Phishing na autorytet państwa. Gdy oszust udaje służby, urząd albo rząd

2026-05-08

TL;DR

Nie każdy phishing zaczyna się od prośby o hasło. Czasem zaczyna się od autorytetu. Oszust podszywa się pod służby, urząd albo instytucję państwową i buduje wrażenie, że odbiorca bierze udział w ważnej sprawie. Może chodzić o pomoc w rzekomym śledztwie, zabezpieczenie środków, weryfikację portfela, uniknięcie kary albo wykonanie polecenia w interesie państwa.

To groźny model, bo użytkownik nie czuje, że robi coś ryzykownego. Czuje, że współpracuje z instytucją, wykonuje obowiązek albo chroni się przed konsekwencjami. Właśnie dlatego ten typ ataku trzeba traktować jako osobny scenariusz w security awareness.

Oszust nie zawsze chce od razu loginu

W wielu szkoleniach phishing nadal jest przedstawiany jako wiadomość z linkiem do fałszywego logowania. To ważny scenariusz, ale coraz mniej wystarczający. W atakach opartych na autorytecie państwa pierwszym celem nie musi być konto. Pierwszym celem jest podporządkowanie odbiorcy narracji.

Jeżeli ktoś wierzy, że kontaktuje się z nim służba, urząd albo rządowa instytucja, zaczyna inaczej oceniać sytuację. Pytania o sens prośby schodzą na dalszy plan. Pojawia się presja, obawa przed konsekwencjami i przekonanie, że trzeba współpracować.

To jest moment, w którym socjotechnika działa najmocniej. Socjotechnika oznacza manipulowanie człowiekiem, a nie systemem technicznym. Atakujący nie musi od razu łamać zabezpieczeń. Wystarczy, że skłoni odbiorcę do wykonania czynności, której normalnie by nie wykonał.

W skrajnych wariantach oszust może prosić nie tylko o kliknięcie. Może nakłaniać do przekazania karty, kosztowności, wykonania przelewu, podania danych albo rozmowy telefonicznej, w której ofiara dostaje kolejne instrukcje. Taki atak przypomina bardziej sterowany proces niż jedną wiadomość.

Fałszywe śledztwo jako przynęta

Fraudehelpdesk opisał fałszywe wiadomości podszywające się między innymi pod AIVD i FBI. AIVD to holenderska służba wywiadu i bezpieczeństwa, a FBI to amerykańskie Federal Bureau of Investigation. W takim scenariuszu sama nazwa instytucji ma zadziałać jak skrót myślowy: sprawa jest poważna, nie wolno jej zignorować, trzeba współpracować.

Scenariusz z rzekomą pomocą w łapaniu przestępców jest szczególnie niebezpieczny, bo odwraca role. Ofiara nie ma poczucia, że jest ofiarą. Ma poczucie, że pomaga w akcji.

To bardzo sprytna konstrukcja. Człowiek, który uważa, że pomaga służbom, może łatwiej zaakceptować nietypowe polecenia. Może wykonać przelew, podać informacje, odebrać telefon, nie konsultować sprawy z rodziną albo nie kontaktować się z bankiem zwykłą ścieżką.

Jeśli pojawia się instrukcja, co powiedzieć bankowi, gdy ten zapyta o transakcję, mamy już nie zwykły phishing, ale manipulację całym procesem kontroli fraudowej. Oszust próbuje przewidzieć, gdzie ofiara może zostać zatrzymana, i wcześniej podaje jej gotową odpowiedź.

Dla firm to ważna lekcja. Pracownik, który prywatnie da się wciągnąć w podobną narrację, może w środowisku służbowym podobnie zareagować na fałszywy kontakt od audytu, kancelarii, regulatora, działu prawnego, zespołu bezpieczeństwa albo rzekomego organu ścigania.

Personalizacja SMS-a zmienia poziom zaufania

Drugi ważny mechanizm to personalizacja. Gdy SMS zawiera pełne imię i nazwisko odbiorcy, wielu ludzi uznaje go za bardziej wiarygodny. To naturalny odruch. Wiadomość nie wygląda jak masowy spam, tylko jak komunikat skierowany do konkretnej osoby.

Problem polega na tym, że dane osobowe krążą w wielu miejscach. Mogą pochodzić z wycieków, starych baz marketingowych, naruszeń u dostawców, formularzy, serwisów ogłoszeniowych albo wcześniej przeprowadzonych oszustw. Sam fakt, że wiadomość zna imię i nazwisko, nie jest dowodem jej autentyczności.

Fraudehelpdesk opisał również fałszywy SMS wysyłany w imieniu Rijksoverheid, czyli administracji rządowej Królestwa Niderlandów. Wiadomość miała zawierać dane odbiorcy i prowadzić do weryfikacji portfela typu non-custodial wallet.

Non-custodial wallet to portfel kryptowalutowy, w którym użytkownik sam kontroluje klucze dostępowe do środków. W takim modelu nie ma banku ani pośrednika, który może łatwo odwrócić błędną transakcję. Dla wielu osób sam termin brzmi technicznie i regulacyjnie, więc może wzmacniać presję: jeśli nie rozumiem tematu, a pisze do mnie rząd, lepiej kliknąć i sprawdzić.

Właśnie na to liczą oszuści. Łączą pełne imię i nazwisko, autorytet państwa, techniczne słownictwo i groźbę konsekwencji. Odbiorca nie musi wszystkiego rozumieć. Ma poczuć, że powinien działać szybko.

Polski odpowiednik takiego scenariusza

To, że przykłady pochodzą z Holandii, nie zmienia ich znaczenia dla Polski. Schemat jest uniwersalny. W polskiej wersji zamiast AIVD, FBI albo Rijksoverheid mogłyby pojawić się nazwy policji, prokuratury, sądu, urzędu skarbowego, ZUS, ministerstwa, banku albo zespołu do spraw cyberbezpieczeństwa.

Pretekst również można łatwo przenieść. Pomoc w śledztwie może stać się prośbą o zabezpieczenie środków. Weryfikacja portfela może stać się weryfikacją konta, profilu zaufanego, aplikacji bankowej, karty płatniczej albo danych do wypłaty świadczenia. Atakujący dobiera nazwę instytucji do lokalnego rynku, ale zostawia tę samą mechanikę: autorytet, presję i instrukcję poza normalnym kanałem.

Dla organizacji to szczególnie ważne, bo podobny model może wejść do firmy pod innym szyldem. Pracownik może dostać wiadomość od rzekomej kancelarii, audytora, regulatora, dostawcy usług bezpieczeństwa albo osoby podającej się za przedstawiciela organu państwowego. Jeśli komunikat każe zachować tajemnicę, działać szybko albo ominąć normalną procedurę, powinien zostać zatrzymany.

Co powinno zapalić lampkę ostrzegawczą

Najważniejszym sygnałem nie jest literówka, kolor logo ani styl grafiki. Najważniejszy jest sam proces. Jeżeli instytucja, służba albo urząd prosi przez wiadomość o kliknięcie w link, przekazanie danych, wykonanie operacji finansowej, oddanie karty, weryfikację portfela albo zachowanie tajemnicy, trzeba zatrzymać działanie.

W normalnym procesie instytucja publiczna nie powinna wymagać od obywatela udziału w tajnej operacji przez e-mail albo SMS. Nie powinna też prowadzić sprawy finansowej przez link z wiadomości i groźbę natychmiastowej kary bez możliwości niezależnej weryfikacji.

W praktyce najlepsza zasada jest prosta: nie reaguj z poziomu wiadomości. Otwórz oficjalny kanał samodzielnie, wpisz adres ręcznie, zadzwoń na numer znaleziony niezależnie albo skontaktuj się z właściwą instytucją przez znaną ścieżkę.

Jeśli ktoś naciska, żeby nie rozmawiać z rodziną, bankiem, przełożonym albo działem bezpieczeństwa, to nie jest dowód powagi sprawy. To silny sygnał manipulacji.

Lekcja dla firm

Ten typ oszustwa jest bardzo dobrym materiałem szkoleniowym, bo pokazuje coś więcej niż klasyczny phishing. Uczy, że człowiek może zostać zmanipulowany nie tylko przez strach przed blokadą konta, ale też przez autorytet, obowiązek obywatelski, presję instytucji i personalizację komunikatu.

W programach awareness warto ćwiczyć scenariusze, w których pracownik dostaje wiadomość od rzekomego regulatora, kancelarii, organu ścigania, urzędu albo zespołu bezpieczeństwa. Celem nie powinno być tylko sprawdzenie, czy kliknie. Celem powinno być sprawdzenie, czy zatrzyma proces, zweryfikuje kontakt niezależnym kanałem i zgłosi sprawę.

Jeżeli chcesz uporządkować podstawową mechanikę takich oszustw, zobacz też Co to jest phishing? Mechanizm oszustw e-mailowych. W tym scenariuszu mechanizm jest ten sam, ale opakowanie znacznie bardziej podstępne.

Warto też połączyć ten temat z phishingiem płatniczym. Gdy autorytet instytucji zostanie zestawiony z kwotą, terminem i linkiem do płatności, decyzja odbiorcy może zapaść bardzo szybko. Podobny mechanizm opisujemy w tekście Fałszywa płatność przez iDEAL. Phishing podszywa się pod holenderski urząd.

Wniosek

Phishing oparty na autorytecie państwa jest skuteczny, bo nie sprzedaje ofierze zwykłej historii o koncie. Sprzedaje jej rolę. Masz pomóc, masz się zweryfikować, masz uniknąć kary, masz współpracować, masz zachować sprawę w tajemnicy.

Dobra odporność na taki atak nie polega na rozpoznaniu jednej konkretnej marki. Polega na nawyku zatrzymania procesu zawsze wtedy, gdy wiadomość łączy autorytet, presję, pieniądze, dane, tajemnicę albo link. To właśnie ten moment zatrzymania warto ćwiczyć w organizacji.