„Dopłać 2,99 zł do paczki” — anatomia smishingu kurierskiego
Fałszywe SMS-y o dopłacie do przesyłki to jeden z najczęstszych scenariuszy phishingu w Polsce. Wyjaśniamy, dlaczego mała kwota jest celowa.
„Twoja paczka czeka na doręczenie. Wymagana dopłata 2,99 zł.” Ten SMS zna dziś chyba każdy. To jeden z najbardziej masowych scenariuszy smishingu w Polsce — i choć wygląda banalnie, jego konstrukcja jest przemyślana w każdym detalu.
Dlaczego kwota jest tak niska
Dwa–trzy złote to nie przypadek. Chodzi o wyłączenie czujności. Przy 2,99 zł nikt nie analizuje transakcji tak, jak przy 500 zł. Ofiara myśli „szkoda czasu, dopłacę”, klika i wpisuje dane karty na fałszywej bramce płatności. A prawdziwym celem nigdy nie była ta drobna kwota — jest nim przechwycenie danych karty albo, jak w nowszych wariantach, dodanie karty do portfela cyfrowego przestępcy.
Mała kwota pełni jeszcze jedną funkcję: obniża prawdopodobieństwo, że bank oznaczy transakcję jako podejrzaną.
Elementy, które się powtarzają
Kampanie kurierskie różnią się szyldem (InPost, DHL, Poczta Polska, „kurier”), ale mechanika jest wspólna:
- Pretekst logistyczny — coś, czego wielu ludzi faktycznie się spodziewa (paczka w drodze).
- Presja — „przesyłka wróci do nadawcy”, „ostatnia próba doręczenia”.
- Link do domeny udającej firmę kurierską, często z drobną literówką lub dodatkowym członem (
inpost-doplata.infozamiast oficjalnej domeny). - Fałszywa bramka płatności imitująca Przelewy24 czy PayU.
Jak odróżnić prawdziwe powiadomienie
Firmy kurierskie komunikują dopłaty i cła w aplikacji lub e-mailem z konta, a nie przez losowy SMS z linkiem do płatności kartą. Numer przesyłki zawsze można sprawdzić samodzielnie — wchodząc na oficjalną stronę przewoźnika wpisaną ręcznie, nie z linka.
Praktyczny test: zanim klikniesz, przeczytaj pełną domenę w adresie. Wszystko przed pierwszym pojedynczym / po https:// musi kończyć się prawdziwą nazwą firmy. inpost.pl.track-id.co to domena track-id.co, nie InPost.
Obrona w praktyce
Zasada jest prosta i skuteczna: nie płać z linku w SMS-ie. Jeśli spodziewasz się paczki, wejdź do aplikacji przewoźnika. Włącz powiadomienia push i limity w banku, korzystaj z kart wirtualnych do płatności internetowych (łatwo je zastrzec), a podejrzane wiadomości przekazuj pod numer 8080 do CERT Polska — dzięki temu domeny trafiają szybciej na listę ostrzeżeń.
Smishing kurierski to podręcznikowy przykład tego, że socjotechnika bije technologię. Nie ma tu żadnej luki w telefonie — jest tylko dobrze dobrany pretekst i nasz pośpiech.
Podobne kampanie regularnie trafiają też na telefony służbowe. Jeśli chcesz sprawdzić, jak Twój zespół reaguje na smishing, zobacz nasze testy socjotechniczne i szkolenia albo napisz do nas.
Źródła i dalsza lektura: CERT Polska — lista ostrzeżeń, Niebezpiecznik, CERT Orange Polska. Zgłoś fałszywy SMS pod numer 8080.