Fałszywy SMS od mObywatela to nowa próba oszustwa wymierzona w użytkowników usług publicznych w Polsce. Wiadomość wygląda wyjątkowo wiarygodnie, bo może pojawić się w tym samym wątku, w którym wcześniej znajdowały się prawdziwe SMS-y od rządowej platformy. To jednak nie oznacza, że aplikacja mObywatel została zhakowana. Chodzi o podszycie się pod nazwę nadawcy i przekierowanie ofiary na fałszywą stronę.
Oszuści informują w wiadomości o rzekomym przekroczeniu prędkości i zachęcają do sprawdzenia statusu mandatu. Link prowadzi do strony udającej serwis rządowy, na której użytkownik proszony jest o podanie danych, a następnie o opłacenie fikcyjnego mandatu kartą płatniczą. W praktyce może to skończyć się utratą pieniędzy.
W tym artykule wyjaśniamy, jak działa oszustwo na mObywatela, dlaczego fałszywy SMS może wyglądać tak przekonująco i co zrobić, jeśli taka wiadomość trafiła na telefon.
Fałszywy SMS od mObywatela – na czym polega oszustwo?
Nowa kampania SMS-owa wykorzystuje zaufanie do aplikacji mObywatel. Użytkownik otrzymuje wiadomość, której nadawcą rzekomo jest mObywatel. W treści pojawia się informacja o zarejestrowanym przekroczeniu prędkości oraz prośba o sprawdzenie statusu mandatu.
Najbardziej niebezpieczny element tego ataku polega na tym, że fałszywa wiadomość może trafić do tego samego wątku SMS, w którym znajdują się wcześniejsze, prawdziwe komunikaty od rządowej usługi. To znacząco zwiększa wiarygodność oszustwa, bo wiele osób automatycznie uznaje taki komunikat za autentyczny.
Serwisy zajmujące się cyberbezpieczeństwem zwracają uwagę, że przestępcy wykorzystali spoofing, czyli podszycie się pod nazwę nadawcy SMS. W praktyce oznacza to, że na ekranie telefonu może pojawić się zaufana nazwa, mimo że wiadomość wcale nie została wysłana przez prawdziwy system mObywatel. Sekurak opisał, że fałszywy SMS pojawia się w tym samym wątku co prawdziwe wiadomości, a link prowadzi do strony udającej sprawdzenie mandatu.
Czy mObywatel został zhakowany?
Nie ma podstaw, aby twierdzić, że aplikacja mObywatel została zhakowana. To ważne rozróżnienie, bo w tym przypadku problem nie polega na przejęciu samej aplikacji, lecz na podszywaniu się pod jej nazwę w wiadomościach SMS.
To klasyczny przykład smishingu, czyli phishingu prowadzonego przez SMS-y. Przestępcy nie muszą włamywać się do aplikacji, aby wykorzystać jej rozpoznawalność. Wystarczy, że przygotują wiadomość wyglądającą jak oficjalny komunikat i dodadzą link do fałszywej strony.
Mechanizm jest szczególnie groźny, bo bazuje na pośpiechu i stresie. Mandat, przekroczenie prędkości, ryzyko dodatkowych kosztów — to wszystko ma skłonić użytkownika do szybkiego kliknięcia, bez spokojnego sprawdzenia adresu strony.
Fałszywa strona udaje serwis rządowy
Po kliknięciu w link użytkownik trafia na stronę, która ma przypominać oficjalny serwis publiczny. Może znajdować się na niej godło, elementy graficzne podobne do rządowych oraz adres zawierający słowa kojarzące się z administracją, np. „gov” lub „pl”. To jednak nie wystarcza, aby uznać stronę za prawdziwą.
Najważniejszy jest pełny adres domeny. Oficjalne serwisy rządowe działają w domenie gov.pl lub w oficjalnych domenach powiązanych z usługą. Jeśli adres tylko udaje rządowy, zawiera dodatkowe człony, dziwne końcówki albo podejrzane znaki, należy zamknąć stronę i niczego nie wpisywać.
Niebezpiecznik opisał, że po wejściu na fałszywą stronę ofiara może zobaczyć informację o rzekomym mandacie na 200 zł, a następnie formularz proszący o podanie danych karty płatniczej. Według opisu ataku, wprowadzenie danych i zatwierdzenie operacji w aplikacji bankowej może pozwolić przestępcom na dodanie karty do cyfrowego portfela i wykonywanie kolejnych płatności.
Jakie dane próbują wyłudzić oszuści?
W opisanym schemacie oszuści mogą prosić o dane potrzebne do „sprawdzenia mandatu”, a następnie o dane karty płatniczej. Chodzi przede wszystkim o numer rejestracyjny pojazdu, PESEL, imię i nazwisko, numer karty, datę ważności oraz kod CVV.
To zestaw informacji, którego nie należy wpisywać na stronie otwartej z linku w SMS-ie. Szczególnie niebezpieczne są dane karty płatniczej, bo ich podanie może prowadzić do natychmiastowej próby obciążenia konta lub dodania karty do zewnętrznej usługi płatniczej.
Warto pamiętać o jednej zasadzie: jeśli wiadomość wywołuje presję, sugeruje karę, blokadę, mandat lub pilną płatność, należy zatrzymać się i sprawdzić sprawę innym kanałem. Najbezpieczniej wejść samodzielnie do oficjalnej aplikacji mObywatel albo na właściwy serwis administracji, bez korzystania z linku otrzymanego SMS-em.
Jak rozpoznać oszustwo na mObywatela?
Najważniejszym sygnałem ostrzegawczym jest link w wiadomości SMS. Nawet jeśli nadawca wygląda wiarygodnie, adres strony może zdradzić oszustwo. Przestępcy często stosują domeny podobne do prawdziwych, ale różniące się jednym elementem, dodatkowym członem albo nietypową końcówką.
Uwagę powinny zwrócić także komunikaty o natychmiastowej płatności. Prawdziwe instytucje publiczne nie powinny wymuszać szybkiego podawania danych karty przez podejrzany link w SMS-ie. Jeśli strona żąda kodu CVV, danych karty lub potwierdzenia operacji w banku, trzeba założyć, że może to być próba kradzieży pieniędzy.
Gov.pl już wcześniej ostrzegał przed fałszywymi SMS-ami podszywającymi się pod mObywatela i wskazywał, że linki w takich wiadomościach prowadzą na strony udające serwisy rządowe. W oficjalnych zaleceniach podkreślono, aby nie klikać bezpośrednio w linki z podejrzanych wiadomości, tylko samodzielnie wejść na stronę instytucji i sprawdzić, czy komunikat jest prawdziwy.
Co zrobić, jeśli dostałeś fałszywy SMS od mObywatela?
Jeśli wiadomość tylko przyszła na telefon, ale nie kliknięto linku i nie podano żadnych danych, najlepiej jej nie otwierać ponownie, nie odpowiadać i zgłosić ją do CERT Polska. Podejrzane SMS-y można bezpłatnie przekazywać na numer 8080. Ważne, aby przekazać całą wiadomość w oryginalnej formie, bez wycinania linku i fragmentów treści.
Jeśli link został kliknięty, ale nie wpisano danych, warto zamknąć stronę i zachować ostrożność. Samo kliknięcie nie zawsze oznacza utratę pieniędzy, ale może potwierdzić przestępcom, że numer telefonu jest aktywny. Dobrze też zaktualizować przeglądarkę, system telefonu i sprawdzić, czy urządzenie nie pobrało żadnego podejrzanego pliku.
Jeśli podano dane karty płatniczej, trzeba natychmiast skontaktować się z bankiem, zastrzec kartę i sprawdzić ostatnie transakcje. Jeżeli w aplikacji bankowej pojawiła się prośba o potwierdzenie płatności lub dodanie karty do portfela cyfrowego, nie należy jej zatwierdzać.
CERT Polska i gov.pl wskazują, że podejrzane wiadomości SMS można zgłaszać na numer 8080, a incydenty, fałszywe strony i podejrzane e-maile przez formularz incydent.cert.pl.
Dlaczego ten atak jest groźniejszy niż zwykły SMS z linkiem?
Wiele oszustw SMS można rozpoznać dość szybko, bo przychodzą z losowego numeru, zawierają błędy językowe albo prowadzą do ewidentnie podejrzanych stron. W tym przypadku problem jest poważniejszy, bo nadawca może wyglądać jak prawdziwy mObywatel.
Dodatkowo wiadomość dotyczy sprawy, która naturalnie wywołuje emocje. Mandat, przekroczenie prędkości i konieczność szybkiego sprawdzenia statusu to idealny zestaw do manipulacji. Ofiara może działać automatycznie: kliknąć, wpisać dane, zapłacić i dopiero później zauważyć, że coś było nie tak.
To właśnie dlatego takie kampanie są skuteczne. Nie opierają się na zaawansowanym włamaniu do telefonu, ale na wykorzystaniu zaufania, presji czasu i podobieństwa do oficjalnych usług.
Jak bezpiecznie korzystać z mObywatela?
Najbezpieczniejsza zasada jest prosta: sprawy związane z mObywatelem należy sprawdzać bezpośrednio w oficjalnej aplikacji, a nie przez linki z SMS-ów. Jeśli pojawia się informacja o mandacie, dokumencie, płatności lub pilnym komunikacie, lepiej samodzielnie otworzyć aplikację albo wejść na oficjalną stronę usługi.
Warto także włączyć powiadomienia bezpieczeństwa, aktualizować aplikację i korzystać wyłącznie z oficjalnych sklepów Google Play oraz App Store. Nie należy instalować aplikacji z linków przesłanych SMS-em, komunikatorem lub e-mailem.
Dobrą praktyką jest również zastrzeżenie PESEL w aplikacji mObywatel. Nie chroni to przed każdym rodzajem oszustwa, ale ogranicza ryzyko wykorzystania danych osobowych w niektórych scenariuszach, np. przy próbach zaciągania zobowiązań na cudze dane.
Czytaj również: Czym jest phishing i jak się przed nim chronić?
Podsumowanie: mObywatel nie musiał zostać zhakowany, ale SMS wygląda bardzo przekonująco
Nowe oszustwo na mObywatela pokazuje, że cyberprzestępcy coraz częściej wykorzystują nie tylko fałszywe strony, ale też zaufanie do nazw nadawców SMS. Użytkownik może zobaczyć wiadomość w znanym wątku i uznać ją za prawdziwą, mimo że została wysłana przez oszustów.
Najważniejsze jest, aby nie klikać w linki z podejrzanych wiadomości, nie wpisywać danych karty płatniczej na stronach otwartych z SMS-a i zawsze sprawdzać adres domeny. Jeśli wiadomość dotyczy mandatu lub płatności, najlepiej zweryfikować sprawę samodzielnie w oficjalnej aplikacji albo na stronie instytucji.
Podejrzane SMS-y warto zgłaszać do CERT Polska na numer 8080. Każde takie zgłoszenie może pomóc szybciej blokować fałszywe domeny i ograniczać zasięg podobnych kampanii.
FAQ – fałszywy SMS od mObywatela
Czy mObywatel został zhakowany?
Gdzie zgłosić fałszywy SMS od mObywatela?
Czy można bezpiecznie płacić mandat przez link z SMS-a?
Dziękujemy za przeczytanie artykułu na Techoteka.pl.
Publikujemy codziennie informacje o sztucznej inteligencji, nowych technologiach, IT oraz rozwoju agentów AI.
Obserwuj nas na Facebooku, aby nie przegapić kolejnych artykułów.
