Bezpieczeństwo

Phishing SMS: kasyna, telefon w sedesie i fałszywy mObywatel

Michał Rosiak

05 czerwca 2026

Phishing SMS. Koszmar dzisiejszych czasów. Jak często dostajecie wiadomości tekstowe, których treść wydaje się Wam na tyle podejrzana, by pomyśleć: "Nieee... Nie kliknę w to, nie ma mowy!". Na pewno mogę Wam powiedzieć, że znacznie... rzadziej niż mogłoby się wydawać. Dbają o to systemy bezpieczeństwa CERT Orange Polska.

Nie podam Wam konkretnej liczby wiadomości, które "odbijają" się od naszych systemów zanim trafiłyby do Was. Nie opowiem też jak to się dzieje, bo im mniej wie oszust - tym trudniejsze jego życie, a łatwiejsze Wasze. Mogę jednak podzielić się z grubsza informacjami o tym, z jakimi treściami przestępcy próbują do Was dotrzeć.

Kasyna mniej lub bardziej fałszywe

Kasyno zawsze wygrywa. Każdy, kto jest świadom tej zasady, już na starcie potencjalnie oszczędza spore pieniądze. O ile jednak przed spacerem do "offline-owego" szemranego kasyna nie potrafimy Was powstrzymać, to przed skorzystaniem z takiego w sieci już tak. Te serwisy, które przez phishing SMS usiłują trafić do Was ze swoimi reklamami to zarówno stuprocentowe oszustwa jak i takie kasyna, które funkcjonują poza polskim prawodawstwem i choć przede wszystkim ich funkcjonowanie jest niezgodne z prawem, to w razie problemów z wypłatą ewentualnej wygranej możecie liczyć wyłącznie na siebie. Nie jestem w stanie określić których jest więcej, ale kilkakrotnie sprawdzałem schemat działania przestępców stojących za tymi pierwszymi.

Zaczyna się od SMS-a:

Przeslalismy 7000 zl na Twoj numer telefonu (+48xxxxxxxxx)! Odbierz swoje pieniadze - to naprawde latwe: lmstp.info/[5-znakowy hash]

Gdy skuszeni możliwością zagrania nie za swoje klikniemy i założymy konto, okazuje się, że by uruchomić bonus musimy najpierw dokonać kilkusetzłotowej wpłaty. Możemy nawet zrobić to BLIK-iem! Rzecz tylko w tym, że gdy wpiszemy kod i sprawdzimy przed potwierdzeniem komu tak naprawdę płacimy - okazuje się, że to serwis... sprzedający karty podarunkowe. Czyli coś co potem można błyskawicznie po niższej cenie sprzedać w serwisie odsprzedażowym, czy aukcyjnym za czyste, wyprane pieniądze.

I o ile SMS-y mające nas przekonać, że wielka wygrana jest O WŁOS to większość tego typu treści, które do nas trafiają, w ścisłej czołówce mieści się od lat scam na...

"Mamo/Tato, telefon wpadł mi do sedesu"

Czy też uległ niespodziewanemu losowemu uszkodzeniu w inny wymyślnym sposób. Kluczowym problemem z tym oszustwem jest fakt, że jedynymi, którzy mogą je zablokować, jesteście... Wy. Dlaczego? Jak pisałem już dwa lata temu na stronie CERT Orange Polska, oszuści wysyłają phishing SMS z linkiem do aplikacji WhatsApp przez skrótowiec wa.me/numer_telefonu. Nie można go zablokować, bowiem wtedy każdy link prowadzący do WhatsAppa byłby traktowany jako złośliwy. A o ile takich wiadomości tydzień w tydzień obserwujemy bardzo dużo - WhatsApp co do zasady nie jest serwisem złośliwym i nie można utrudniać funkcjonowania jemu i jego użytkownikom.

Powtórzę więc to samo, co w każdej sytuacji związanej ze złośliwą aktywnością w sieci - po prostu uważajcie! Jeśli "pisze do Ciebie" o zgubionym telefonie dziecko, które właśnie leżąc obok w pieluszce radośnie ładuje do buzi gumową żyrafę - uśmiechnij się i zapomnij o temacie. Jeśli jednak masz potomstwo starsze i myślisz, że sytuacja wcale nie jest nierealna - zadzwoń do dziecka. Zignoruj treść z wiadomości i zadzwoń. Stawiam, że w 100 przypadkach na 100 usłyszysz:

Ojciec/matka, brawo za czujność, to było oszustwo!

Rządowe promocje na mandaty

Ten śródtytuł brzmi dla Ciebie idiotycznie? To dobrze, bo to znaczy, że może nie dasz się złapać. Jednak próby podszycia pod serwisy rządowe zdarzają się regularnie. W ostatnią środę Marek Olszewski na łamach CERT Orange Polska pisał o SMS-ach "od mObywatela" informujących o czekającym na ofiarę mandacie, którego kwotę można obniżyć o 50% jeśli zapłacimy od razu. Zbyt grubymi nićmi szyte? To może ostrzeżenie dla lekarzy o "złamaniu RODO" i podstawienie fałszywej strony logowania do systemów e-medycznych? Albo SMS "z NFZ", że płatność składki za ubezpieczenie zdrowotne nie dotarła i jeśli nie zapłacimy natychmiast - stracimy ochronę.

Tych treści obserwujemy znacząco mniej niż kasyn, czy oszustw "na dziecko", ale z racji na podszywanie się pod organy administracji rządowej istnieje większe ryzyko padnięcia jego ofiarą. Jak tego uniknąć? Przede wszystkim pamiętaj, że domeny rządowe kończą się wyłącznie na gov.pl! Samo "mobywatel" w nazwie nie świadczy o tym, że strona jest prawdziwa! Jeśli po kliknięciu w link z SMS-a trafiasz na witrynę, przypominającą logowanie do serwisów rządowych, upewnij się, że adres jest prawdziwy! Jeśli wykorzystujesz w tym celu systemy e-bankowości, pamiętaj, by wpisywać login i hasło wyłącznie na stronie banku! Mechanizmy logowania do serwisów państwowych też Cię tam przekierują.

Uważajcie na siebie. A my postaramy się rzecz jasna uważać na Was. Te 345 tys. zablokowanych domen phishingowych i CyberTarcza reagująca w ubiegłym roku 5,5 mln razy nie wzięły się znikąd.

Please prove you are human by selecting the star.

*Wyrażam zgodę na przetwarzanie przez Orange Polska S.A. z siedzibą w Warszawie moich danych osobowych podanych w niniejszym formularzu w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska.

Administratorem Pani/Pana danych osobowych podanych w niniejszym formularzu jest Orange Polska S.A. z siedzibą w Warszawie, pod adresem Aleje Jerozolimskie 160, 02-326 Warszawa (dalej Orange Polska). Dane kontaktowe inspektora ochrony danych w Orange Polska: inspektorochronydanych@orange.com

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Pani/Pana dane zostaną umieszczone w bazie danych dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i wykorzystywane w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska. Na podstawie podanych w formularzu informacji dotyczących redakcji, dla której Pani/Pan pracuje, może być Pani/Pan przypisana/y do odpowiedniego segmentu według kryterium tematycznego i terytorialnego redakcji, dzięki czemu będzie Pani/Pan otrzymywać komunikaty dostosowane do zasięgu terytorialnego i profilu tematycznego redakcji, dla której Pani/Pan pracuje.

Podstawą umieszczenia Pani/Pana danych w bazie dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i przekazywania skierowanych do mediów informacji telefonicznie lub przesyłania ich na podany adres e-mail będzie udzielona przez Panią/Pana zgoda. Przyporządkowanie do określonego segmentu stanowi natomiast realizację uzasadnionego interesu Orange Polska.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Pani/Pana dane będą przekazywane agencji Havas PR Warsaw, ul. Dziekońskiego 1, 00-728 Warszawa, która na zlecenie Orange Polska utrzymuje platformę informatyczną obsługującą serwis prasowy Orange Polska. Havas PR Warsaw może je przekazywać FreshMail Sp. z o.o. z siedzibą w Krakowie przy Al. 29 Listopada 155c, która obsługuje proces wysyłania komunikatów prasowych na podany przez Panią/Pana adres e-mail.

Podane w niniejszym formularzu dane będą przetwarzane do czasu odwołania zgody na ich przetwarzanie. Po odwołaniu zgody, Pani/Pana dane będą przetwarzane w okresie i dla celów dochodzenia i obrony przed roszczeniami.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Zakres każdego z tych praw oraz sytuacje, w których można z nich skorzystać, wynikają z przepisów prawa. To, z którego uprawnienia może Pani/Pan skorzystać, zależeć będzie np. od podstawy prawnej oraz celu przetwarzania danych.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.