Fałszywy SMS DPD - CERT Polska ostrzega przed wyłudzeniem danych karty

2026-04-21

TL;DR

CERT Polska ostrzega przed kampanią SMS-ową podszywającą się pod firmę kurierską DPD. Oszuści piszą o nieudanej próbie dostarczenia paczki i konieczności umówienia nowego terminu. W wiadomości znajduje się link do fałszywej strony, która imituje serwis kurierski i prosi o dane kontaktowe oraz dane karty płatniczej.

To klasyczny smishing kurierski, ale nadal bardzo skuteczny. Powód jest prosty: wiele osób naprawdę czeka na paczkę, więc komunikat o problemie z doręczeniem łatwo trafia w codzienny kontekst. Właśnie dlatego fałszywy SMS DPD może zadziałać nawet na osoby, które na co dzień wiedzą, czym jest phishing.

O co chodzi w tej kampanii

Jak informuje CERT Polska, cyberprzestępcy wykorzystują wizerunek DPD i rozsyłają SMS-y o rzekomej nieudanej próbie dostarczenia przesyłki. Odbiorca ma kliknąć w link, żeby umówić nowy termin doręczenia. Po wejściu na stronę widzi serwis imitujący firmę kurierską, a następnie proszony jest o podanie danych kontaktowych i danych karty płatniczej.

To nie jest nowy schemat, ale nadal jeden z najbardziej naturalnych pretekstów do wyłudzenia. Paczki, dostawy i drobne opłaty są dla użytkowników czymś zwyczajnym. Oszuści liczą właśnie na to, że odbiorca nie będzie analizował domeny, tylko szybko dokończy proces, żeby nie stracić przesyłki.

Jeśli chcesz uporządkować sam mechanizm ataku przez SMS, zobacz też nasz materiał Smishing: SMS phishing - zagrożenie dla firm i użytkowników.

Jak rozpoznać fałszywy SMS od DPD

Podejrzana wiadomość zwykle próbuje wywołać szybką reakcję. Może informować o nieudanej dostawie, błędnym adresie, konieczności dopłaty albo zmianie terminu doręczenia. Sygnał ostrzegawczy to link prowadzący poza oficjalny proces przewoźnika, szczególnie jeśli po wejściu na stronę pojawia się prośba o dane osobowe, dane kontaktowe, logowanie albo dane karty płatniczej.

Warto zwrócić uwagę na adres strony, nietypową domenę, skrócony link, presję czasu i prośbę o wykonanie płatności. Sam wygląd strony nie wystarczy do oceny bezpieczeństwa, bo fałszywe serwisy mogą dobrze imitować prawdziwe strony kurierskie. Na telefonie jest to jeszcze trudniejsze, bo użytkownik często widzi mniej szczegółów niż na komputerze.

Najważniejsze sygnały ostrzegawcze w fałszywym SMS-ie kurierskim to:

• wiadomość mówi o nieudanej próbie doręczenia albo błędnym adresie,
• link prowadzi do strony innej niż oficjalny serwis przewoźnika,
• strona prosi o dane karty płatniczej,
• pojawia się mała dopłata za zmianę terminu dostawy,
• SMS wymusza szybką reakcję,
• wiadomość przyszła wtedy, gdy nie spodziewasz się przesyłki,
• po kliknięciu pojawia się prośba o instalację aplikacji.

Nie każdy z tych elementów musi wystąpić jednocześnie. W praktyce wystarczy jeden mocny sygnał, żeby zatrzymać się i sprawdzić przesyłkę inną drogą.

Dlaczego wiadomości kurierskie tak dobrze działają

Wiadomość o problemie z paczką działa, bo wpisuje się w zwykły dzień. Nie trzeba budować skomplikowanej historii. Wystarczy krótki SMS, znana marka i sugestia, że bez szybkiej reakcji przesyłka nie zostanie doręczona.

Właśnie dlatego takie kampanie często używają kilku powtarzalnych pretekstów: nieudana próba dostawy, błędny adres, dopłata do paczki, konieczność zmiany terminu albo uzupełnienie danych. Oficjalny poradnik DPD Polska również wskazuje, że oszuści wykorzystują fałszywe powiadomienia o paczkach, podrobione strony i aplikacje oraz prośby o dane osobowe lub finansowe.

W praktyce to ten sam mechanizm, który stoi za klasycznym phishingiem. Zmienia się kanał i pretekst, ale rdzeń zostaje taki sam: zaufana marka, presja czasu i link prowadzący poza bezpieczny proces. Szerzej opisujemy to w materiale Co to jest phishing? Mechanizm oszustw e-mailowych.

Dane karty za zmianę terminu dostawy to czerwona flaga

Najważniejszy sygnał ostrzegawczy w tej kampanii to prośba o dane karty płatniczej. Jeśli strona po kliknięciu w SMS twierdzi, że trzeba zapłacić drobną kwotę za zmianę terminu doręczenia, trzeba mocno zwolnić.

DPD Polska ostrzega przed fałszywymi wiadomościami SMS i e-mail oraz wskazuje, że status paczki należy sprawdzać bezpośrednio na oficjalnej stronie przewoźnika. W swoich ostrzeżeniach DPD podkreśla też, że podejrzane linki mogą prowadzić do fałszywych stron wyłudzających dane, a w niektórych wariantach nawet do infekcji telefonu lub próby dostępu do aplikacji bankowych.

To dobry moment, żeby przypomnieć prostą zasadę: jeśli wiadomość kurierska prowadzi do płatności kartą, logowania albo podania danych osobowych, nie traktuj jej jako zwykłego powiadomienia. Zweryfikuj sprawę samodzielnie przez oficjalną stronę lub aplikację.

Fałszywa strona może wyglądać poprawnie

W wielu kampaniach strona phishingowa nie jest już nieporadną kopią sprzed lat. Może mieć logo, kolory i układ bardzo podobny do prawdziwego serwisu. Na małym ekranie telefonu jeszcze trudniej zauważyć pełny adres domeny, zwłaszcza gdy pasek adresu szybko znika albo link został skrócony.

To dlatego nie warto oceniać bezpieczeństwa po samym wyglądzie. O autentyczności decyduje przede wszystkim adres strony, kanał wejścia i zgodność procesu z tym, czego rzeczywiście oczekuje przewoźnik. CERT Polska wprost zaleca, żeby zwracać uwagę na adres domeny i sprawdzać status przesyłki bezpośrednio na oficjalnej stronie przewoźnika.

Podobny problem pojawia się w kampaniach bankowych, gdzie fałszywe strony potrafią wyglądać bardzo podobnie do prawdziwych paneli. Więcej o tym mechanizmie znajdziesz w tekście Phishing bankowy i fałszywe strony logowania.

Jak bezpiecznie sprawdzić przesyłkę DPD

Najbezpieczniejszy nawyk to nie sprawdzać statusu paczki z linku w SMS-ie. Wejdź samodzielnie na oficjalną stronę przewoźnika albo skorzystaj z aplikacji, którą masz już zainstalowaną i zweryfikowaną. W przypadku DPD oficjalny status przesyłki można sprawdzać przez stronę śledzenia wskazaną przez przewoźnika w jego komunikatach.

Jeżeli SMS twierdzi, że trzeba pilnie zmienić termin dostawy, dopłacić niewielką kwotę albo uzupełnić dane, potraktuj to jako ostrzeżenie. Takie komunikaty są projektowane tak, żeby odbiorca kliknął odruchowo, zanim zacznie analizować szczegóły.

Najlepiej samodzielnie wpisz adres strony przewoźnika w przeglądarce, użyj oficjalnej aplikacji albo sprawdź numer przesyłki w wiadomości otrzymanej wcześniej z zaufanego źródła. Nie przechodź do płatności ani formularza danych z linku otrzymanego w podejrzanym SMS-ie.

Co zrobić, gdy dostaniesz taki SMS

Jeśli wiadomość wygląda podejrzanie, nie klikaj w link i nie odpisuj. Przekaż SMS na numer 8080. Zgodnie z instrukcją gov.pl, najlepiej użyć funkcji przekaż lub udostępnij i wysłać całą wiadomość w oryginalnej formie. Nie należy wycinać linku ani treści.

Jeśli kliknąłeś w link, ale nie podałeś danych, zamknij stronę i nie wykonuj kolejnych kroków. Jeśli podałeś dane karty, skontaktuj się natychmiast z bankiem, zastrzeż kartę i sprawdź historię operacji. Jeśli podałeś dane osobowe lub kontaktowe, zachowaj czujność wobec kolejnych prób podszycia się pod kuriera, bank albo inną instytucję.

Jeżeli chcesz zgłosić incydent szerzej, możesz skorzystać również z formularza incydent.cert.pl.

Dlaczego firmy też powinny o tym mówić

To ostrzeżenie dotyczy użytkowników indywidualnych, ale firmy nie powinny go ignorować. Pracownicy używają telefonów do prywatnych i służbowych spraw, odbierają paczki do biura, zamawiają sprzęt, materiały i przesyłki związane z pracą. Smishing związany z przesyłką może więc stać się nie tylko problemem konsumenckim, ale także wejściem do dalszego incydentu w organizacji.

Jeśli na telefonie służbowym lub prywatnym używanym do pracy ktoś poda dane, zainstaluje fałszywą aplikację albo otworzy stronę podszywającą się pod przewoźnika, skutki mogą wykroczyć poza jedną kartę płatniczą. Właśnie dlatego awareness powinien obejmować nie tylko e-mail, ale też SMS, komunikatory, QR kody i telefony.

Dla organizacji to dobry scenariusz do ćwiczeń awareness, bo nie dotyczy wyłącznie prywatnych zakupów. Pracownicy odbierają przesyłki do biura, zamawiają sprzęt, korzystają z telefonów służbowych i często reagują na SMS szybciej niż na e-mail. Bezpieczna kampania smishing pozwala sprawdzić, czy zespół rozpoznaje podejrzany link, fałszywą stronę i prośbę o dane karty, zanim podobny komunikat trafi do prawdziwego telefonu.

Dobrze pokazuje to również wpis Fałszywy SMS od ZUS. CERT Polska ostrzega przed wyłudzeniem PESEL i danych karty. Inna marka, inny pretekst, ale bardzo podobna logika: krótka wiadomość, autorytet nadawcy, presja i prośba o dane, których nie powinno się podawać po wejściu z linku.

Jak skutecznie chronić firmę przed atakiem smishing

Fałszywy SMS od kuriera to jeden z najprostszych, ale też najbardziej skutecznych scenariuszy smishing. Wystarczy, że odbiorca akurat czeka na paczkę albo uzna, że taka wiadomość mogła być prawdziwa.

Najważniejsza zasada: nie wchodź w sprawy dostawy z linku w SMS-ie. Status przesyłki sprawdzaj samodzielnie na oficjalnej stronie lub w aplikacji przewoźnika. Podejrzane wiadomości przekazuj na 8080.

Jeżeli chcesz sprawdzić, czy takie sygnały ostrzegawcze zostałyby wychwycone zanim ktoś kliknie, zacznij od krótkiego quizu phishingowego PHISHLY. A jeśli odpowiadasz za bezpieczeństwo organizacji, potraktuj ten scenariusz jako dobry kandydat do kampanii awareness obejmującej nie tylko e-mail, ale też SMS, komunikatory i telefony służbowe.