Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w lutym 2026 roku, gdzie wskazujemy na schematy działania cyberprzestępców.
W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:
FAŁSZYWE INWESTYCJE
W lutym 2026 roku analitycy CSIRT KNF zgłosili do blokady 550 fałszywych profili (347 w styczniu’25), które publikowały reklamy fałszywych inwestycji. W scenariuszu znanym pod nazwą „fraud inwestycyjny” cyberprzestępcy podszywają się pod znane osoby lub instytucje, celem nakłonienia potencjalnej ofiary do zainwestowania środków i otrzymania wysokiej stopy zwrotu. W rzeczywistości prowadzą grę psychologiczną, mającą na celu narażanie ofiary na wysokie starty finansowe.
Fałszywe oferty dystrybuowane były poprzez reklamy na platformie Facebook. Cyberprzestępcy niezmiennie próbowali obchodzić mechanizmy ochrony wizerunku stosowane przez firmę Meta. Oszuści w zamieszczanych reklamach fałszywych inwestycji wciąż wykorzystywali wizerunki osób zmarłych, które znane są ze świata medialnego. Fałszywe reklamy zachęcały sensacyjnymi informacjami dotyczącymi rzekomego testamentu zmarłych osób.
Cyberprzestępcy publikowali także reklamy na Facebooku, w których informowali o rzekomej możliwości odzyskania utraconych wcześniej pieniędzy. W rzeczywistości była to ponowna próba oszukania osób, które już wcześniej padły ofiarą oszustwa i dały się nabrać na ten scenariusz (rys.1).
Rysunek 1 Fałszywe inwestycje – reklamy na platformie Facebook
Ofiary na fałszywych stronach zachęcane były do dokonania rejestracji. W dalszej części oszustwa cyberprzestępcy kontaktowali się z ofiarami i namawiali do zainwestowania oszczędności. Cyberprzestępcy, aby uwiarygodnić swoje oszustwa podszywali się m. in. pod portal Gov.pl (rys. 2).
Rysunek 2 Fałszywe inwestycje – podszycie pod portal Gov.pl
PODSZYCIA BEZPOŚREDNIO POD BANKI
Przestępcy wykorzystują wizerunek znanych instytucji, aby zwiększać wiarygodność kampanii phishingowych, dlatego też regularnie podszywają się pod polskie Banki. Wyłudzają w ten sposób m.in informacje o kartach płatniczych, dane uwierzytelniające do bankowości elektronicznej, czy kody BLIK. W lutym 2026 roku nadal wykorzystywali ten sposób. Zidentyfikowane kampanie phishingowe wykorzystywały wizerunki m.in.:
FAŁSZYWE REKLAMY OFERUJĄCE NAGRODĘ PIENIĘŻNĄ
Cyberprzestępcy podszywając się pod PO BP publikowali reklamy na portalu Facebook. Pod pretekstem rzekomej możliwości otrzymania dodatkowych pieniędzy wyłudzali dane uwierzytelniające do bankowości elektronicznej.
Wygląd fałszywych reklam publikowanych w mediach społecznościowych (rys. 3):
Rysunek 3 Fałszywe reklamy, w których cyberprzestępcy podszywali się pod PKO BP
NIE MOŻEMY ZWERYFIKOWAĆ TWOICH DANYCH, CZYLI PODSZYCIE POD CREDIT AGRICOLE
Cyberprzestępcy podszywając się pod Credit Agricole wysyłali wiadomości e-mail informując o rzekomych problemach z kontem i konieczności dokonania weryfikacji swoich danych. Oszuści zachęcali do kliknięcia w zawarty w wiadomości, link. W rzeczywistości prowadził on na stronę phishingową, podszywającą się pod wskazany bank i wyłudzającą dane logowania do bankowości elektronicznej.
Wygląd fałszywej wiadomości e-mail oraz strony phishingowej wykorzystywanych w opisywanej kampanii(rys. 4):
Rysunek 4 Podszycie pod Credit Agricole – wiadomość e-mail oraz strona phishignowa
FAŁSZYWA STRONA IPKO BIZNES WYPOZYCJONOWANA W WYSZUKIWARCE BING
W ostatni miesiącu spotkać można było także fałszywą witrynę podszywającą się pod iPKO Biznes, która pojawiała się wysoko w wynikach wyszukiwania Bing. Po wejściu w link użytkownik trafiał na niebezpieczną stronę, na której oszuści wyłudzali dane logowania do bankowości elektronicznej.
Fałszywa witryna pojawiająca się wysoko w wynikach wyszukiwania Bing (rys. 5):
Rysunek 5 Podszycie pod iPKO Biznes – fałszywa witryna w wyszukiwarce Bing
FAŁSZYWE SKLEPY INTERNETOWE
Cyberprzestępcy w ostatnim miesiącu tworzyli fałszywe strony, gdzie podszywali się pod popularne marki takie jak: CCC, Sizeer, Deichmann. Oszuści na niebezpiecznych stronach zachęcali atrakcyjnymi cenami i wyłudzali dane kart płatniczych użytkowników.
Wygląd fałszywych stron tworzonych przez cyberprzestępców (rys. 6-8):
Rysunek 6 Fałszywe sklepy – podszycie pod CCC
Rysunek 7 Fałszywe sklepy – podszycie pod sklep Sizeer
Rysunek 8 Fałszywe sklepy – podszycie pod Deichmann
KONTROLA PODATKOWA, CZYLI PODSZYCIE POD KRAJOWĄ ADMINISTRACJĘ SKARBOWĄ
Przestępcy podszywając się pod Krajową Administrację Skarbową (KAS) przesyłali fałszywe wiadomości, w których informowali o rzekomym zamiarze wszczęcia kontroli podatkowej. Po kliknięciu w przycisk „Przejdź do szczegółów”, użytkownik zostawał przekierowany na stronę, na której oszuści wyłudzali dane logowania do Profilu Zaufanego oraz poświadczenia logowania do bankowości elektronicznej.
Fałszywa wiadomość e-mail, którą przesyłali cyberprzestępcy (rys. 9):
Rysunek 9 Wygląd fałszywej wiadomości e-mail, w której oszuści podszywali się pod KAS
Rysunek 10 Fałszywa strona wykorzystująca wizerunek portalu Gov.pl, na której oszuści wyłudzali dane użytkowników
NOWA SESJA URUCHOMIONA NA URZĄDZENIU MOBILNYM
Przestępcy podszywając się pod portal Gov.pl przesyłali fałszywe wiadomości e-mail, w których informowali o rzekomej nowej sesji uruchomionej na urządzeniu mobilnym i wymagali pilnego kontaktu telefonicznego z pomocą techniczną. W rzeczywistości była to próba wyłudzenia danych, kodów autoryzacyjnych oraz nakłonienia do wykonania działań na szkodę użytkownika.
Fałszywa wiadomość e-mail, w której oszuści podszywali się pod portal Gov.pl (rys. 11):
Rysunek 11 Fałszywa wiadomość e-mail przesyłana przez cyberprzestępców
OPŁAĆ NALEŻNOŚĆ CELNĄ
W ostatnim miesiącu cyberprzestępcy przesyłali fałszywe wiadomości e-mail, w których informowali użytkowników o tym iż doręczenie przesyłki zostało wstrzymane z powodu nieuregulowanych opłat celnych. W treści wiadomości znajdował się link przekierowujący do fałszywej strony, która łudząco przypominała witrynę Poczty Polskiej. W rzeczywistości była to próba wyłudzenia informacji o kartach płatniczych użytkowników.
Fałszywa wiadomość e-mail podszywająca się pod Pocztę Polską (rys. 12):
Rysunek 12 Fałszywa wiadomość e-mail – podszycie pod Pocztę Polską
Wygląd strony phishingowej wykorzystywanej w opisywanej kampanii (rys. 13):
Rysunek 13 Wygląd fałszywej strony wyłudzającej dane kart płatniczych użytkowników
KWALIFIKUJESZ SIĘ DO REFUNDACJI, CZYLI PODSZYCIE POD NFZ
Cyberprzestępcy przygotowali kampanię phishingową podszywającą się pod NFZ. Oszuści przesyłali fałszywe wiadomości e-mail, w których informowali o możliwości zwrotu wydatków medycznych. Aby to było możliwe, oszuści wymagali podania swoich danych osobowych oraz informacji o kartach płatniczych.
Fałszywa wiadomość e-mail podszywająca się pod NFZ (rys. 14):
Rysunek 14 Fałszywa wiadomość e-mail, w której cyberprzestępcy podszywali się pod NFZ
Wygląd strony phishingowej wykorzystywanej w opisywanej kampanii (rys. 15):
Rysunek 15 Wygląd fałszywej strony wyłudzającej informacje o kartach płatniczych użytkowników – podszycie pod NFZ
UREGULUJ ZALEGŁOŚCI NA SWOIM KONCIE
Cyberprzestępcy przygotowali także kampanię phishingową podszywającą się pod serwis Allegro. W fałszywych wiadomościach e-mail informowali o rzekomej zaległości związanej z korzystaniem z usług. W rzeczywistości, po kliknięciu w link użytkownik trafiał na niebezpieczną stronę, na której wyłudzane były informacje o kartach płatniczych.
Fałszywa wiadomość e-mail podszywająca się pod serwis Allegro (rys.16):
Rysunek 16 Fałszywa wiadomość e-mail podszywająca się pod serwis Allegro
Rysunek 17 Wygląd fałszywej strony wyłudzającej informacje o karatach płatniczych użytkowników
DYSTRYBUCJA ZŁOŚLIWEGO OPROGRAMOWANIA – FAŁSZYWA APLIKACJA MOBILNA
Cyberprzestępcy przygotowali fałszywą aplikację podszywającą się pod mBank. Aplikacja występowała pod nazwą Klucz Bezpieczeństwa mBank i po uruchomieniu informowała o wymaganym komponencie Play. Instalacja komponentu prowadziła użytkownika przez kolejne kroki, związane z przydzieleniem uprawnień do Funkcji Dostępności, mogących skutkować potencjalnym przejęciem kontroli nad urządzeniem.
Wygląd fałszywej aplikacji (rys.18):
Rysunek 18 Fałszywa aplikacja podszywająca się pod mBank
