Spis treści
- Jak rozpoznać fałszywe wezwanie do zapłaty
- Jak zweryfikować wezwanie do zapłaty bez ryzyka
- Co zrobić po kliknięciu w link, otwarciu załącznika lub wykonaniu przelewu
- Gdzie zgłosić fałszywe SMS-y, e-maile i strony
- Jakie przepisy dotyczą wyłudzeń i podszywania się
Cel oszustów jest prosty: przejęcie pieniędzy, danych logowania, danych karty lub zainfekowanie urządzenia złośliwym oprogramowaniem.
Jak rozpoznać fałszywe wezwanie do zapłaty
Fałszywe wezwanie do zapłaty rozpoznasz po połączeniu trzech elementów: presji czasu, linku lub załącznika oraz żądania płatności albo danych. Wiadomość często wygląda „urzędowo”, ale zdradzają ją szczegóły techniczne i sposób działania.
- Sprawdź adres nadawcy i domenę (literówki i dziwne końcówki oznaczają ryzyko).
- Zweryfikuj, czy wiadomość zawiera dane sprawy, dane odbiorcy i jasny powód żądania.
- Porównaj rachunek do płatności z rachunkiem używanym dotychczas lub z oficjalnymi informacjami instytucji.
- Nie klikaj w linki i nie otwieraj załączników, jeśli wiadomość dotyczy płatności lub „weryfikacji danych”.
- Nie podawaj danych logowania, danych karty (numer, data ważności, kod CVV) ani kodów autoryzacyjnych.
- Nie instaluj aplikacji „do weryfikacji” przesłanej w wiadomości.
Najbardziej ryzykowny schemat to „dopłać natychmiast” albo „potwierdź dane, aby odebrać zwrot” połączony z linkiem do strony łudząco podobnej do serwisu urzędowego lub bankowego.
| Sygnał ostrzegawczy | Co oznacza | Co zrób |
|---|---|---|
| Presja czasu i groźby | Wiadomość próbuje wymusić decyzję bez weryfikacji | Zatrzymaj reakcję i sprawdź sprawę innym kanałem |
| Link do „płatności” lub „potwierdzenia danych” | Ryzyko strony phishingowej i kradzieży danych | Wejdź na stronę instytucji ręcznie, bez klikania w link |
| Załącznik „wezwanie”, „decyzja”, „faktura” | Ryzyko złośliwego pliku | Nie otwieraj pliku i zgłoś incydent |
| Rachunek prywatny lub brak danych odbiorcy | Ryzyko przekierowania pieniędzy do oszustów | Zweryfikuj rachunek wyłącznie w oficjalnych źródłach |
| Błędy językowe i niespójna treść | Wiadomość bywa tworzona masowo i niedbale | Traktuj wiadomość jako podejrzaną i weryfikuj |
Jak zweryfikować wezwanie do zapłaty bez ryzyka
Bezpieczna weryfikacja polega na sprawdzeniu sprawy poza podejrzaną wiadomością, czyli bez klikania w linki, bez otwierania załączników i bez dzwonienia na numer podany w treści.
- Otwórz stronę instytucji ręcznie w przeglądarce i znajdź oficjalne informacje o płatnościach lub komunikaty ostrzegawcze.
- Zadzwoń na oficjalny numer telefonu ze strony instytucji i zapytaj o sprawę.
- Sprawdź, czy masz potwierdzenie zobowiązania w bezpiecznym kanale (np. w panelu klienta lub w oficjalnym serwisie danej instytucji).
- Porównaj dane płatności z wcześniejszymi płatnościami lub oficjalnymi instrukcjami (nazwa odbiorcy, rachunek, tytuł).
Oszustwo działa wtedy, gdy płatność lub podanie danych następuje bez weryfikacji nadawcy i bez sprawdzenia, dokąd prowadzi link.
Co zrobić po kliknięciu w link, otwarciu załącznika lub wykonaniu przelewu
Najważniejsze działania to szybki kontakt z bankiem oraz zabezpieczenie kont i urządzeń. Kolejne kroki zależą od tego, co dokładnie się wydarzyło.
| Sytuacja | Pierwszy krok | Dalsze działania |
|---|---|---|
| Wpisałeś dane logowania lub dane karty | Zmień hasło natychmiast | Skontaktuj się z bankiem, zastrzeż kartę, włącz dodatkowe zabezpieczenia kont |
| Wykonałeś przelew lub płatność | Skontaktuj się z bankiem natychmiast | Poproś o weryfikację możliwości wstrzymania lub odzyskania środków i zachowaj potwierdzenia |
| Otworzyłeś podejrzany załącznik | Odłącz urządzenie od internetu | Przeskanuj system i sprawdź, czy nie doszło do nieautoryzowanych logowań |
| Kliknąłeś link, ale nic nie wpisałeś | Zamknij stronę | Sprawdź historię logowań i zachowaj czujność przy kolejnych wiadomościach |
Gdzie zgłosić fałszywe SMS-y, e-maile i strony
Zgłoszenie incydentu pomaga blokować złośliwe domeny i ostrzegać innych użytkowników. Zgłaszaj podejrzane wiadomości i strony do zespołów reagowania na incydenty.
- Przekaż podejrzany SMS na numer 8080 używając funkcji „przekaż” lub „udostępnij”.
- Zgłoś podejrzaną stronę lub wiadomość przez formularz zgłoszeniowy CERT Polska.
- Zachowaj dowody: wiadomość, nagłówki e-mail, zrzuty ekranu i potwierdzenia transakcji.
Numer 8080 służy do zgłaszania podejrzanych SMS-ów. Z jednego numeru można zgłosić maksymalnie 3 wiadomości w ciągu 4 godzin.
Jakie przepisy dotyczą wyłudzeń i podszywania się
Fałszywe wezwania do zapłaty łączą się z różnymi czynami zabronionymi, w tym z wyłudzeniem pieniędzy, wyłudzeniem komputerowym, bezprawnym dostępem do informacji i podszywaniem się pod inną osobę. Kwalifikacja zależy od konkretnego sposobu działania sprawcy i skutków po stronie pokrzywdzonego.
Rekomendacje PITax
Weryfikuj płatności wyłącznie w bezpiecznym kanale. Zatrzymuj reakcję na wiadomości z presją czasu. Zgłaszaj podejrzane SMS-y i linki, zanim ktoś inny straci pieniądze.
Źródła:
- art. 286 § 1 i art. 287 § 1 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (t.j. Dz.U. z 2025 r. poz. 383),
- art. 190a § 2 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (t.j. Dz.U. z 2025 r. poz. 383),
- art. 267 § 1 i art. 267 § 2 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (t.j. Dz.U. z 2025 r. poz. 383),
- Komunikat Ministerstwa Finansów: „Uwaga na fałszywe maile o zwrocie nadpłaty podatku PIT”, serwis gov.pl,
- Poradnik: „Dostałeś niepokojący sms albo email? Zgłoś go do CERT Polska (CSIRT NASK)”, serwis gov.pl,
