Aktualności

Ostrzezenie — falszywe SMS-y o paczkach InPost i kurierach

Kampania fałszywych SMS-ów o paczkach InPost i kurierach nadal zbiera ofiary. Pokaz jak rozpoznac smishing, jakie linki sa falszywe i co robic gdy kliknales.

Redakcja Bezpieczny Internet Ostatnia aktualizacja
Spis treści
  1. Czym jest smishing i dlaczego akurat paczki?
  2. Jak wygląda taka wiadomość?
  3. Jak wygląda fałszywa strona?
  4. Jak rozpoznać fałszywy SMS?
  5. Co zrobić, gdy dostałeś podejrzanego SMS-a?
  6. Co zrobić, gdy już kliknąłeś?
  7. Szczególna ostrożność w sezonie zakupowym
  8. Co zrobić teraz?

Czekasz na paczkę. Dostajesz SMS-a: „Twoja paczka InPost oczekuje na dostawę. Ze względu na niezgodność adresu wymagana dopłata 1,99 zł. Kliknij link, aby uregulować płatność w ciągu 24 godzin.” Link wygląda przekonująco. Termin nagli. Dopłata wydaje się symboliczna.

To nie jest InPost. To jest smishing — i ta kampania zbiera ofiary w Polsce od lat, bo jest skuteczna.

Czym jest smishing i dlaczego akurat paczki?

Smishing to phishing przez SMS. Przestępcy podszywają się pod znane marki — kurierów, banki, urzędy — i przez fałszywe wiadomości prowadzą ofiary na strony wyłudzające dane płatnicze lub logowania.

InPost to wyjątkowo skuteczna przykrywka, bo:

  • Polska ma jedną z najgęstszych sieci Paczkomatów na świecie
  • Polacy zamawiają przez internet coraz więcej i coraz częściej czekają na przesyłkę
  • Kwota 1,99 zł jest na tyle mała, żeby nie wzbudzać podejrzeń
  • SMS o „problemie z dostawą” trafia w emocje — nie chcesz stracić paczki przez drobnostkę

CERT Polska co roku wymienia fałszywe SMS-y o paczkach w czołówce najczęściej zgłaszanych kampanii. To nie jest nowe zagrożenie — ale stale ewoluuje i nadal skutecznie oszukuje.

Jak wygląda taka wiadomość?

Oto typowe warianty, jakie krążą w Polsce:

Wariant 1 — InPost, dopłata adresowa:

„InPost: Twoja paczka [nr śledzenia] nie może być dostarczona z powodu niezgodności adresu. Opłata weryfikacyjna: 1,99 PLN. Link: inpost-dostawa[.]pl/weryfikacja”

Wariant 2 — Poczta Polska, cło:

„PocztaPolska: Twoja przesyłka oczekuje na odprawę celną. Dopłata celna: 3,20 PLN. Brak płatności = zwrot do nadawcy. [link]”

Wariant 3 — DHL/DPD, zmiana adresu:

„DHL Express: Nie mogliśmy dostarczyć Twojej paczki. Zmień adres dostawy: [link] Termin: 24h”

Wariant 4 — InPost, blokada Paczkomatu:

„Twój dostęp do InPost Mobile jest tymczasowo zawieszony. Zweryfikuj konto: [link]”

Warianty zmieniają się co kilka tygodni, ale schemat jest ten sam: pilność + mała kwota lub rzekomy problem + link do fałszywej strony.

Jak wygląda fałszywa strona?

Po kliknięciu w link ląduje się na stronie, która wygląda jak InPost lub inna firma kurierska. Jest logo, kolory firmowe, formularz płatności. Strona może mieć nawet certyfikat SSL (kłódka w pasku przeglądarki) — to już dawno przestało być dowodem bezpieczeństwa.

Na fałszywej stronie proszą o:

  • Numer karty płatniczej, datę ważności, CVV
  • Dane logowania do banku lub konta
  • W bardziej zaawansowanych przypadkach — kod SMS z banku (autoryzacyjny)

Gdy podasz numer karty, masz kilka minut. Przestępcy od razu próbują obciążyć kartę lub zapamiętują dane do późniejszego użycia. Kwota 1,99 zł to pretekst — docelowe straty bywają setki lub tysiące złotych.

Jak rozpoznać fałszywy SMS?

Zanim klikniesz, sprawdź:

1. Adres URL. Prawdziwy InPost używa domeny inpost.pl. Fałszywe strony to np.:

  • inpost-weryfikacja.pl
  • inpost.dostawa-pl.com
  • pl-inpost.xyz
  • inpost[.]pl.dostawa.net (domena to dostawa.net, nie inpost.pl)

Zasada prosta: domena musi kończyć się na .inpost.pl, nie być domeną, która zawiera słowo „inpost”.

2. Numer nadawcy. Prawdziwy InPost wysyła SMS-y z krótkich numerów lub z podpisanego nadawcy (np. „InPost”). Losowy długi numer z zagranicy to zły znak — ale uwaga: przestępcy potrafią też podszywać się pod oficjalne numery (spoofing), więc sam numer nie wystarczy.

3. Treść. InPost nigdy nie prosi o dopłatę przez link w SMS-ie. Wszelkie problemy z dostawą rozwiązujesz przez aplikację InPost Mobile lub inpost.pl.

4. Emocje, które wzbudza. Pośpiech, strach przed utratą paczki, niska kwota, która „nie boli” — to są techniki manipulacji, nie komunikacja serwisowa.

Więcej o smishingu jako metodzie: Smishing: co to jest i jak rozpoznać fałszywy SMS?

Co zrobić, gdy dostałeś podejrzanego SMS-a?

  1. Nie klikaj w link. To najważniejsza zasada.
  2. Prześlij wiadomość na numer 8080. Wyślij podejrzanego SMS-a w całości na numer 8080 (bezpłatne, obsługiwane przez CERT Polska i UKE). Pomożesz zablokować kampanię dla innych.
  3. Sprawdź status paczki przez oficjalne kanały. Wejdź bezpośrednio na inpost.pl lub otwórz aplikację. Jeśli problem jest prawdziwy — zobaczysz go tam.
  4. Zignoruj i usuń wiadomość. Nie musisz odpowiadać.

Co zrobić, gdy już kliknąłeś?

Jeśli tylko kliknąłeś w link, ale nic nie wpisałeś — najprawdopodobniej nic się nie stało. Sprawdź na wszelki wypadek, czy na urządzeniu nie zainstalowało się żadne nowe oprogramowanie (zwróć uwagę na nieznane aplikacje).

Jeśli podałeś dane karty płatniczej lub logowania do banku:

  1. Natychmiast zadzwoń do banku — numer na odwrocie karty lub 24-godzinna infolinia. Poproś o zastrzeżenie karty i sprawdzenie transakcji.
  2. Możesz też zablokować kartę przez aplikację mobilną banku (PKO BP: „Zablokuj kartę”, mBank: „Karta — Zablokuj”, ING: analogicznie).
  3. Zgłoś incydent do CERT Polska na incydent.cert.pl.
  4. Złóż zawiadomienie na policji — online lub na komisariacie. To ważne nie tylko dla twojej sprawy, ale dla statystyk i dalszego ścigania sprawców.
  5. Zastrzeż PESEL, jeśli podałeś dane osobowe. Więcej: Ochrona PESEL — jak zastrzec numer i co zrobić po kradzieży

Szczególna ostrożność w sezonie zakupowym

Kampanie smishingowe nasilają się w konkretnych momentach roku:

  • Przed Bożym Narodzeniem — rekordowy ruch kurierski, więcej paczek = więcej ofiar podatnych na fałszywy alarm
  • Black Friday / Cyber Monday
  • Wakacje — wiele osób zamawia przez Aliexpress, Shein i inne platformy z długimi terminami dostawy, co ułatwia manipulację

W tych okresach warto być szczególnie czujnym i dwukrotnie sprawdzać każdego SMS-a o paczce.

Co zrobić teraz?

1. Zapisz numer 8080 w kontaktach. Gdy dostaniesz podejrzanego SMS-a, jedno kliknięcie i przekazujesz zgłoszenie do CERT Polska.

2. Pobierz aplikację InPost Mobile i sprawdzaj status paczek wyłącznie przez nią. Zaufane źródło wyeliminuje potrzebę klikania w linki z SMS-ów.

3. Pokaż ten artykuł rodzicom i dziadkom. Osoby starsze i mniej oswojone z zakupami online są szczególnie narażone — dopłata 1,99 zł wydaje się drobnostką, a konsekwencje bywają poważne.

4. Jeśli cokolwiek wpisałeś — działaj natychmiast, nie jutro. Czas ma kluczowe znaczenie przy kradzieży danych karty. Bank może zablokować nieautoryzowane transakcje, jeśli zgłosisz incydent szybko.

5. Zapoznaj się z zasadami ochrony przed phishingiem. Smishing to odmiana phishingu — te same zasady obowiązują. Przewodnik: Jak chronić się przed phishingiem? Praktyczny poradnik

Fałszywe SMS-y o paczkach to nie nowe zagrożenie, ale ewoluuje i nadal skutecznie oszukuje tysiące Polaków rocznie. Jedyna skuteczna ochrona to wiedza i nawyk weryfikacji przez oficjalne kanały — zanim klikniesz w cokolwiek.

Najczęściej zadawane pytania o falszywy SMS InPost paczka

Jak sprawdzic, czy moj paczkomat naprawde czeka na odbiór?

Wejdz bezposrednio na inpost.pl lub sprawdz aplikacje InPost Mobile. Jesli paczka na ciebie czeka, informacja bedzie tam — bez zadnych doplatac i bez SMS-ow z linkami do zewnetrznych stron.

Co zrobic, jesli podałem numer karty na falsywej stronie?

Natychmiast zadzwon na infolinie swojego banku i zastrzez karte. Mozesz to zrobic rowniez przez aplikacje bankowa. Nastepnie zglos incydent na incydent.cert.pl i na policje.

Nie daj się oszukać w sieci

Praktyczne poradniki, niezależne testy i jasne porównania — wszystko po polsku, bez marketingowej ściemy.

Czytaj poradniki Sprawdź narzędzia