Fałszywy mandat z kodem QR. Nowa wariacja smishingu z opłatami drogowymi

2026-04-08

TL;DR

To nie jest nowy rodzaj oszustwa, tylko świeża wariacja dobrze znanego smishingu z opłatami drogowymi i rzekomymi należnościami. Różnica polega na tym, że zamiast zwykłego linku ofiara dostaje obraz udający urzędowe wezwanie, a właściwy adres jest schowany w kodzie QR. Dla użytkownika oznacza to prostą zasadę: kod QR w takim komunikacie trzeba traktować dokładnie tak samo jak podejrzany link.

O co chodzi w tej kampanii

Według opisu opublikowanego przez BleepingComputer oszuści rozsyłają wiadomości sugerujące zaległy mandat, opłatę parkingową albo problem z naruszeniem przepisów drogowych. W przykładach analizowanych w USA wiadomość zawiera obraz wyglądający jak oficjalne wezwanie, a odbiorca ma zeskanować kod QR, żeby szybko zamknąć sprawę i uniknąć konsekwencji.

To ważne, bo mechanizm od początku jest zaprojektowany pod telefon i szybkie działanie. Użytkownik nie widzi podejrzanego adresu, nie musi klikać w skrócony link i dostaje sygnał, który na pierwszy rzut oka wygląda bardziej urzędowo niż zwykły SMS. W praktyce to właśnie ma skrócić dystans do wykonania błędnego ruchu.

Jak działa fałszywy mandat z kodem QR

Po zeskanowaniu kodu ofiara trafia najpierw na stronę pośrednią z CAPTCHA. To nie jest przypadek. Taki etap utrudnia analizę kampanii i ogranicza skuteczność części automatycznych narzędzi ochronnych. Dopiero później użytkownik jest przekierowywany na stronę podszywającą się pod urząd, DMV albo inny oficjalnie brzmiący podmiot odpowiedzialny za opłaty i wykroczenia drogowe.

W opisywanych przypadkach ostatni etap wyglądał jak prosta ścieżka uregulowania drobnej należności. Pojawiała się niewielka kwota, a następnie formularz zbierający dane osobowe i płatnicze. To klasyczny zabieg psychologiczny. Mała suma obniża czujność, bo odbiorca nie analizuje sytuacji jak dużego ryzyka finansowego. W rzeczywistości stawką nie jest sama mikropłatność, lecz dane, które można później wykorzystać do kolejnych oszustw, kradzieży tożsamości i dalszego phishingu.

Dlaczego QR działa na ludzi skuteczniej niż zwykły link

W przypadku klasycznego smishingu użytkownik coraz częściej wie, że trzeba uważać na link. Kod QR bywa odbierany inaczej. Wygląda neutralnie, technicznie i pozornie nowocześnie. Dodatkowo na telefonie skanowanie kodu często wydaje się bardziej naturalne niż ręczne otwieranie strony. To właśnie ten odruch wykorzystują napastnicy.

Jak zwraca uwagę NCSC, QR potrafi skutecznie ukryć właściwy adres docelowy i utrudnić użytkownikowi szybką ocenę, dokąd naprawdę prowadzi. Dla odbiorcy oznacza to, że sam fakt użycia kodu nie zwiększa wiarygodności komunikatu. Zwiększa tylko szansę, że ktoś zareaguje automatycznie.

Co w tym schemacie jest naprawdę istotne dla odbiorcy w Polsce

Sam case jest amerykański, ale wzorzec nie jest lokalny. To po prostu kolejna odsłona smishingu opartego na opłatach, karach i presji czasu. Dokładnie dlatego temat ma sens także dla polskiego odbiorcy. Widzieliśmy już podobne mechanizmy przy fałszywych wiadomościach związanych z opłatami drogowymi i dopłatami, o czym piszemy szerzej we wpisie e-T0LL zamiast e-TOLL: SMS wyłudza dane karty. Jak rozpoznać.

Najważniejsza lekcja brzmi więc szerzej niż sam mandat. Jeżeli wiadomość dotyczy pieniędzy, kary, opłaty, urzędu albo pilnego zamknięcia sprawy i jednocześnie prowadzi do skanowania kodu, trzeba założyć, że to próba obejścia Twojej ostrożności. W praktyce phishing nie kończy się dziś na e-mailu i linku. Coraz częściej przechodzi przez SMS, obraz, QR i ekran telefonu, co dobrze wpisuje się w szerszy obraz opisany też w materiale smishing: SMS phishing - zagrożenie dla firm i użytkowników.

Jak się zachować, gdy dostaniesz taki komunikat

Najbezpieczniejsza reakcja jest prosta. Nie skanuj kodu, nie płać z poziomu wiadomości i nie traktuj obrazu przypominającego urząd jako dowodu autentyczności. Jeśli chcesz zweryfikować sprawę, wejdź do właściwego serwisu samodzielnie, przez ręcznie wpisany adres albo zapisaną zakładkę. To samo dotyczy sytuacji, gdy wiadomość straszy dodatkowymi kosztami albo szybkim wszczęciem procedury.

Warto też pamiętać, że oficjalne komunikaty instytucji publicznych zwykle nie próbują zamykać takich spraw przez natychmiastową płatność z SMS-a. Pokazuje to również ostrzeżenie władz Nowego Jorku dotyczące pokrewnego schematu E‑ZPass, w którym jasno wskazano, że prawdziwe instytucje nie proszą w wiadomościach o dane wrażliwe ani dane płatnicze.

Dlaczego ten temat warto potraktować poważnie

Najgroźniejsze kampanie nie wyglądają dziś jak oczywiste oszustwo. Wyglądają jak coś, co da się szybko załatwić jednym ruchem. Właśnie dlatego kod QR w fałszywym mandacie jest niebezpieczny. Nie dlatego, że jest technicznie wyjątkowy, ale dlatego, że usuwa z pola widzenia część sygnałów ostrzegawczych, które użytkownik rozpoznałby przy zwykłym linku.

Jeżeli chcesz ograniczyć ryzyko, myśl o QR dokładnie tak samo jak o linku. Nie ufaj mu tylko dlatego, że został wydrukowany na obrazku, wysłany w SMS-ie albo wygląda bardziej urzędowo niż klasyczna wiadomość phishingowa.