Niemiecki Phishing-Radar. Powtarzalne schematy phishingu, które warto ćwiczyć w firmie

2026-05-08

TL;DR

Niemiecki Phishing-Radar Verbraucherzentrale dobrze pokazuje, że współczesny phishing jest bardziej powtarzalny, niż często się wydaje. Kampanie zmieniają marki, język i pretekst, ale mechanizm pozostaje podobny: znana instytucja, pilna sprawa, link w wiadomości, presja czasu i próba wymuszenia decyzji, zanim odbiorca spokojnie zweryfikuje sytuację.

Dla firm w Polsce to nie jest ciekawostka z rynku niemieckiego. To gotowy materiał do ćwiczeń security awareness, bo te same wzorce wracają w polskich kampaniach podszywających się pod banki, operatorów, urzędy, firmy kurierskie, platformy streamingowe i popularne usługi online.

Czym jest niemiecki Phishing-Radar

Verbraucherzentrale prowadzi stronę Phishing-Radar: Aktuelle Warnungen, na której publikuje bieżące przykłady podejrzanych wiadomości zgłaszanych przez użytkowników. Strona jest aktualizowana cyklicznie i działa jak praktyczny radar ostrzeżeń: pokazuje, jakie marki, instytucje i preteksty są aktualnie wykorzystywane w kampaniach phishingowych.

Verbraucherzentrale to niemiecka organizacja ochrony konsumentów. W tym przypadku ważne jest nie tylko to, że publikuje konkretne ostrzeżenia, ale także to, że pokazuje ciągłość zjawiska. Dzień po dniu pojawiają się podobne schematy: problemy z płatnością, rzekome zwroty pieniędzy, aktualizacje danych, blokady kont i procedury bezpieczeństwa.

Amazon Prime: płatność, utrata korzyści i presja na aktualizację danych

W ostrzeżeniu z 8 maja Verbraucherzentrale opisuje wiadomość podszywającą się pod Amazon Prime. Pretekst jest prosty: rzekomy problem z pobraniem opłaty za członkostwo i konieczność aktualizacji metody płatności. W wiadomości pojawia się też sugestia, że część korzyści Prime, takich jak wideo, muzyka czy szybka dostawa, jest niedostępna.

To klasyczna technika oszustwa subskrypcyjnego. Przestępcy nie muszą straszyć ofiary dużą stratą. Wystarczy, że zasugerują utratę usługi, z której odbiorca może korzystać na co dzień. W takim scenariuszu użytkownik nie myśli o bezpieczeństwie. Myśli o przywróceniu normalności.

Ten mechanizm dobrze łączy się z kampaniami podszywającymi się pod inne popularne usługi online. W Polsce bardzo podobny pretekst może dotyczyć platform streamingowych, usług chmurowych, narzędzi AI, marketplace, kont pocztowych albo dostawców oprogramowania. Marka się zmienia, ale emocja zostaje ta sama: konto, usługa, płatność i szybka decyzja.

Na PHISHLY opisywaliśmy podobny schemat przy okazji tekstu Fałszywa płatność za ChatGPT. Phishing podszywa się pod OpenAI. Tam również osią ataku była znana usługa, płatność i próba skłonienia użytkownika do działania z linku.

Deutsche Rentenversicherung: zwrot pieniędzy działa tak samo jak groźba blokady

Dzień wcześniej Verbraucherzentrale opisała fałszywą wiadomość podszywającą pod Deutsche Rentenversicherung, czyli niemieckie ubezpieczenie emerytalne. Tym razem odbiorca nie miał uniknąć blokady ani dopłacić zaległości. Miał odebrać rzekomy zwrot pieniędzy. W wiadomości pojawiła się konkretna kwota 389,88 euro i krótki termin na potwierdzenie wypłaty.

To ważny wariant phishingu, bo pokazuje, że presja nie zawsze musi opierać się na strachu. Czasem wystarczy obietnica korzyści. Jeżeli użytkownik widzi konkretną kwotę, urzędowy kontekst i krótki termin, może potraktować sprawę jak okazję, której nie chce stracić.

Ten wzorzec regularnie wraca również w Polsce. Może dotyczyć zwrotu podatku, dopłaty, nadpłaty za energię, korekty rachunku, świadczenia, rekompensaty albo rzekomego zwrotu z instytucji publicznej. Atakujący wykorzystują autorytet instytucji oraz prostą motywację: odbiorca chce odzyskać pieniądze.

Dla programu awareness to bardzo dobry przykład. Warto ćwiczyć nie tylko reakcję na groźbę blokady konta, ale także reakcję na obietnicę zysku. Jedno i drugie ma wywołać ten sam efekt: działanie bez niezależnej weryfikacji.

Banki: aktualizacja TAN, dane klienta i straszenie ograniczeniem konta

W kolejnych ostrzeżeniach pojawiają się banki: Commerzbank, Volksbank i Targobank. Tu scenariusz jest bardzo rozpoznawalny. Klient ma zaktualizować procedurę TAN, potwierdzić dane, przejść rzekomą kontrolę bezpieczeństwa albo wykonać czynność, bez której konto lub karta zostaną ograniczone.

TAN, czyli transaction authentication number, to kod lub procedura autoryzacji transakcji stosowana w bankowości. Dla wielu użytkowników brzmi technicznie i wiarygodnie, więc oszuści chętnie wykorzystują takie pojęcia. Wiadomość udaje, że chodzi o bezpieczeństwo, zgodność z procedurami albo ochronę konta. W rzeczywistości prowadzi użytkownika do wykonania instrukcji przygotowanej przez przestępców.

To jeden z najbardziej trwałych modeli phishingu bankowego. Przestępcy łączą kilka sygnałów naraz: bezpieczeństwo, aktualizację danych, krótki termin i groźbę ograniczenia dostępu. Użytkownik ma odnieść wrażenie, że działa zgodnie z oczekiwaniem banku, choć w rzeczywistości wychodzi poza bezpieczny proces.

W Polsce ten mechanizm działa tak samo. Zmienia się nazwa banku, system autoryzacji i język wiadomości, ale rdzeń pozostaje identyczny. Klient ma uwierzyć, że musi szybko potwierdzić dane, odblokować konto, zaktualizować aplikację, aktywować zabezpieczenie albo zatwierdzić procedurę.

Warto podkreślić jedną rzecz: takie kampanie nie muszą wyglądać technicznie prymitywnie. Często są poprawne wizualnie, używają języka zgodnego z bankowością i dobrze imitują rutynowe komunikaty. Dlatego szkolenia oparte wyłącznie na błędach ortograficznych i brzydkim wyglądzie wiadomości są niewystarczające.

Jeżeli chcesz uporządkować podstawowy mechanizm tych ataków, zobacz też materiał Co to jest phishing? Mechanizm oszustw e-mailowych. Dzisiejsze przykłady pokazują, że phishing nie polega już tylko na podejrzanym linku. Często jest całym scenariuszem, który ma wyglądać jak zwykły proces obsługi konta.

Spotify: subskrypcja jako wygodny pretekst

W ostrzeżeniu z 30 kwietnia pojawia się Spotify. Wiadomość informuje o rzekomej konieczności sprawdzenia płatności za subskrypcję Premium i grozi czasową blokadą dostępu. To przykład, który dobrze pokazuje, jak phishing przesuwa się między usługami finansowymi, administracyjnymi i rozrywkowymi.

Subskrypcje są wygodnym celem, bo wiele osób ma ich kilka lub kilkanaście. Płatności odnawiają się automatycznie, użytkownik nie zawsze pamięta datę rozliczenia, a komunikat o problemie z kartą wydaje się prawdopodobny. Przestępca nie musi znać szczegółów konta. Wystarczy, że trafi na odbiorcę, który korzysta z danej usługi albo uzna wiadomość za możliwą.

W Polsce ten sam schemat może dotyczyć platform streamingowych, aplikacji do nauki, usług chmurowych, narzędzi firmowych, subskrypcji oprogramowania albo kont premium w popularnych serwisach. To nie jest problem jednej marki. To problem automatycznych płatności, które użytkownik traktuje jako codzienne tło.

Z punktu widzenia security awareness to bardzo dobry scenariusz do ćwiczenia prostej zasady: płatności i subskrypcji nie aktualizujemy z linku w mailu. Wchodzimy do aplikacji lub na stronę samodzielnie, znaną ścieżką.

Wspólny wzorzec: marka się zmienia, mechanika zostaje

Największa wartość niemieckiego Phishing-Radaru nie polega na tym, że wymienia konkretne marki. Marki będą się zmieniać. Jednego dnia będzie to bank, drugiego platforma streamingowa, trzeciego urząd, czwartego sklep internetowy. Ważniejsze są powtarzalne mechanizmy.

Pojawia się znana nazwa. Pojawia się temat pieniędzy albo dostępu do konta. Pojawia się krótki termin. Pojawia się link. Pojawia się sugestia, że brak działania spowoduje stratę albo że szybkie działanie przyniesie korzyść. To właśnie te elementy powinny być ćwiczone w organizacjach.

Na PHISHLY podobny kierunek opisywaliśmy w tekście Kwiecień 2026 w phishingu. Legalne platformy, QR, CAPTCHA i ataki na tożsamość. Wniosek jest spójny: phishing coraz rzadziej da się rozpoznać po jednym prostym sygnale. Trzeba patrzeć na cały proces.

Co z tego wynika dla firm w Polsce

Polska organizacja nie musi mieć klientów w Niemczech, żeby korzystać z takich ostrzeżeń. Wzorce są transgraniczne. Jeżeli w Niemczech pojawia się kampania o aktualizacji płatności, zwrocie pieniędzy albo procedurze bankowej, podobny pretekst może zostać użyty w Polsce z inną marką i inną wersją językową.

Polski kontekst pokazuje skalę problemu. Według NASK, CERT Polska otrzymał w 2025 roku 658 320 zgłoszeń i zarejestrował 260 783 unikalne incydenty bezpieczeństwa. Aż 97 procent z nich stanowiły oszustwa komputerowe, w tym phishing, oszustwa inwestycyjne oraz inne formy wyłudzania danych lub pieniędzy.

To pokazuje, że nie mówimy o niszowym problemie. Mówimy o codziennym tle pracy, prywatnych płatności, kontaktów z bankami, urzędami i usługami online. Niemieckie przykłady są po prostu inną wersją tych samych scenariuszy, z którymi użytkownicy w Polsce spotykają się regularnie.

Jak wykorzystać przykłady w security awareness

Zamiast mówić tylko: uważajcie na Amazon Prime, lepiej pokazać mechanizm: problem z płatnością, utrata korzyści, link do aktualizacji danych. Zamiast mówić tylko: uważajcie na bank, warto wyjaśnić schemat: aktualizacja procedury bezpieczeństwa, krótki termin, groźba blokady konta. Zamiast mówić tylko: uważajcie na rzekomy zwrot, trzeba przećwiczyć zasadę niezależnej weryfikacji przez oficjalny kanał.

Dobrze zaprojektowane testy phishingowe dla firm powinny mierzyć właśnie takie zachowania: czy pracownik zatrzymał się przy presji czasu, czy nie kliknął w link do płatności, czy wszedł do usługi znaną ścieżką, czy zgłosił podejrzaną wiadomość i czy zespół bezpieczeństwa potrafił szybko zareagować.

Warto też budować scenariusze nie tylko na podstawie polskich alertów. Jeżeli pojawiają się komunikaty bankowe o aktualizacji procedury, można przećwiczyć podobny wzorzec na przykładzie wewnętrznego systemu finansowego lub usługi, z której firma rzeczywiście korzysta.

Chodzi o trening decyzji: zatrzymać się, nie działać z linku, sprawdzić niezależnym kanałem, zgłosić wiadomość.

Co powinien zapamiętać użytkownik

W praktyce zasada jest prosta, ale wymaga konsekwencji. Jeżeli wiadomość dotyczy pieniędzy, płatności, zwrotu, danych klienta, procedury bankowej albo blokady konta, nie zaczynaj od kliknięcia. Wejdź do usługi samodzielnie, przez znaną aplikację albo ręcznie wpisany adres. Jeżeli sprawa jest prawdziwa, znajdziesz ją także tam.

Nie odpowiadaj na podejrzane wiadomości. Nie podawaj danych płatniczych ani danych logowania po wejściu z linku w mailu. Nie ufaj samemu logo, stopce, poprawnemu językowi ani nazwie znanej marki. To wszystko można skopiować.

Warto też zgłaszać podejrzane wiadomości. Verbraucherzentrale zachęca niemieckich użytkowników do przesyłania podejrzanych e-maili na adres phishing@verbraucherzentrale.nrw, a w Polsce podobną rolę pełnią kanały zgłoszeniowe CERT Polska. Zgłoszenia nie są tylko formalnością. Pomagają szybciej identyfikować kampanie, blokować domeny i ostrzegać innych.

Dlaczego ten temat jest ważny dla zarządzających bezpieczeństwem

Z perspektywy osoby odpowiedzialnej za bezpieczeństwo najważniejszy wniosek jest prosty: użytkownicy nie potrzebują kolejnej listy marek do zapamiętania. Potrzebują rozumieć mechanikę.

Jeżeli szkolenie mówi tylko o konkretnym banku, konkretnej platformie albo konkretnym mailu, szybko się starzeje. Jeżeli uczy rozpoznawania wzorca, działa dłużej. Problem z płatnością, zwrot pieniędzy, krótki termin, link do aktualizacji, groźba blokady konta, rzekoma procedura bezpieczeństwa — te elementy wracają niezależnie od kraju i branży.

Dla firm oznacza to, że materiały awareness powinny być aktualizowane na podstawie bieżących alertów, ale nie powinny zatrzymywać się na samych alertach. Największą wartość daje przekształcenie ostrzeżeń w scenariusze ćwiczeń, krótkie komunikaty dla pracowników i testy reakcji.

Wniosek

Phishing-Radar Verbraucherzentrale pokazuje, że codzienny phishing jest powtarzalny, ale skuteczny. Nie dlatego, że każda wiadomość jest genialnie przygotowana. Dlatego, że dotyka spraw, które odbiorca zna: banku, subskrypcji, płatności, zwrotu, emerytury, konta i dostępu do usługi.

Dla firm w Polsce to ważna lekcja. Awareness nie powinien uczyć pracowników wyłącznie rozpoznawania konkretnej marki albo konkretnego szablonu. Powinien uczyć rozpoznawania mechaniki: presji, obietnicy, groźby, linku, prośby o dane i braku niezależnej weryfikacji.

Marki będą się zmieniać. Mechanizm zostaje. I właśnie ten mechanizm trzeba ćwiczyć, zanim podobna wiadomość trafi do skrzynki pracownika, klienta albo członka zarządu.