Mandat, marketplace i inwestycja. Węgierski KiberPajzs pokazuje scamy pod presją

2026-05-10

TL;DR

Węgierski KiberPajzs opisuje trzy konkretne przypadki, które warto czytać przez jeden mechanizm: fałszywy mandat wysyłany SMS-em lub e-mailem, oszustwo sprzedażowe na marketplace i inwestycję, która zaczyna się od obietnicy szybkiego zysku, a kończy wysoką stratą. To nie są identyczne ataki i nie wszystkie są phishingiem w ścisłym technicznym sensie. Łączy je jednak presja na decyzję i szybkie przejście do płatności.

Dla firm w Polsce to ważne, bo pracownicy nie żyją tylko w świecie e-mailowego phishingu. Podejmują decyzje płatnicze, kupują, odpowiadają na wiadomości, korzystają z komunikatorów, obsługują faktury i prywatnie uczą się nawyków, które później mogą przenieść do pracy.

Czym jest KiberPajzs i dlaczego ten przypadek jest ciekawy

KiberPajzs to węgierska inicjatywa informacyjna dotycząca cyberoszustw i ochrony użytkowników. Dla polskiego czytelnika jej wartość nie polega na lokalnych nazwach czy węgierskich realiach. Najważniejsze są schematy, które można łatwo przenieść na nasz rynek.

W opisanych przykładach pojawiają się trzy różne sytuacje: fałszywa kara, fałszywy sprzedawca i fałszywa inwestycja. Jedna wiadomość straszy konsekwencjami. Druga wykorzystuje okazję zakupową. Trzecia buduje relację i obietnicę zysku. Każda prowadzi użytkownika do podobnego miejsca: zapłać, przelej, dopłać, potwierdź, zareaguj szybko.

To dlatego taki materiał ma sens w programach security awareness. Chodzi o to, żeby w porę rozpoznać moment, w którym ktoś próbuje przejąć decyzje.

Fałszywy mandat skraca drogę do płatności

Scenariusz fałszywego mandatu jest prosty i dlatego skuteczny. Odbiorca dostaje SMS albo e-mail o rzekomym wykroczeniu. Pojawia się numer sprawy, krótki termin i groźba egzekucji albo dodatkowych konsekwencji. Link ma prowadzić do zapłaty.

To nie jest atak na ciekawość. To atak na stres. Człowiek nie chce problemów z urzędem, nie chce większej kary i nie chce tracić czasu na wyjaśnienia. Jeśli kwota wygląda wiarygodnie, a komunikat brzmi formalnie, część osób wybierze szybkie zamknięcie sprawy.

Na PHISHLY podobny polski schemat opisaliśmy w materiale SMS o mandacie. CERT Polska ostrzega przed wyłudzeniem danych karty. Węgierski przypadek pokazuje, że ten model działa ponad granicami. Zmieniają się instytucje i język, ale mechanizm pozostaje ten sam.

Marketplace i przedpłata jako miękki scam

Drugi przypadek dotyczy zakupów na internetowym marketplace. Przedmiot wygląda atrakcyjnie, cena bywa korzystna, sprzedający wydaje się wiarygodny, a presja jest zbudowana wokół okazji. Kupujący przelewa zaliczkę albo pełną kwotę, a później produkt nie przychodzi, sprzedawca znika i kontakt się urywa.

To nie zawsze jest phishing w technicznym sensie, bo nie musi dochodzić do wyłudzenia loginu ani danych karty. Z perspektywy awareness jest jednak bardzo blisko. Przestępca przejmuje decyzję użytkownika przez kontekst, emocję i pośpiech. Nie włamuje się do systemu. Wchodzi w normalny proces zakupu i przestawia go na swoją korzyść.

W polskich realiach taki scenariusz może dotyczyć portali ogłoszeniowych, grup sprzedażowych, marketplace, używanego sprzętu, elektroniki, biletów, części samochodowych albo przedmiotów kolekcjonerskich. W firmach podobny mechanizm może dotyczyć zakupów drobnego sprzętu, licencji, usług jednorazowych, domen, eventów albo zapytań od dostawców.

Niska kwota i pozorna rutyna potrafią ominąć zdrowy rozsądek skuteczniej niż skomplikowany malware. Jeśli zakup wygląda jak mała sprawa, rzadziej uruchamiamy pełną weryfikację. Właśnie to wykorzystują oszuści.

Inwestycja, która staje się pułapką

Najbardziej rozbudowany jest scenariusz inwestycyjny. Zaczyna się od obietnicy szybkiego zysku i profesjonalnego kontaktu. Pojawia się konsultant, aplikacja, panel z rosnącym saldem, kolejne wpłaty i przekonanie, że pieniądze naprawdę pracują. Potem przychodzi próba wypłaty i dodatkowy warunek: opłata, podatek, prowizja, weryfikacja albo dopłata.

To nie jest jednorazowa wiadomość. To relacja. Oszust inwestycyjny buduje zaufanie przez tygodnie lub miesiące. Pokazuje liczby, utrzymuje kontakt, normalizuje wpłaty, a na końcu grozi utratą całego salda, jeśli ofiara nie wykona kolejnego przelewu.

Właśnie dlatego takie scamy są groźne. Ofiara nie przegrywa pieniędzy w jednym momencie. Jest stopniowo wciągana w proces, w którym każda kolejna wpłata ma ratować poprzednią. Jeśli pojawia się kredyt, presja konsultanta i fałszywy panel z zyskiem, atak przeszedł już daleko poza zwykłą wiadomość.

Dla organizacji to ważny sygnał, bo podobne techniki pojawiają się w atakach BEC, fałszywych dostawcach, oszustwach fakturowych i manipulacji osobami decyzyjnymi. BEC, czyli business email compromise, oznacza przejęcie lub podszycie się pod komunikację biznesową po to, aby nakłonić firmę do przelewu, zmiany rachunku albo ujawnienia informacji. Najgroźniejsze ataki nie zawsze są szybkie. Czasem dojrzewają w czasie.

Wspólny rdzeń: decyzja pod presją

Mandat, marketplace i inwestycja wyglądają inaczej, ale każdy z tych scenariuszy ma ten sam rdzeń. Najpierw pojawia się kontekst, który odbiorca rozumie. Potem emocja: strach, okazja albo chciwość. Następnie presja: termin, dostępność, konsultant, ryzyko utraty pieniędzy. Na końcu pojawia się działanie: link, przelew, zaliczka, karta, dane albo kolejna rozmowa.

Właśnie dlatego te przykłady warto omawiać razem. Użytkownik nie musi znać każdego wariantu oszustwa. Musi nauczyć się rozpoznawać moment, w którym ktoś próbuje przejąć tempo decyzji.

Jeżeli komunikat mówi: zapłać teraz, decyzja tylko dziś, weryfikacja natychmiast, oferta zniknie, kara wzrośnie, saldo przepadnie, to nie jest zwykła informacja. To próba przesunięcia użytkownika z myślenia w reakcję.

Ten mechanizm działa tak samo w Polsce. Może pojawić się jako dopłata do paczki, fałszywy mandat, inwestycja w kryptowaluty, okazja zakupowa, atrakcyjna oferta sprzętu, fałszywa faktura albo zmiana rachunku dostawcy.

Co firmy mogą z tym zrobić

W programach awareness warto wyjść poza klasyczne maile z fałszywym logowaniem. Pracownik powinien ćwiczyć sytuacje płatnicze, zakupowe i inwestycyjne, bo w pracy również podejmuje decyzje finansowe. Nawet jeśli prywatny scam nie dotyka firmy bezpośrednio, uczy lub utrwala sposób reagowania pod presją. A ten sam odruch może wrócić w środowisku służbowym.

Dobry scenariusz testowy może dotyczyć drobnej opłaty administracyjnej, atrakcyjnej oferty sprzętu, pilnej zaliczki, zmienionego numeru konta, fałszywego dostawcy albo rzekomej inwestycji dla pracowników. Celem nie jest zawstydzenie użytkownika. Celem jest sprawdzenie, czy potrafi przerwać proces, zweryfikować źródło i zgłosić wątpliwość.

Właśnie o tym piszemy w materiale Testy phishingowe dla firm. Jak sprawdzić realną odporność pracowników, a nie tylko kliknięcia. Kliknięcie jest tylko jednym z etapów. W scamach finansowych ważniejsza bywa decyzja o płatności.

Jak powinien zachować się użytkownik

Przy fałszywym mandacie nie należy płacić z linku w SMS-ie lub e-mailu. Sprawę trzeba sprawdzić samodzielnie przez oficjalny kanał. Przy zakupie na marketplace warto unikać przedpłat nieznanym osobom, sprawdzać profil sprzedawcy i nie działać pod presją okazji. Przy inwestycjach trzeba szczególnie uważać na obietnice szybkiego zysku, fałszywe panele, konsultantów naciskających na kolejne wpłaty i opłaty wymagane przed wypłatą środków.

W każdym z tych scenariuszy działa ta sama zasada: jeśli ktoś przyspiesza decyzję, trzeba zwolnić. Jeśli prosi o pieniądze, trzeba zweryfikować. Jeśli pojawia się link, przelew, zaliczka albo dopłata, trzeba wyjść z kanału i sprawdzić sprawę niezależnie.

W firmie dodatkowo warto zgłosić podejrzaną wiadomość albo sytuację do zespołu bezpieczeństwa, finansów lub przełożonego. Oszustwa płatnicze rzadko są problemem jednej osoby. Często testują proces.

Wniosek

Przypadki opisane przez KiberPajzs dobrze pokazują, że granica między phishingiem a innymi scamami finansowymi jest coraz mniej wygodna redakcyjnie. Dla przestępcy nie ma większego znaczenia, czy użytkownik poda login, kliknie link, przeleje zaliczkę czy uwierzy w inwestycję. Liczy się skutek: decyzja podjęta pod wpływem presji.

Dla organizacji najlepsza lekcja jest prosta. Nie ćwiczyć tylko podejrzanego maila. Ćwiczyć podejrzany proces. Jeśli pojawia się pieniądz, termin, autorytet, okazja albo groźba konsekwencji, użytkownik powinien zatrzymać się, wyjść z kanału, zweryfikować sprawę niezależnie i dopiero wtedy działać.