Bezpieczeństwo

Dokładnie przyglądajcie się SMS-om

Michał Rosiak

09 kwietnia 2026

Dziś wpis nieco inny. W poświąteczny czwartek rzucimy okiem na najnowsze kampanie phishingowe, które analizowaliśmy w CERT Orange Polska. Pamiętajcie - najlepiej nigdy nie ufać SMS-om od obcych.

Wiadomości tekstowe to obok reklam na Facebooku najpopularniejszy sposób dotarcia do adresatów phishingowych kampanii. W ostatnich dniach w CERT Orange Polska zaobserwowaliśmy trzy kampanie, wykorzystujące różne marki - w tym również naszą.

To nie jest karta SIM Orange do aktualizacji

"Aktualizacja karty SIM" to częsty scenariusz oszustw, kierowanych do klientów usług mobilnych:

Użycie skracarki t.co ma na celu ukrycie docelowej witryny. Oszuści liczą, że ofiara uwierzy w grubymi nićmi szytą ściemę, odruchowo kliknie w link, a ponieważ otworzy go w przeglądarce mobilnej, to nie zauważy, że trafiła na stronę digitales-zugangsportal-service-ch[.]online. Dlatego co zawsze powtarzam - lwia część kampanii phishingowych trafia na urządzenia mobilne. Tam pasek adresu nie dość, że jest mały, to jeszcze po chwili - by oszczędzić miejsce - znika. A wtedy ofiara skupia się na interfejsie graficznym będącym wierną kopią aplikacji Mój Orange, podaje nr telefonu, hasło, hasło z SMS-a i... traci kontrolę nad swoim kontem. Oszust może zrobić na nim niemal wszystko. Jak wygląda takie oszustwo opisywałem szczegółowo na stronie CERT Orange Polska w sierpniu ub.r.

Nadpłata kusi do kliknięcia

Drugi scenariusz i druga socjotechniczna sztuczka. Tym razem oszuści chcą Cię przekonać do odbioru nadpłaconych pieniędzy. To trik używany zaskakująco rzadko, ale faktycznie działający na psychikę. Ludzie od lat są przyzwyczajani

Jeśli ktoś chce Twoich pieniędzy w sieci - zachowaj ostrożność!

a przecież tutaj nikt nic ode mnie nie chce, tylko chcą mi oddać. To pozory. Na Twoim koncie nie ma żadnej nadpłaty. Numery zamówienia, klienta i faktury są fałszywe. I to nie tak, że "wymaganą metodą zwrotu jest karta kredytowa". Jeśli wpiszesz dane swojej karty - oszust błyskawicznie ją wyczyści. Serio, błyskawicznie. Wypuszczając takie kampanie przestępcy siedzą przy komputerach i wykorzystują informacje od razu, gdy niefrasobliwa ofiara je wpisze.

Jak nie dać się oszukać?

Nie wierz SMS-om od obcych. Tym bardziej, że w tym przypadku wiadomości nie przychodziły nawet z nadpisu "PGE" czy podobnego, ale ze zwykłych numerów telefonów.
Sprawdzaj adres strony zanim wpiszesz jakiekolwiek wrażliwe dane. To "pge-energy" może wielu wprowadzić w błąd, ale zwróć uwagę, że adres kończy się na .us. Nie na .pl.
Pamiętaj, że podając dane karty w internecie zgadzasz się na jej obciążenie. Zdarzają się sytuacje, gdy karta jest potrzebna do zwrotu, sam tak miałem dwukrotnie. Ale dzieje się tak w sklepie stacjonarnym, gdzie nie spuszczasz karty z oka i własnoręcznie wpisujesz swój PIN dla potwierdzenia transakcji zwrotu.

Wiadomość "z banku" przysłana przez CabinetMed

Na szczęście oszustom też zdarzają się pomyłki - aczkolwiek obawiam się, że znajdą się tacy, którzy i w taką wiadomość uwierzą.

Dla mnie - i dla Ciebie, jeśli regularnie czytasz bloga - już sama treść tej wiadomości to wielka czerwona flaga. "Twoje konto wygaśnie", domena aktualizacja-iko - równie dobrze można by napisać na początku: "SCAM". Jakby tego było - nadawcą tej wiadomości jest CabinetMed.

Skąd taki dziwny nadpis? Stawiałbym na szykowanie phishingu pod lekarzy i wykorzystanie tego napisu przez pomyłkę, z oszczędności albo z lenistwa. Choć patrząc na formę docelowej strony, która towarzyszy tym SMS-om, stawiałbym na to ostatnie. Tutaj oszuści nawet nie trudzili się, by stworzyć stronę w stylistyce banku, wrzucając niemal generyczną witrynę z monitami najpierw o numer klienta, a następnie o hasło do bankowości internetowej.

O ile więc ciężko mi uwierzyć, że przy tylu oczywistych powodach do niepokoju ktokolwiek wpisze tutaj swoje dane, warto uważać na kolejne wiadomości z nadpisu CabinetMed. Stawiam dolary przeciwko orzechom, że tym razem będą prowadził do podrobionych serwisów dla lekarzy.

Please prove you are human by selecting the heart.

*Wyrażam zgodę na przetwarzanie przez Orange Polska S.A. z siedzibą w Warszawie moich danych osobowych podanych w niniejszym formularzu w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska.

Administratorem Pani/Pana danych osobowych podanych w niniejszym formularzu jest Orange Polska S.A. z siedzibą w Warszawie, pod adresem Aleje Jerozolimskie 160, 02-326 Warszawa (dalej Orange Polska). Dane kontaktowe inspektora ochrony danych w Orange Polska: inspektorochronydanych@orange.com

Więcej o celu zbierania danych, przysługujących Pani/Panu prawach, o sposobie ich przetwarzania.

Pani/Pana dane zostaną umieszczone w bazie danych dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i wykorzystywane w celu kontaktu telefonicznego lub na wskazany adres e-mail, i przekazywania informacji skierowanych do mediów, w tym zawierających informacje handlowe, dotyczących Orange Polska S.A. oraz podmiotów wchodzących w skład Grupy Kapitałowej Orange Polska. Na podstawie podanych w formularzu informacji dotyczących redakcji, dla której Pani/Pan pracuje, może być Pani/Pan przypisana/y do odpowiedniego segmentu według kryterium tematycznego i terytorialnego redakcji, dzięki czemu będzie Pani/Pan otrzymywać komunikaty dostosowane do zasięgu terytorialnego i profilu tematycznego redakcji, dla której Pani/Pan pracuje.

Podstawą umieszczenia Pani/Pana danych w bazie dziennikarzy zainteresowanych otrzymywaniem komunikatów prasowych od Orange Polska i przekazywania skierowanych do mediów informacji telefonicznie lub przesyłania ich na podany adres e-mail będzie udzielona przez Panią/Pana zgoda. Przyporządkowanie do określonego segmentu stanowi natomiast realizację uzasadnionego interesu Orange Polska.

Podanie danych jest dobrowolne, nie stanowi obowiązku ustawowego ani umownego, nie jest też warunkiem zawarcia jakiejkolwiek umowy.

Pani/Pana dane będą przekazywane agencji Havas PR Warsaw, ul. Dziekońskiego 1, 00-728 Warszawa, która na zlecenie Orange Polska utrzymuje platformę informatyczną obsługującą serwis prasowy Orange Polska. Havas PR Warsaw może je przekazywać FreshMail Sp. z o.o. z siedzibą w Krakowie przy Al. 29 Listopada 155c, która obsługuje proces wysyłania komunikatów prasowych na podany przez Panią/Pana adres e-mail.

Podane w niniejszym formularzu dane będą przetwarzane do czasu odwołania zgody na ich przetwarzanie. Po odwołaniu zgody, Pani/Pana dane będą przetwarzane w okresie i dla celów dochodzenia i obrony przed roszczeniami.

Przysługuje Pani/Panu prawo do:

cofnięcia zgody w dowolnym momencie; przy czym cofnięcie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych na podstawie zgody w okresie przed jej cofnięciem,
żądania dostępu do Pani/Pana danych przetwarzanych przez Orange Polska,
sprostowania (poprawiania) danych,
usunięcia danych lub ograniczenia ich przetwarzania,
wniesienia sprzeciwu wobec przetwarzania danych,
przeniesienia danych, co oznacza prawo do otrzymania przez Panią/Pana danych przetwarzanych przez Orange Polska lub żądanie ich przeniesienia do innego podmiotu.

Zakres każdego z tych praw oraz sytuacje, w których można z nich skorzystać, wynikają z przepisów prawa. To, z którego uprawnienia może Pani/Pan skorzystać, zależeć będzie np. od podstawy prawnej oraz celu przetwarzania danych.

Jeśli uzna Pani/Pan, że Orange Polska przetwarza Pani/Pana dane niezgodnie z prawem może Pani/Pan wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.