Fałszywe SMS od InPost — jak nie dać się okraść

„Twoja paczka czeka — dopłać 1,49 zł, aby ją odblokować.” Ten SMS dostał już prawie każdy Polak. Fałszywe wiadomości podszywające się pod InPost to jeden z najczęstszych schematów smishingu w Polsce — i jeden z najbardziej skutecznych, bo trafia w moment, gdy naprawdę czekasz na przesyłkę.

CERT Polska odnotował ponad 600 tys. zgłoszeń incydentów w 2024 roku, o 62% więcej niż rok wcześniej. Spora część z nich to właśnie fałszywe SMS-y z linkami do stron phishingowych.

Jak wygląda fałszywy SMS od InPost

Wiadomość przychodzi z numeru, który na pierwszy rzut oka wygląda na InPost — czasem jest to nawet ten sam wątek SMS-ów, co poprzednie prawdziwe powiadomienia (technika zwana SMS spoofingiem).

Typowe sformułowania:

• „Twoja paczka jest gotowa do odbioru. Wymagana dopłata: 1,49 zł. Kliknij: [link]”
• „Paczka wstrzymana. Uzupełnij adres i opłać 0,99 zł: [link]”
• „Przesyłka oczekuje na pobranie opłaty celnej. Termin: 24h. [link]”

Kwota jest zawsze niska — żeby zmniejszyć czujność. Przy zakupie za 300 zł dodatkowe 1,49 zł wydaje się błahostką.

Co kryje się za linkiem

Po kliknięciu trafiasz na stronę, która wygląda jak prawdziwa witryna InPost, DHL, DPD lub Poczty Polskiej. Ma logo, kolory, układ zbliżony do oryginału. Formularz prosi o:

• numer karty płatniczej
• datę ważności i kod CVV
• czasem też o imię, nazwisko i adres

Podając te dane, przekazujesz przestępcom wszystko, czego potrzebują, by zrealizować płatność kartą bez jej fizycznego posiadania (tzw. transakcja CNP — Card Not Present).

Więcej o tym, jak rozpoznać takie strony, znajdziesz w artykule Jak chronić się przed phishingiem? Praktyczny poradnik.

Jak odróżnić fałszywą stronę od prawdziwej

Sprawdź adres URL — to najważniejszy krok. Prawdziwe domeny to:

• inpost.pl (tylko ta domena)
• inpost.pl/twoja-paczka

Fałszywe adresy to np.:

• inpost-paczka.pl
• inpost.platnosc-online.pl
• inpost.eu-delivery.net

Zasada jest prosta: jeśli przed .pl lub po inpost jest cokolwiek poza ukośnikiem ścieżki — to oszustwo.

Sprawdź, czy strona pyta o CVV — InPost nigdy nie prosi o dane karty przez SMS. Żadna opłata za paczkę nie odbywa się przez formularz z numerem karty.

Dlaczego to działa tak skutecznie

Kilka czynników sprawia, że ten schemat jest wyjątkowo efektywny:

Moment zakupu — SMS przychodzi, gdy czekasz na zamówienie z Allegro, Zalando lub innego sklepu. Twój mózg jest już „w trybie paczki”.

Mała kwota — mniej niż 2 zł nie wyzwala alarmu finansowego. A skutki mogą być dużo poważniejsze.

Presja czasu — „24 godziny”, „dziś ostatni dzień” — to klasyczne techniki wywierania presji, które wyłączają krytyczne myślenie.

Wiarygodny wygląd — fałszywe strony są coraz lepiej wykonane, czasem nieodróżnialne wizualnie od oryginału.

To typowy Smishing: co to jest i jak rozpoznać fałszywy SMS? — szczegółowy opis tej techniki znajdziesz w osobnym artykule.

Co zrobić, gdy podałeś dane karty

Czas gra kluczową rolę. Im szybciej zareagujesz, tym większa szansa na uratowanie pieniędzy.

1. Zadzwoń natychmiast do banku — numer jest na odwrocie karty lub w aplikacji. PKO BP: 81 201 1000, mBank: 42 6 300 800, ING: 32 357 00 69. Poproś o zastrzeżenie karty.
2. Sprawdź historię transakcji — czy pojawiły się nieautoryzowane płatności.
3. Zmień hasło do bankowości internetowej — jeśli strona pytała też o login.
4. Złóż reklamację — bank może zwrócić środki, jeśli transakcja była nieautoryzowana.

Warto też sprawdzić, czy twoje dane nie trafiły do innych baz — Jak sprawdzić, czy moje dane wyciekły? Przewodnik krok po kroku pozwoli ci to zweryfikować.

Jak sprawdzić prawdziwy status paczki

Zamiast klikać w link z SMS-a, zawsze korzystaj z oficjalnych kanałów:

• Aplikacja InPost — masz tam powiadomienia push bez żadnych linków do klikania
• inpost.pl/sledzenie-paczki — wpisz numer przesyłki ręcznie
• Aplikacja sklepu, gdzie robiłeś zakupy — Allegro, Zalando, Shein i inne mają wbudowane śledzenie paczek

Jeśli nie masz numeru przesyłki, sprawdź email z potwierdzeniem zamówienia — jest tam link do śledzenia.

Jak chronić się na przyszłość

Kilka nawyków znacząco obniża ryzyko:

• Nie klikaj w linki z SMS-ów od firm kurierskich — zawsze wchodź na stronę ręcznie
• Zainstaluj aplikację swojego banku i włącz powiadomienia push o transakcjach
• Zastanów się nad limitem transakcji online — w ustawieniach karty możesz ograniczyć maksymalną kwotę płatności internetowej
• Używaj kart wirtualnych do płatności online — wiele banków oferuje jednorazowe numery kart

Przy okazji warto zadbać o Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć w bankowości online — dodatkowy krok weryfikacji znacznie utrudnia nieautoryzowane logowanie.

Co zrobić teraz?

1. Sprawdź skrzynkę SMS — jeśli masz podejrzane wiadomości od „InPost”, nie klikaj i usuń je.
2. Prześlij fałszywego SMS-a na numer 8080 — to bezpłatna usługa CERT Polska do zgłaszania smishingu.
3. Sprawdź historię transakcji w banku — czy nie ma nieznanych płatności z ostatnich dni.
4. Włącz powiadomienia push w aplikacji bankowej — będziesz wiedzieć o każdej transakcji w czasie rzeczywistym.
5. Poinformuj rodzinę — szczególnie osoby starsze, które mogą nie znać tego schematu.