Fałszywy SMS od ZUS. CERT Polska ostrzega przed wyłudzeniem PESEL i danych karty

2026-04-17

TL;DR

CERT Polska ostrzega przed nową kampanią SMS podszywającą się pod ZUS. Wiadomość informuje o rzekomym błędzie w stanie rozliczeń ubezpieczenia zdrowotnego i zachęca do kliknięcia w link. Na kolejnym etapie ofiara ma podać numer PESEL oraz dane karty płatniczej.

To ostrzeżenie, bo taki atak nie wygląda jak skomplikowana operacja techniczna. Wygląda jak zwykła wiadomość dotycząca urzędowej sprawy, którą trzeba szybko wyjaśnić. I właśnie dlatego może działać.

O co chodzi w tej kampanii

Jak informuje CERT Polska, cyberprzestępcy rozsyłają fałszywe wiadomości SMS, w których pojawia się informacja o rzekomym błędzie w stanie rozliczeń ubezpieczenia zdrowotnego. Dalej ofiara dostaje link, a po wejściu na stronę proszona jest o podanie numeru PESEL oraz informacji o karcie płatniczej.

To klasyczny przykład smishingu, czyli phishingu prowadzonego przez SMS. Jeśli chcesz uporządkować ten mechanizm szerzej, zobacz też nasz materiał Smishing i oszustwa SMS. Kanał jest inny niż w e-mailu, ale psychologia ataku pozostaje bardzo podobna: presja, autorytet i szybka próba wyciągnięcia danych.

Dlaczego ten scenariusz jest groźny

Największa siła takich kampanii nie polega na technicznej złożoności. Polega na wiarygodnym pretekście. ZUS to instytucja, której nazwa od razu budzi skojarzenie z obowiązkami, terminami i formalnościami. Gdy w wiadomości pojawia się temat rozliczeń zdrowotnych, wiele osób może uznać, że sprawę trzeba wyjaśnić od razu.

Wystarczy krótki SMS, urzędowy kontekst i link do strony, która ma sprawiać wrażenie oficjalnej. Jeśli użytkownik działa odruchowo, może przejść dalej bez zatrzymania i oddać dane, których nigdy nie powinien wpisywać po wejściu z wiadomości tekstowej.

Dobrze tłumaczy to też tekst Co to jest phishing? Mechanizm oszustw e-mailowych. W praktyce nie chodzi tylko o e-mail. Chodzi o każdy scenariusz, w którym ktoś podszywa się pod zaufaną instytucję i próbuje zmusić odbiorcę do pochopnej decyzji.

ZUS mówi jasno, czego nigdy nie robi

W tym przypadku bardzo ważny jest prosty filtr bezpieczeństwa. ZUS podkreśla, że nigdy nie prosi o podanie danych osobowych przez SMS, e-mail lub komunikatory, nie wysyła linków do logowania ani do weryfikacji danych przez wiadomości tekstowe i nie nakłania do przelewów na wskazane konto.

To mocna wskazówka praktyczna. Jeśli wiadomość rzekomo od ZUS zawiera link i próbuje wyciągnąć PESEL albo dane karty, to nie jest standardowa komunikacja instytucji. To sygnał alarmowy.

Warto też pamiętać, że to nie jest pierwszy taki przypadek. W marcu 2025 roku ZUS ostrzegał, że oszuści rozsyłali wiadomości o problemie z płatnością, kierowali ofiary na fałszywą stronę logowania eZUS i po zalogowaniu prosili o dane karty kredytowej. Mechanizm jest więc powtarzalny. Zmienia się pretekst, ale cel pozostaje ten sam.

To nie jest tylko problem ZUS. To szerszy schemat podszycia pod instytucję

W tego typu kampaniach przestępcy regularnie wykorzystują znane marki, urzędy i podmioty, wobec których odbiorca odruchowo czuje obowiązek reakcji. Raz będzie to ZUS, innym razem bank, firma kurierska, NFZ albo serwis streamingowy. Najważniejsze jest to, by komunikat wyglądał wystarczająco naturalnie i wywołał pośpiech.

Jeśli chcesz zobaczyć podobny model w innym obszarze, sprawdź też materiał o phishingu bankowym podszywającym się pod znane instytucje. W obu przypadkach napastnik nie musi od razu łamać zabezpieczeń. Wystarczy, że skłoni człowieka do wpisania danych we właściwym dla siebie miejscu.

Jakie sygnały powinny od razu zapalić lampkę

Najbardziej podejrzane są wiadomości, które:

• informują o błędzie, zaległości albo pilnej konieczności weryfikacji
• zawierają link prowadzący do strony logowania lub płatności
• proszą o PESEL, dane karty lub inne wrażliwe informacje
• wymuszają szybką reakcję pod presją czasu albo konsekwencji

W praktyce najprostsza zasada jest bardzo skuteczna: nie wchodź do żadnego rzekomego panelu ZUS z linku otrzymanego w SMS-ie. Jeśli chcesz coś sprawdzić, wejdź samodzielnie na oficjalną stronę albo skontaktuj się z instytucją przez znany kanał.

Co zrobić, jeśli kliknąłeś

Jeżeli kliknąłeś w link, ale nie podałeś danych, zamknij stronę i nie wykonuj dalej żadnych działań. Jeśli jednak podałeś dane karty, skontaktuj się natychmiast z bankiem, zastrzeż kartę i poproś o sprawdzenie podejrzanych operacji. Jeśli wpisałeś PESEL lub inne dane osobowe, potraktuj to poważnie i obserwuj, czy nie pojawiają się kolejne próby podszycia się pod Ciebie lub wykorzystania tych danych w innych oszustwach. Rozważ kwestię zastrzeżenia numer PESEL.

Samą kampanię warto zgłosić do CERT Polska, zgodnie z rekomendacją z komunikatu. To pomaga szybciej blokować infrastrukturę używaną przez oszustów.

Sprawdź swoją czujność w QUIZ PHISHLY

Ta kampania podszywająca się pod ZUS to dobry przykład tego, że skuteczny phishing nie musi być skomplikowany. Wystarczy SMS, wiarygodny temat i dobrze dobrany moment. Kiedy w grę wchodzą rozliczenia zdrowotne, urząd i możliwość problemów formalnych, wiele osób reaguje szybciej, niż powinno.

Dlatego najważniejsza zasada pozostaje niezmienna: nie ufaj samemu kontekstowi wiadomości. Jeśli SMS prowadzi do wpisania PESEL, danych karty albo logowania, zatrzymaj się i sprawdź sprawę innym kanałem.

Jeżeli chcesz sprawdzić, czy takie sygnały ostrzegawcze zostałyby wychwycone zanim ktoś kliknie, zacznij od krótkiego quizu phishingowego PHISHLY.