Rano zostawiasz samochód w centrum Lublina. Po południu czekasz na przesyłkę, a wieczorem telefon wyświetla SMS z prośbą o dopłatę 2,49 zł. Wiadomość pasuje do planu dnia tak dobrze, że palec niemal automatycznie przesuwa się w stronę linku. Właśnie na ten krótki moment pośpiechu liczą oszuści.
Przestępcom wystarcza masowa wysyłka i rachunek prawdopodobieństwa. Część odbiorców akurat korzystała z parkingu, część czeka na zakupy, a ktoś inny niedawno załatwiał sprawę związaną z leczeniem. Trafiona wiadomość wygląda wtedy jak naturalna kontynuacja prawdziwej sytuacji.
Najczęściej zaczyna się od drobnej kwoty, pilnego terminu albo prostego komunikatu: przesyłka utknęła, postój pozostał bez opłaty, wniosek został sprawdzony. Link prowadzi do strony przypominającej serwis kuriera, banku lub instytucji publicznej. Kilka ekranów później pojawia się formularz z numerem karty, kodem CVV, loginem do banku albo danymi osobowymi.
Ten rodzaj oszustwa ma swoją nazwę: smishing, czyli phishing rozsyłany przez SMS. Techniczne określenie brzmi skomplikowanie, lecz sam mechanizm jest bardzo prosty. Wiadomość ma wyglądać znajomo, wywołać lekki niepokój i poprowadzić odbiorcę prosto do płatności.

W SMS-ie rzadko pojawia się rachunek na kilkaset złotych. Znacznie skuteczniejsza bywa dopłata w wysokości 1,49 zł, 2,99 zł albo 4,80 zł. Taka suma wygląda jak drobna różnica w opłacie parkingowej, koszt ponownego doręczenia paczki lub symboliczna opłata administracyjna.
Odbiorca myśli wtedy o szybkim zamknięciu sprawy, a nie o bezpieczeństwie konta. Drobna kwota pełni jednak wyłącznie rolę wejścia do fałszywego formularza. Prawdziwym celem stają się dane karty, logowanie do bankowości, kody autoryzacyjne oraz informacje, które pozwolą przygotować kolejną próbę oszustwa.
Warto zwrócić uwagę również na sposób płatności. Opłata za parking, korekta adresu paczki czy potwierdzenie wniosku nagle prowadzą do ekranu wymagającego pełnego numeru karty, daty ważności i kodu CVV. Zakres żądanych informacji zdecydowanie wykracza wtedy poza drobną dopłatę pokazaną w pierwszym SMS-ie.
Parking stanowi wyjątkowo wiarygodną przynętę dla kierowców. Wystarczy kilka godzin wcześniej zostawić samochód przy Krakowskim Przedmieściu, Starym Mieście albo jednej z ulic objętych płatnym postojem. Wieczorna wiadomość o zaległości zaczyna wtedy brzmieć bardzo prawdopodobnie.
Treść może informować o braku opłaty, przekroczonym czasie postoju albo konieczności szybkiego uregulowania należności. Czasem pojawia się ostrzeżenie o podwyższeniu kwoty po kilkunastu godzinach. Link ma prowadzić do rzekomej płatności, lecz w rzeczywistości otwiera stronę przygotowaną do zbierania danych.
W lubelskiej Strefie Płatnego Parkowania działa e-kontrola, która odczytuje tablice rejestracyjne i sprawdza wniesienie opłaty. Przy braku płatności wezwanie trafia do właściciela pojazdu pocztą. To cenna wskazówka przy ocenie SMS-a, który żąda natychmiastowej wpłaty przez przesłany link.
Najbezpieczniejsza droga prowadzi przez oficjalny serwis Strefy Płatnego Parkowania w Lublinie albo kontakt z Zarządem Dróg i Transportu Miejskiego. Stronę warto otworzyć samodzielnie w przeglądarce, a numer telefonu znaleźć poza otrzymaną wiadomością.
Sam SMS także podpowiada sporo. Brak numeru rejestracyjnego, daty postoju, miejsca kontroli czy informacji pozwalającej zidentyfikować sprawę wskazuje na masową wysyłkę. Oszust liczy wtedy, że odbiorca sam dopasuje ogólny komunikat do własnego dnia.
Zakupy internetowe sprawiły, że SMS o przesyłce może pasować niemal do każdego tygodnia. Jednego dnia czekamy na ubrania, innego na kosmetyki, książki, sprzęt albo zamówienie z popularnej platformy sprzedażowej. Oszuści korzystają z tej częstotliwości.
Wiadomość zwykle informuje o błędnym adresie, nieudanym doręczeniu, zatrzymaniu paczki w magazynie albo konieczności wyboru nowego terminu. Kolejny krok to niewielka opłata. Jej wysokość wygląda rozsądnie, a wizja zwrotu przesyłki zachęca do szybkiego działania.
W lipcu 2026 roku CERT Polska ostrzegał przed wiadomościami dotyczącymi potwierdzenia danych przesyłki. Link prowadził do fałszywego serwisu zbierającego dane osobowe i informacje z karty płatniczej. Kilka miesięcy wcześniej podobny schemat wykorzystywał wiadomości o nieudanym doręczeniu i wyborze nowego terminu.
Status zamówienia najlepiej sprawdzić w aplikacji przewoźnika, na stronie sklepu albo w serwisie kurierskim otwartym z własnej zakładki. Numer przesyłki znajduje się zwykle w potwierdzeniu zakupu. Taka ścieżka pozwala ominąć stronę przygotowaną przez oszustów, nawet gdy jej wygląd bardzo dobrze kopiuje znaną markę.
Warto przyjrzeć się też nazwie firmy. Wiadomość może używać określenia „kurier”, „centrum logistyczne” albo „dział dostaw”, bez podania konkretnego przewoźnika i numeru paczki. Ogólna treść zwiększa szansę, że odbiorca przypisze ją do zamówienia, na które akurat czeka.

Wiadomości podszywające się pod Narodowy Fundusz Zdrowia grają inną emocją. Zamiast drobnego problemu obiecują zwrot pieniędzy, refundację albo pozytywne zakończenie sprawy. Odbiorca ma poczuć, że czeka na niego korzyść, lecz wcześniej trzeba potwierdzić dane.
8 lipca 2026 roku CERT Polska opisał kampanię z komunikatem o rzekomym sprawdzeniu wniosku. Link prowadził do witryny przypominającej serwis NFZ. Formularz zbierał dane osobowe i informacje z karty płatniczej.
W innych wariantach pojawiały się zwroty kosztów leczenia, refundacje świadczeń oraz prośby o potwierdzenie karty. Scenariusz pozostawał podobny: znane logo, urzędowo brzmiąca treść, obietnica pieniędzy i formularz, który miał rzekomo potwierdzić tożsamość odbiorcy.
Informację związaną z NFZ można sprawdzić przez oficjalny serwis Funduszu albo bezpłatną infolinię 800 190 590. Numer najlepiej wybrać samodzielnie, bez korzystania z danych podanych w wiadomości. Kilkuminutowa weryfikacja daje znacznie więcej spokoju niż szybkie przejście przez formularz.
Fałszywa strona może wyglądać niemal identycznie jak oryginał. Logo, kolory, przyciski i zdjęcia da się skopiować. Najwięcej informacji daje więc pasek adresu w przeglądarce.
Oszuści często dodają do domeny znajome słowo: NFZ, paczka, parking, płatność albo nazwę przewoźnika. Ważna nazwa zostaje umieszczona na początku długiego adresu, gdzie łatwo przyciąga wzrok. O właścicielu strony mówi jednak właściwa domena znajdująca się bliżej końcówki .pl, .com lub .net.
Adres warto czytać od prawej strony. Dodatkowy myślnik, zamieniona litera, obca końcówka albo zestaw przypadkowych znaków stanowią wyraźny sygnał ostrzegawczy. Skrócony link również odbiera możliwość szybkiego sprawdzenia miejsca, do którego prowadzi.
Sam wygląd witryny daje coraz mniej pewności. CERT Polska zwraca uwagę, że współczesne strony phishingowe potrafią dokładnie odwzorować serwisy banków i instytucji. Weryfikacja domeny ma więc większą wartość niż znajome logo na środku ekranu.
SMS wyświetlony jako „NFZ”, „Kurier” czy „mObywatel” wygląda poważniej niż wiadomość z przypadkowego numeru. Czasem trafia nawet do tego samego wątku, w którym wcześniej znajdowały się prawdziwe powiadomienia.
To efekt spoofingu, czyli podszycia się pod nazwę nadawcy. CERT Polska opisywał w 2026 roku kampanię, w której fałszywa wiadomość o mandacie pojawiała się w istniejącej rozmowie z mObywatelem. Znajomy wątek zwiększał wiarygodność komunikatu, choć link prowadził do strony zbierającej dane karty.
Nazwa widoczna nad SMS-em stanowi więc jeden z elementów wiadomości, a nie potwierdzenie jej pochodzenia. Znacznie więcej mówi treść żądania, adres witryny oraz możliwość sprawdzenia sprawy w oficjalnej aplikacji.
„Zapłać do północy”, „przesyłka wróci do nadawcy”, „opłata wzrośnie po 12 godzinach”, „wniosek wkrótce wygaśnie” – takie zdania pojawiają się w wielu fałszywych wiadomościach. Termin ma być na tyle krótki, aby odbiorca zrezygnował z dodatkowego sprawdzania.
Prawdziwa informacja wytrzyma kilkuminutową weryfikację. Można otworzyć aplikację kuriera, sprawdzić stronę instytucji, zajrzeć do historii parkowania albo zadzwonić na oficjalną infolinię. Oszustwo traci siłę, gdy decyzja przenosi się poza SMS.
Dobrym nawykiem jest odłożenie telefonu na chwilę. Krótka przerwa wystarcza, aby spojrzeć na wiadomość jak na obcy komunikat, a nie pilne zadanie do wykonania. To szczególnie pomaga przy kwotach, które wydają się zbyt małe, by poświęcać im więcej uwagi.

Sprawdź kontekst. Czy wiadomość zawiera numer przesyłki, rejestrację auta, datę, nazwę placówki albo inne dane związane z konkretną sprawą? Ogólny komunikat pasujący do tysięcy osób zasługuje na ostrożne potraktowanie.
Otwórz usługę własną drogą. Uruchom aplikację przewoźnika, banku lub mObywatela. Oficjalną stronę wpisz ręcznie albo wybierz z zapisanych zakładek.
Porównaj informacje. Prawdziwa opłata, przesyłka lub wniosek powinny być widoczne również po zalogowaniu przez oficjalny kanał.
Przeczytaj adres od prawej strony. Sprawdź właściwą domenę, końcówkę oraz każdą literę w nazwie.
Zatrzymaj się przy danych karty. Numer karty, data ważności, kod CVV i kod autoryzacyjny tworzą zestaw pozwalający wykonać operację finansową. Drobna dopłata za paczkę lub postój nie powinna nagle otwierać rozbudowanego formularza płatniczego.
Czytaj komunikaty banku do końca. Wiadomość autoryzacyjna wskazuje rodzaj operacji i kwotę. Fałszywa strona może pokazywać 2,49 zł, podczas gdy kod zatwierdza inną transakcję albo dodanie karty do cyfrowego portfela.
Wiadomość z podejrzanym linkiem warto przesłać do CERT Polska na numer 8080. Najlepiej skorzystać z funkcji „Przekaż” lub „Udostępnij”, aby zachować pełną treść i adres strony. Numer działa bezpłatnie na terenie Polski.
Zgłoszenie pomaga w analizowaniu nowych kampanii i blokowaniu stron używanych do wyłudzania danych. Fałszywe witryny często działają krótko, a następnie przenoszą się pod kolejny adres. Szybkie przekazanie wiadomości ułatwia ograniczenie ich zasięgu.
Szerszy opis zdarzenia można wysłać przez formularz CERT Polska. Zgłoszenia przyjmuje również usługa „Bezpiecznie w sieci” w aplikacji mObywatel.
Strona została wyłącznie wyświetlona. Zamknij kartę, sprawdź pobrane pliki oraz uprawnienia przyznane witrynie. Ryzyko rośnie po instalacji aplikacji, wpisaniu danych albo zatwierdzeniu operacji.
Podane zostały dane karty. Skontaktuj się z bankiem przez oficjalną infolinię lub aplikację i zastrzeż kartę. Konsultant oceni również potrzebę zablokowania rachunku lub innych kanałów dostępu.
Formularz otrzymał login i hasło do banku. Zmień dane logowania z bezpiecznego urządzenia i natychmiast poinformuj bank. Hasło używane także w innych serwisach wymaga zmiany w każdym z nich.
Zatwierdzony został kod SMS, BLIK albo powiadomienie w aplikacji. Pierwszy telefon powinien trafić do banku. Szybka reakcja daje szansę na zatrzymanie kolejnych operacji i zabezpieczenie dostępu.
Przekazany został numer PESEL lub dane dokumentu. Numer PESEL można zastrzec przez aplikację mObywatel, serwis gov.pl albo w urzędzie. Zastrzeżenie ogranicza możliwość wykorzystania danych przy zawieraniu części umów finansowych.
Z konta zniknęły pieniądze. Zachowaj SMS, adres strony, zrzuty ekranu, potwierdzenia operacji i historię kontaktu z bankiem. Po zabezpieczeniu rachunku zgłoś sprawę policji.
SMS może udawać parking, kuriera, bank albo NFZ. Prawdziwą informację zawsze da się sprawdzić poza wiadomością. To najprostszy sposób, aby drobna dopłata nie zamieniła się w poważny problem.