phishingdane kartoszustwa płatniczefraud

Dane kart z phishingu trafiają do kolejnych oszustów

2026-07-11

Aresztowania w Holandii pokazują, że dane kart wyłudzone przez phishing mogą być sprzedawane, ponownie używane i łączone z innymi oszustwami.

Dane kart z phishingu trafiają do kolejnych oszustów

TL;DR

Holenderska policja poinformowała o zatrzymaniu dwóch mężczyzn podejrzanych o phishing, w którym ofiary miały przekazywać dane kart płatniczych na fałszywych stronach. Według komunikatu zabezpieczono urządzenia, które mogły służyć do wykonywania transakcji z użyciem wyłudzonych danych, a także dobra luksusowe i samochód.

Istotny jest jednak nie sam fakt zatrzymania, lecz model działania. Dane karty nie muszą zostać wykorzystane tylko raz i tylko przez osobę, która przygotowała fałszywy formularz. Mogą być sprawdzane, uzupełniane o inne informacje, przekazywane kolejnym osobom i używane w wielu próbach płatności. Właśnie dlatego odrzucenie jednej podejrzanej transakcji nie zamyka incydentu.

Dla użytkownika właściwą reakcją po podaniu danych jest szybki kontakt z bankiem i zastrzeżenie lub zablokowanie karty zgodnie z instrukcją banku. Dla firmy ważne jest natomiast przygotowanie procedury, która łączy zgłoszenie phishingu, ochronę danych płatniczych, analizę urządzenia i ocenę, czy przestępcy pozyskali także hasła, kody jednorazowe albo dostęp do skrzynki pocztowej.

Co wydarzyło się w Holandii

Holenderska policja podała, że 23 czerwca 2026 roku zatrzymała 23-letniego mieszkańca Zaandam i 21-letniego mieszkańca Amsterdamu. Mężczyźni są podejrzani o udział w phishingu. Podczas przeszukań zabezpieczono urządzenia, za pomocą których mogły być wykonywane transakcje z wykorzystaniem wyłudzonych danych, a także towary luksusowe i samochód.

Na tym etapie mówimy o podejrzeniach i trwającym postępowaniu. Komunikat policji nie opisuje szczegółowo wszystkich przynęt, domen ani sposobów kontaktu z ofiarami. Wiadomo natomiast, że celem miały być dane kart wprowadzane przez użytkowników na fałszywych stronach.

Kilka dni później De Nederlandsche Bank opublikował dane o oszustwach płatniczych w Holandii. W 2025 roku odnotowano około 658 tysięcy oszukańczych transakcji obejmujących przelewy, płatności kartowe i wypłaty gotówki. Ich łączna wartość wyniosła około 198 milionów euro. Dane nie oznaczają, że wszystkie te przypadki zaczęły się od phishingu, ale pokazują skalę środowiska, w którym skradzione informacje płatnicze mogą być szybko monetyzowane.

Phishing kartowy nie kończy się na fałszywym formularzu

Najprostszy obraz ataku wygląda tak: użytkownik dostaje wiadomość o dopłacie, błędzie płatności albo konieczności potwierdzenia danych, otwiera link i wpisuje numer karty. W praktyce jest to tylko pierwszy etap.

Po przejęciu danych napastnik może sprawdzić, czy karta jest aktywna, wykonać niewielką próbę obciążenia albo połączyć dane z imieniem, adresem, numerem telefonu i adresem e-mail. Jeżeli oszust ma również dostęp do skrzynki pocztowej lub telefonu, może próbować przejąć kody potwierdzające, podszyć się pod bank albo wykorzystać mechanizmy odzyskiwania kont.

Dane mogą też trafić do innej grupy. Europol zwraca uwagę, że informacje ofiar oszustw bywają monetyzowane wielokrotnie, sprzedawane i używane do ponownego atakowania tych samych osób. Oznacza to, że autor wiadomości phishingowej, operator fałszywej strony, osoba testująca kartę i osoba dokonująca zakupu mogą być różnymi uczestnikami jednego łańcucha.

Łańcuch od fałszywej wiadomości i formularza karty do weryfikacji danych, ich sprzedaży oraz kolejnych transakcji

Schemat pokazuje, że wyłudzenie danych jest początkiem procesu: informacje mogą zostać zweryfikowane, wzbogacone, przekazane dalej i wykorzystane w wielu niezależnych próbach oszustwa.

Dlaczego oszuści proszą o niewielką kwotę

Dopłata w wysokości kilku złotych albo kilku euro nie ma wyglądać jak poważna decyzja finansowa. Ma obniżyć czujność i skrócić moment namysłu. Użytkownik może uznać, że szybciej będzie zapłacić niż sprawdzać status przesyłki, subskrypcji, mandatu albo rachunku.

Wartość wyłudzanej płatności nie mówi jednak nic o wartości przejmowanych danych. Formularz może zebrać pełny numer karty, datę ważności, kod zabezpieczający, dane osobowe i numer telefonu. Następnie fałszywa strona może wyświetlić komunikat o błędzie, aby ofiara uznała, że płatność nie doszła do skutku. W rzeczywistości informacje zostały już wysłane do przestępców.

W Polsce podobny mechanizm regularnie pojawia się w wiadomościach podszywających się pod firmy kurierskie, operatorów dróg, serwisy subskrypcyjne, banki i instytucje publiczne. Dlatego rozpoznawanie konkretnego logo nie wystarcza. Potrzebna jest stała zasada: sprawę finansową sprawdzamy w oficjalnej aplikacji lub serwisie otwartym samodzielnie, a nie przez odnośnik z nieoczekiwanej wiadomości.

Więcej przykładów tego mechanizmu opisuje nasz materiał co to jest phishing, a warianty oparte na wiadomościach tekstowych omawia poradnik o smishingu.

Jak rozpoznać ryzyko przed podaniem danych karty

Nie ma jednego detalu, który zawsze zdradza fałszywą stronę. Dobrą decyzję warto oprzeć na całym procesie.

Pierwszym sygnałem jest nieoczekiwany pretekst: problem z paczką, konieczność dopłaty, wygasająca subskrypcja albo rzekoma blokada usługi. Drugim jest przeniesienie płatności do serwisu otwartego z wiadomości, zamiast do znanej aplikacji. Trzecim jest próba zebrania większej liczby danych, niż wymaga dana sprawa.

Wątpliwości powinny wzbudzić także kolejne prośby pojawiające się po wpisaniu danych: kod z SMS-a, potwierdzenie w aplikacji bankowej, hasło do poczty, numer PESEL albo instalacja dodatkowej aplikacji. Takie rozszerzenie scenariusza może oznaczać, że atak nie dotyczy już tylko karty, lecz także przejęcia konta lub obejścia dodatkowego uwierzytelnienia.

Najbezpieczniej przerwać proces, zamknąć stronę i sprawdzić sprawę w niezależnym kanale. Adres serwisu należy wpisać ręcznie albo otworzyć oficjalną aplikację. Numer telefonu do banku trzeba znaleźć na karcie, w aplikacji lub na oficjalnej stronie, a nie w wiadomości od rzekomego konsultanta.

Co powinna przygotować firma

Phishing kartowy nie dotyczy wyłącznie klientów indywidualnych. W organizacji dane płatnicze mogą być używane przez pracowników administracji, zakupów, marketingu, sprzedaży, podróży służbowych i finansów. Jeden incydent może więc objąć kartę firmową, konto pocztowe oraz dane dostawcy.

Procedura powinna jasno wskazywać, kto kontaktuje się z bankiem, kto blokuje kartę i kto analizuje urządzenie. Trzeba również ustalić, czy pracownik podał wyłącznie dane płatnicze, czy także hasło, kod jednorazowy, dane osobowe albo zgodę w aplikacji.

Zespół IT lub Security powinien sprawdzić historię logowań, aktywne sesje i reguły pocztowe, jeżeli wiadomość dotyczyła skrzynki służbowej. Warto też zabezpieczyć oryginalną wiadomość, adres strony, godzinę zdarzenia i zrzuty ekranu. Te informacje pomagają ocenić skalę incydentu i blokować podobne wiadomości u innych odbiorców.

W programie security awareness warto ćwiczyć nie tylko samo kliknięcie, ale również moment, w którym użytkownik ma podać dane karty lub zatwierdzić operację. Testy phishingowe dla firm mogą odtwarzać bezpieczne scenariusze dopłat, faktur i płatności, pod warunkiem że nie zbierają prawdziwych danych i są częścią uzgodnionego procesu edukacyjnego.

Dla organizacji z sektora finansowego ważne jest połączenie awareness z procedurami fraudowymi, monitoringiem transakcji i szybką eskalacją. Więcej o podejściu sektorowym znajduje się na stronie PHISHLY dla branży finansowej.

Co zrobić, jeśli to już się stało

Jeżeli dane karty zostały wpisane na podejrzanej stronie, nie należy czekać na pojawienie się obciążenia. Trzeba natychmiast skontaktować się z bankiem przez oficjalny kanał. Bank zdecyduje, czy karta powinna zostać czasowo zablokowana, czy zastrzeżona i zastąpiona nową.

Następnie należy sprawdzić historię transakcji i włączyć dostępne powiadomienia o operacjach. Podejrzane obciążenia trzeba zgłosić bankowi zgodnie z jego procedurą. Jeżeli podano także hasło, kod lub dane logowania, konieczna jest zmiana hasła, wylogowanie aktywnych sesji i przegląd ustawień konta.

W środowisku firmowym incydent powinien trafić do IT lub Security nawet wtedy, gdy bank zablokował kartę. Wiadomość mogła dotrzeć do większej liczby osób, a fałszywa strona mogła zbierać dodatkowe informacje. Nie należy usuwać wiadomości przed jej zabezpieczeniem.

Podejrzany SMS można przekazać na bezpłatny numer 8080, a wiadomość e-mail lub stronę zgłosić przez formularz CERT Polska. Jeżeli doszło do oszustwa, warto również zachować potwierdzenia, korespondencję i dane transakcji na potrzeby zgłoszenia bankowego oraz ewentualnego zawiadomienia organów ścigania.

Jedna zablokowana płatność nie kończy ryzyka

Dane karty są aktywem, które może krążyć między różnymi uczestnikami oszustwa. Dlatego skuteczna reakcja musi wyjść poza anulowanie jednej operacji. Obejmuje odcięcie możliwości dalszego użycia karty, sprawdzenie innych przejętych danych, zabezpieczenie kont oraz zgłoszenie infrastruktury phishingowej.

W firmie warto przełożyć tę zasadę na prostą instrukcję: przerwij proces, skontaktuj się z bankiem, zgłoś incydent wewnętrznie i zachowaj dowody. Jeśli organizacja potrzebuje pomocy w zaprojektowaniu ćwiczeń obejmujących płatności i zgłaszanie incydentów, może skontaktować się z PHISHLY.

Najczęstsze pytania

Czy po zablokowaniu jednej transakcji dane karty są już bezpieczne?

Nie. Dane mogą pozostać w rękach przestępców, zostać sprzedane albo użyte w kolejnych próbach. Dlatego po wyłudzeniu danych trzeba skontaktować się z bankiem i zwykle zastrzec kartę, a nie tylko odrzucić pojedynczą operację.

Jakie dane z karty są wartościowe dla oszustów?

Najczęściej numer karty, data ważności, kod zabezpieczający oraz dane właściciela. W niektórych scenariuszach napastnicy próbują także wyłudzić kod jednorazowy, potwierdzenie w aplikacji albo dane logowania do bankowości.

Czy mała dopłata na fałszywej stronie może być groźna?

Tak. Niewielka kwota często jest tylko pretekstem do zebrania pełnych danych karty. Ryzyko nie ogranicza się do podanej opłaty, ponieważ dane mogą posłużyć do późniejszych transakcji i kolejnych prób oszustwa.

Co zrobić po podaniu danych karty na podejrzanej stronie?

Natychmiast skontaktować się z bankiem, zablokować lub zastrzec kartę zgodnie z zaleceniem banku, sprawdzić historię operacji, zabezpieczyć dowody i zgłosić fałszywą stronę do CERT Polska.

Źródła

  1. Twee aanhoudingen in onderzoek naar phishingKomunikat holenderskiej policji o zatrzymaniu dwóch podejrzanych i zabezpieczeniu urządzeń, dóbr luksusowych oraz samochodu.
  2. More fraud in payments in 2025Dane De Nederlandsche Bank o liczbie i wartości oszukańczych transakcji w Holandii w 2025 roku.
  3. Two arrested over credit card phishingŹródło branżowe łączące komunikat policji z szerszym kontekstem phishingu kartowego i obrotu skradzionymi danymi.
  4. Online fraud schemes: a web of deceitRaport Europolu o roli phishingu, przejmowania kont i ponownego wykorzystywania danych ofiar w oszustwach internetowych.
  5. Dostałeś niepokojący SMS albo email? Zgłoś go do CERT PolskaOficjalna instrukcja zgłaszania podejrzanych wiadomości i stron do CERT Polska, w tym SMS-ów na numer 8080.