.]gd/[6-znakowy hash]

Po kliknięciu trafimy na taką stronę. Kusząca?

Dalej dowiemy się, że kredytów udzielają polskie banki, warunki są wyjątkowo preferencyjne, a kredyt możemy wykorzystać na dowolny cel. Wystarczy tylko wejść na stronę, wypełnić długą ankietę, wybrać bank i... zalogować się do niego, by potwierdzić chęć otrzymania kredytu. W moim przypadku 30 sekund po próbie logowania zadzwonił telefon (ma na takie cele specjalny numer telefonu), a oszust poinformował mnie, że przeprowadzi mnie przez cały proces logowania. Miał do mnie "zadzwonić ktoś z banku", ostatecznie oszust poprosił mnie o ponowne logowanie, po czym... rozłączył się. Myślę, że mogło to mieć coś wspólnego z tym, że hasło, którego użyłem, mogło sugerować, że wiem z kim mam do czynienia. Następnym razem nie popełnię tego błędu.

Co działoby się dalej? Zadzwoniłby "konsultant banku", przekonałby mnie do podania loginu i hasła do banku, w przypadku gdy do wyprowadzenia moich potrzebne byłyby inne kody - próbowałbym mnie namówić na ich podanie. Taka kradzież trwa błyskawicznie. Oszust sczytuje podane poświadczenia logowania w czasie rzeczywistym i bardzo często w momencie, gdy orientujemy się, że coś jest nie tak - jest dużo bardziej "nie tak", bo nasze konto jest puste. Tutaj nie masz co liczyć na zwrot nadpłaty...

Ponownie jak w pierwszym przypadku - jeśli chcecie poczytać szczegółową analizę, zapraszam na stronę CERT Orange Polska.

Jak radzić sobie z oszustami

W zasadzie mógłbym Wam powiedzieć: Spiszcie sobie czerwone flagi, które widzieliście wyżej w tym tekście i uważajcie na nie za każdym razem. Ale nawet oczywistych rzeczy nie zaszkodzi przypomnieć:

sprawdź nadawcę e-maila
upewnij się na jaką stronę prowadzą linki z maila, czy SMS-a
jeśli wpisujesz gdziekolwiek swoje dane osobowe - zastanów się, czy to odpowiednie miejsce
logujesz się do banku - upewnij się w stu procentach, że adres jest dobry
a najlepiej nie wchodź na stronę banku z linku tylko sam/a wpisz adres
jeśli w grę wchodzą Twoje pieniądze - poświęć minutę (wystarczy!) by upewnić się, co robisz; koszty ewentualnego błędu będą Cię kosztować znacznie więcej

Please prove you are human by selecting the heart.

*Wyrażam zgodę na przetwarzanie przez Orange Polska S.A. z siedzibą w Warszawie moich danych osobowych podanych w niniejszym formularzu w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska.

Administratorem Pani/Pana danych osobowych podanych w niniejszym formularzu jest Orange Polska S.A. z siedzibą w Warszawie, pod adresem Aleje Jerozolimskie 160, 02-326 Warszawa (dalej Orange Polska). Dane kontaktowe inspektora ochrony danych w Orange Polska: inspektorochronydanych@orange.com

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Pani/Pana dane zostaną umieszczone w bazie danych dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i wykorzystywane w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska. Na podstawie podanych w formularzu informacji dotyczących redakcji, dla której Pani/Pan pracuje, może być Pani/Pan przypisana/y do odpowiedniego segmentu według kryterium tematycznego i terytorialnego redakcji, dzięki czemu będzie Pani/Pan otrzymywać komunikaty dostosowane do zasięgu terytorialnego i profilu tematycznego redakcji, dla której Pani/Pan pracuje.

Podstawą umieszczenia Pani/Pana danych w bazie dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i przekazywania skierowanych do mediów informacji telefonicznie lub przesyłania ich na podany adres e-mail będzie udzielona przez Panią/Pana zgoda. Przyporządkowanie do określonego segmentu stanowi natomiast realizację uzasadnionego interesu Orange Polska.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Pani/Pana dane będą przekazywane agencji Havas PR Warsaw, ul. Dziekońskiego 1, 00-728 Warszawa, która na zlecenie Orange Polska utrzymuje platformę informatyczną obsługującą serwis prasowy Orange Polska. Havas PR Warsaw może je przekazywać FreshMail Sp. z o.o. z siedzibą w Krakowie przy Al. 29 Listopada 155c, która obsługuje proces wysyłania komunikatów prasowych na podany przez Panią/Pana adres e-mail.

Podane w niniejszym formularzu dane będą przetwarzane do czasu odwołania zgody na ich przetwarzanie. Po odwołaniu zgody, Pani/Pana dane będą przetwarzane w okresie i dla celów dochodzenia i obrony przed roszczeniami.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Zakres każdego z tych praw oraz sytuacje, w których można z nich skorzystać, wynikają z przepisów prawa. To, z którego uprawnienia może Pani/Pan skorzystać, zależeć będzie np. od podstawy prawnej oraz celu przetwarzania danych.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.