Fałszywy zwrot 389,88 euro. Phishing podszywa się pod Deutsche Rentenversicherung

2026-05-08

TL;DR

Verbraucherzentrale ostrzega przed fałszywą wiadomością podszywającą się pod Deutsche Rentenversicherung, czyli niemiecką instytucję odpowiedzialną za ubezpieczenia emerytalne. Odbiorca ma rzekomo otrzymać 389,88 euro zwrotu po błędzie rozliczeniowym. Aby odebrać pieniądze, ma kliknąć przycisk Jetzt Auszahlung anfordern i przejść na zewnętrzną stronę.

To dobry przykład phishingu, który nie straszy blokadą konta ani karą. Działa inaczej: obiecuje zwrot pieniędzy, podaje precyzyjną kwotę i wykorzystuje język urzędowej procedury. Dla firm w Polsce to ważny scenariusz do ćwiczenia, bo podobna wiadomość mogłaby równie dobrze podszywać się pod ZUS, urząd skarbowy, bank, operatora benefitów, dział kadr albo dostawcę prywatnej opieki medycznej.

O co chodzi w ostrzeżeniu

7 maja 2026 roku niemiecki Phishing-Radar Verbraucherzentrale opisał wiadomość podszywającą się pod Deutsche Rentenversicherung. Tematem maila jest rzekoma informacja o rozliczeniu składek i zwrocie pieniędzy. Nadawca sugeruje, że w rozliczeniu wystąpił błąd, przez który odbiorcy należy się zwrot 389,88 euro.

Mechanizm jest prosty. Wiadomość tworzy wrażenie oficjalnej procedury, podaje konkretną kwotę i zachęca do przejścia na zewnętrzną stronę przez przycisk prowadzący do rzekomego wniosku o wypłatę. Dodatkowo pojawia się krótki termin, zwykle trzy dni robocze. Jeśli odbiorca nie zareaguje, ma stracić prawo do zwrotu.

To połączenie bardzo często działa na użytkowników. Jest autorytet instytucji publicznej. Jest pieniądz. Jest termin. Jest przycisk. Wystarczy chwila nieuwagi, żeby odbiorca potraktował wiadomość jak rutynową formalność.

Ten przykład jest częścią szerszego wzorca widocznego w niemieckim Phishing-Radarze Verbraucherzentrale. Więcej o powtarzalnych schematach z niemieckich ostrzeżeń piszemy w tekście Niemiecki Phishing-Radar. Powtarzalne schematy phishingu, które warto ćwiczyć w firmie.

Dlaczego obietnica zwrotu bywa skuteczniejsza niż groźba

Wiele kampanii phishingowych opiera się na strachu: konto zostanie zablokowane, karta przestanie działać, przesyłka wróci do nadawcy, mandat wzrośnie, dostęp do usługi zostanie przerwany. W tym przypadku emocja jest inna. Oszust nie grozi stratą. Obiecuje zysk.

To psychologicznie bardzo wygodne. Odbiorca nie czuje, że robi coś ryzykownego. Ma wrażenie, że odzyskuje należne mu pieniądze. Precyzyjna kwota 389,88 euro dodatkowo zwiększa wiarygodność, bo brzmi jak wynik rzeczywistego rozliczenia, a nie przypadkowa obietnica.

Podobny mechanizm może działać w Polsce przy fałszywych nadpłatach podatku, zwrotach składek, dopłatach, korektach rachunków, świadczeniach albo rozliczeniach z urzędem. Marka i język zmienią się w zależności od kraju, ale scenariusz pozostanie ten sam: znana instytucja, konkretna kwota, krótki termin i prośba o przejście przez link.

Jeżeli chcesz uporządkować podstawowy mechanizm takich wiadomości, zobacz też tekst Co to jest phishing? Mechanizm oszustw e-mailowych. Ten przykład dobrze pokazuje, że phishing nie zawsze wygląda jak agresywna groźba. Czasem wygląda jak dobra wiadomość.

Fałszywy urząd, prawdziwe emocje

Oszustwa podszywające się pod instytucje publiczne mają jedną przewagę nad zwykłymi kampaniami marketingowymi: korzystają z autorytetu. Wiele osób nie zna dokładnie procedur administracyjnych. Nie wie, jak wygląda prawidłowa komunikacja konkretnej instytucji, jakie kanały są używane, kiedy można spodziewać się pisma, a kiedy e-maila.

Przestępcy wykorzystują tę lukę. Wiadomość wygląda urzędowo, używa formalnego języka, powołuje się na rozliczenie, błąd, termin i konieczność cyfrowego potwierdzenia. Dla odbiorcy brzmi to jak procedura, której lepiej nie ignorować.

Deutsche Rentenversicherung ostrzega osobno, że krążą fałszywe wiadomości przygotowane w jej stylu. Oszuści wykorzystują logo, styl komunikacji i zewnętrzne strony, aby skłonić odbiorców do podania danych osobowych albo płatniczych. Instytucja podkreśla, że danych osobowych nie żąda mailowo.

To ważna zasada także poza Niemcami. Jeżeli instytucja publiczna rzekomo prosi przez e-mail o dane osobowe, płatnicze, logowanie albo potwierdzenie tożsamości na zewnętrznej stronie, trzeba zatrzymać proces i zweryfikować sprawę niezależnie.

Co powinno wzbudzić podejrzenie

W tym scenariuszu ostrzegawcze są nie tylko błędy techniczne. Nawet gdyby wiadomość była napisana poprawnie i wyglądała wiarygodnie, sam proces powinien budzić ostrożność.

Po pierwsze, pojawia się link w wiadomości prowadzący do zewnętrznej strony. Po drugie, sprawa dotyczy pieniędzy i danych. Po trzecie, odbiorca ma działać szybko, bo termin jest krótki. Po czwarte, pojawia się sugestia utraty prawa do zwrotu, jeśli czynność nie zostanie wykonana w wyznaczonym czasie.

To są elementy, które warto ćwiczyć w programach awareness. Nie chodzi o to, żeby pracownik znał każdy niemiecki urząd albo każdą możliwą kampanię. Chodzi o to, żeby rozpoznał układ: pieniądze, termin, link, zewnętrzna strona i presja na szybkie działanie.

Podobną logikę w polskim kontekście widać w kampaniach opartych na fałszywych opłatach i urzędowych pretekstach, na przykład przy tekście SMS o mandacie. CERT Polska ostrzega przed wyłudzeniem danych karty. Tam pretekst jest inny, ale mechanika podobna: instytucja, pieniądze, link i szybka reakcja.

Jak taki schemat mógłby zadziałać w Polsce

Ten niemiecki przykład nie powinien być traktowany jako ciekawostka. Schemat jest uniwersalny. W Polsce podobna wiadomość mogłaby podszywać się pod ZUS, urząd skarbowy, Narodowy Fundusz Zdrowia, bank, operatora programu benefitowego, firmę rozliczającą delegacje albo wewnętrzny dział kadr.

Wystarczy zmienić nazwę instytucji i pretekst. Zamiast zwrotu z Deutsche Rentenversicherung może pojawić się nadpłata składki, korekta podatku, zwrot za ubezpieczenie, refundacja świadczenia, rozliczenie PIT, dopłata z programu socjalnego albo korekta wynagrodzenia. Odbiorca nie musi znać szczegółów procedury. Ma zobaczyć coś, co brzmi możliwie i dotyczy pieniędzy.

Dla firm szczególnie ciekawe są scenariusze kadrowe i benefitowe. Wiadomość o korekcie wynagrodzenia, zwrocie kosztów, rozliczeniu delegacji albo aktualizacji danych do przelewu może trafić dokładnie w codzienny kontekst pracy. Jeśli dodatkowo pojawi się konkretna kwota i krótki termin, część osób zareaguje szybciej, niż powinna.

Dlatego w szkoleniach nie warto ograniczać się do klasycznych przykładów typu fałszywy bank albo fałszywa paczka. Trzeba ćwiczyć też oszustwa, które wyglądają jak dobra wiadomość.

Jak powinien zareagować odbiorca

Najbezpieczniejsza reakcja jest prosta: nie klikać w przycisk z wiadomości. Jeśli sprawa dotyczy zwrotu, nadpłaty, świadczenia albo rozliczenia, trzeba wejść na oficjalną stronę instytucji samodzielnie, przez znany adres, aplikację lub sprawdzony kanał kontaktu.

Nie należy podawać danych osobowych, bankowych ani płatniczych na stronie otwartej z linku w e-mailu. Nie warto też odpowiadać na podejrzaną wiadomość. W przypadku Niemiec Verbraucherzentrale zaleca przesłanie podejrzanego maila na adres phishing@verbraucherzentrale.nrw, a jeśli ktoś chce sprawdzić informacje o swoim koncie emerytalnym, powinien korzystać wyłącznie z oficjalnych stron Deutsche Rentenversicherung.

W Polsce analogiczna zasada brzmi: jeżeli wiadomość dotyczy urzędu, świadczenia, podatku, składki, płatności albo zwrotu pieniędzy, nie przechodź przez link z maila lub SMS-a. Zweryfikuj sprawę w oficjalnym serwisie albo przez znany kanał kontaktu.

Co jeśli dane zostały podane

Jeżeli ktoś podał dane osobowe, dane logowania, dane bankowe albo dane płatnicze na fałszywej stronie, nie powinien czekać na pierwszą stratę. Oznacza to zmianę hasła, unieważnienie aktywnych sesji, kontakt z bankiem, jeśli podano dane płatnicze, oraz zgłoszenie sprawy odpowiednim kanałem. W firmie taki przypadek powinien trafić także do IT lub zespołu bezpieczeństwa, bo prywatny incydent może szybko przenieść się na konto służbowe, zwłaszcza jeśli użytkownik używa podobnych haseł albo tych samych urządzeń.

Ten wątek warto połączyć z edukacją o reakcjach po kliknięciu. Sam błąd nie jest końcem świata, jeśli organizacja szybko się o nim dowie. Problem zaczyna się wtedy, gdy użytkownik ukrywa incydent, próbuje rozwiązać go samodzielnie albo nie wie, komu go zgłosić.

W programach awareness trzeba więc mówić nie tylko jak nie kliknąć, ale także co zrobić po błędzie. W praktyce to często decyduje, czy incydent zostanie zatrzymany na poziomie jednej osoby, czy rozleje się dalej.

Lekcja dla firm i programów awareness

Ten przypadek jest bardzo dobrym scenariuszem do ćwiczeń, bo nie opiera się na agresywnej groźbie. Wiele testów phishingowych w firmach nadal kręci się wokół blokady konta, pilnej faktury albo nieznanego załącznika. Tymczasem obietnica zwrotu pieniędzy potrafi być równie skuteczna.

W środowisku firmowym podobny pretekst można zbudować wokół nadpłaty w benefitach, korekty podatkowej, zwrotu za delegację, aktualizacji danych do przelewu, rozliczenia składek, prywatnej opieki medycznej albo programu emerytalnego. To są tematy, które pracownicy znają i które naturalnie łączą się z pieniędzmi oraz administracją.

Dobrze zaprojektowane testy phishingowe dla firm powinny mierzyć nie tylko kliknięcia. W takim scenariuszu ważniejsze jest, czy pracownik zatrzymał się przy obietnicy zwrotu, czy zweryfikował żądanie niezależnym kanałem, czy zgłosił wiadomość i czy nie podał danych na stronie otwartej z linku.

Taki scenariusz dobrze sprawdza też odporność procesu. Jeżeli użytkownik zgłasza wiadomość, czy zespół bezpieczeństwa potrafi szybko ocenić ryzyko. Czy firma może ostrzec innych pracowników. Czy da się usunąć podobne wiadomości z pozostałych skrzynek. Czy wiadomo, co zrobić, jeśli ktoś podał dane. Awareness nie powinien kończyć się na plakacie. Musi łączyć zachowanie użytkownika z reakcją organizacji.

Wniosek

Fałszywy zwrot z Deutsche Rentenversicherung pokazuje, że phishing nie musi straszyć, żeby działać. Czasem wystarczy obiecać konkretną kwotę, dodać urzędowy język, krótki termin i przycisk prowadzący do zewnętrznej strony.

Dla użytkownika najważniejszy nawyk jest praktyczny: jeśli wiadomość obiecuje zwrot pieniędzy, nadpłatę albo świadczenie, nie zaczynaj od kliknięcia. Wejdź do instytucji samodzielnie, przez oficjalny kanał. Dla organizacji wniosek jest równie konkretny: w ćwiczeniach awareness trzeba testować nie tylko strach przed stratą, ale też podatność na obietnicę korzyści.

To, że przykład pochodzi z Niemiec, nie ogranicza jego znaczenia. Przestępcy mogą zmienić język, markę i instytucję, ale zostawić ten sam mechanizm. A właśnie mechanizm, nie logo na wiadomości, powinien być głównym przedmiotem szkolenia.