Fałszywe wezwania z Policji i Europolu: jak działa kampania i jak nie dać się oszukać
2026-03-03
W moje.cert.pl pojawiło się ostrzeżenie o kampanii oszustw, w której cyberprzestępcy podszywają się pod Policję oraz Europol i straszą odpowiedzialnością karną za rzekome przestępstwa internetowe. Mechanizm jest prosty, ale skuteczny: ma wywołać stres, presję czasu i skłonić do kontaktu poza oficjalnymi kanałami, a dalej do przekazania danych albo pieniędzy.
Najważniejsza rzecz: to nie jest sprawa do wyjaśniania mailem z nieznanym nadawcą. Jeśli taka wiadomość budzi choćby cień wątpliwości, traktuj ją jak próbę wyłudzenia i zgłoś incydent.
Co dokładnie opisuje komunikat CERT Polska
Według komunikatu z moje.cert.pl do wiadomości dołączany jest plik w formacie PDF lub JPG. Załącznik wygląda jak pismo urzędowe, a w treści jest wezwanie do kontaktu pod wskazanym adresem mailowym. Celem kampanii jest wyłudzenie danych osobowych i pieniędzy, często również doprowadzenie do sytuacji, w której ofiara przekaże zdalny dostęp do komputera lub zgodzi się na spotkanie i przekazanie gotówki.
Oficjalny komunikat możesz przeczytać na stronie moje.cert.pl: Uważaj na fałszywe wezwania z Policji i Europolu.
Dlaczego ten scenariusz nadal działa
To klasyczna socjotechnika oparta o autorytet i strach. Przestępcy liczą na automatyczną reakcję: ktoś czyta o poważnych konsekwencjach i zamiast zweryfikować, zaczyna tłumaczyć się nadawcy. Wtedy atakujący przejmuje inicjatywę, prowadzi rozmowę, dokłada presję i precyzyjnie dawkuje prośby.
W praktyce z tego samego maila mogą wyniknąć trzy różne straty.
- kradzież tożsamości: skan dowodu, dane wrażliwe, numer telefonu, adres zamieszkania
- przejęcie urządzenia: zdalny pulpit, instalacja oprogramowania do pomocy technicznej, uruchomienie poleceń
- wyłudzenie pieniędzy: przelew, płatność kartą, kupno kodów, przekazanie gotówki
To nie jest przypadek, że przestępcy proszą najpierw o kontakt. Gdy rozmowa przenosi się na mail lub komunikator, dużo łatwiej manipulować ofiarą i omijać zabezpieczenia po stronie organizacji, które chronią skrzynkę pocztową.
Sygnały ostrzegawcze, które powinny zapalić lampkę
Najczęściej ta kampania ma kilka wspólnych cech. Nie trzeba robić zaawansowanej analizy, żeby w porę przerwać łańcuch.
- nadawca i domena nie są oficjalnymi kanałami instytucji, a w treści pojawia się wezwanie do kontaktu na wskazany adres
- załącznik PDF lub JPG ma charakter pisma urzędowego, ale brakuje mu elementów weryfikowalnych i logicznych, np. danych sprawy do sprawdzenia w niezależnym kanale
- jest presja czasu, straszenie konsekwencjami i próba wywołania wstydu albo paniki
- szybko pojawiają się prośby o skan dokumentu, dane do przelewu, instalację narzędzia do zdalnego dostępu albo przejście na rozmowę poza firmową pocztą
Co zrobić, gdy dostaniesz taki e-mail
Najlepsze działanie jest nudne, ale skuteczne: nie wchodzić w dialog.
Po stronie użytkownika to wygląda tak: nie odpowiadaj na wiadomość, nie wysyłaj żadnych dokumentów, nie wykonuj poleceń z załącznika i nie instaluj żadnych narzędzi do zdalnego dostępu. Jeśli już otworzyłeś plik, zamknij go i potraktuj sytuację jak incydent, a nie jak wpadkę. Wtedy organizacja ma szansę zareagować szybko i ograniczyć ryzyko.
Zgodnie z rekomendacją z komunikatu najlepiej zgłosić wiadomość przez formularz na stronie incydent.cert.pl albo w aplikacji mObywatel w usłudze Bezpiecznie w sieci: Bezpiecznie w sieci w mObywatel.
Co powinno zrobić IT lub Security w firmie
W firmach takie kampanie warto traktować jako test dojrzałości procesów, bo one zawsze wracają w różnych wariantach. Najczęściej brakuje nie technologii, tylko jasnej ścieżki reakcji.
Po pierwsze, ułatw zgłaszanie. Jeżeli użytkownik musi się zastanawiać, komu wysłać podejrzanego maila, to zbyt często wyśle go do kolegi albo w ogóle nic nie zrobi. Najprostszy wzorzec to jeden adres do zgłoszeń, prosta instrukcja i szybka odpowiedź zwrotna.
Po drugie, ucz ludzi rozpoznawania presji i nietypowych próśb. W tym scenariuszu ważniejsze od analizy domeny jest wykrycie momentu, w którym rozmowa ma przejść w wyłudzenie skanu dowodu, zdalny dostęp albo płatność.
Po trzecie, zabezpiecz podstawy na endpointach. Jeżeli w organizacji dopuszczalne jest instalowanie dowolnych narzędzi do zdalnej pomocy bez kontroli, to taki phishing ma dużo większą szansę zadziałać. Warto mieć listę dozwolonych narzędzi, ograniczenia uprawnień użytkownika oraz monitoring instalacji i uruchomień aplikacji z tej kategorii.
Co jeśli ktoś już wysłał skan dowodu lub dał zdalny dostęp
Tu liczy się czas i porządek działań. Jeśli doszło do przekazania zdalnego dostępu, potraktuj urządzenie jako potencjalnie przejęte: odłącz je od sieci, skontaktuj użytkownika z IT, zabezpiecz logi EDR i historię instalacji. Jeżeli poszły dane osobowe, należy rozważyć ryzyko kradzieży tożsamości i podjąć działania zgodnie z procedurą organizacji, w tym ocenę obowiązków formalnych.
Najgorsze, co można zrobić, to kontynuować korespondencję z oszustem w nadziei, że sprawa się wyjaśni. To działa dokładnie odwrotnie.
Najczęstsze pytania
Czy Policja lub Europol wysyłają wezwania mailem?
Oficjalne wezwania są dostarczane tradycyjną pocztą lub poprzez oficjalne kanały elektroniczne (np. ePUAP). Policja nie wysyła wezwań z załącznikami PDF/JPG do losowych adresów e-mail.
Co zrobić, jeśli otworzyłem załącznik PDF lub JPG?
Jeśli tylko otworzyłeś plik, ryzyko jest niskie (ale istnieje). Nie odpowiadaj na wiadomość, nie wysyłaj żadnych dokumentów, zgłoś incydent do CERT Polska i w firmie do działu IT. Jeśli już wysłałeś dane, natychmiast zgłoś to na policję.
Jak zgłosić fałszywe wezwanie?
Zgłoś przez formularz incydent.cert.pl lub aplikację mObywatel w sekcji 'Bezpiecznie w sieci'. Dołącz całą wiadomość z nagłówkami (jeśli to możliwe).
Źródła
- CERT Polska: Uważaj na fałszywe wezwania z Policji i Europolu— Oficjalny komunikat z lutego 2026
- CERT Polska: Zgłoś incydent— Formularz zgłoszeniowy
- mObywatel: Bezpiecznie w sieci— Aplikacja do zgłaszania oszustw