Fałszywa opłata za studia. CERT Polska ostrzega przed phishingiem z domen uczelni

2026-05-07

TL;DR

CERT Polska ostrzega przed kampanią phishingową wymierzoną w środowisko akademickie. Oszuści wysyłają wiadomości o rzekomej zaległej opłacie za studia i próbują wyłudzić pieniądze albo dane logowania. Szczególnie niebezpieczne jest to, że wiadomości mogą przychodzić ze skrzynek w domenie uczelni, ponieważ przestępcy wykorzystują przejęte konta studentów, doktorantów i pracowników.

To ważna lekcja: prawdziwa domena nadawcy nie oznacza automatycznie prawdziwej wiadomości. Jeżeli mail dotyczy pieniędzy, opłaty, danych logowania albo pilnej formalności, trzeba zweryfikować sprawę poza samą wiadomością. Najlepiej w oficjalnym systemie uczelni, w dziekanacie albo innym znanym kanale kontaktu.

O co chodzi w tej kampanii

W komunikacie CERT Polska opisano kampanię phishingową skierowaną do studentów i środowiska akademickiego. Pretekstem jest zaległa opłata za studia. Odbiorca ma uwierzyć, że musi szybko uregulować należność, wykonać przelew na wskazane konto albo postąpić zgodnie z instrukcją z wiadomości.

Na pierwszy rzut oka taki scenariusz może wyglądać wiarygodnie. Student wie, że uczelnia komunikuje się mailowo. Wie też, że opłaty za studia, akademik, powtarzanie przedmiotu, dokumenty, legitymację albo inne formalności rzeczywiście mogą pojawiać się w toku studiów. Przestępcy wykorzystują ten kontekst, żeby skrócić drogę od niepokoju do działania.

Najważniejsze ostrzeżenie dotyczy jednak nadawcy. Wiadomości od oszustów mogą przychodzić ze skrzynek mailowych w domenie uczelni. To oznacza, że atak nie musi wyglądać jak klasyczny phishing z dziwnego adresu. Może wyglądać jak komunikat z uczelnianego konta.

Przejęte konto zmienia poziom zaufania

W wielu poradnikach o phishingu powtarza się zasadę: sprawdź nadawcę. To nadal ma sens, ale w tym przypadku nie wystarcza. Jeżeli przestępca korzysta z przejętego konta studenta, doktoranta albo pracownika, wiadomość może pochodzić z prawdziwej domeny uczelni.

Dla odbiorcy to bardzo zdradliwe. System pocztowy pokazuje znajomą domenę. Czasem widać imię i nazwisko realnej osoby. Wiadomość może pasować do kontekstu uczelni. W takiej sytuacji wiele osób przestaje analizować treść, bo uznaje, że skoro mail przyszedł z konta uczelnianego, to musi być prawdziwy.

To błąd, który warto ćwiczyć w programach awareness. Phishing coraz częściej nie polega na tym, że ktoś z zewnątrz udaje instytucję. Czasem atak zaczyna się od jednego przejętego konta, a potem rozchodzi się przez zaufane relacje w organizacji.

Jeżeli chcesz uporządkować podstawowy mechanizm takiego oszustwa, zobacz też materiał Co to jest phishing? Mechanizm oszustw e-mailowych. Ten przypadek dobrze pokazuje, że weryfikacja nadawcy jest tylko jednym z elementów, a nie całym procesem bezpieczeństwa.

Dlaczego pretekst zaległej opłaty działa

Temat pieniędzy działa na emocje. Zaległa opłata za studia może oznaczać stres, obawę przed konsekwencjami, blokadę w systemie, problem z zaliczeniem semestru albo konieczność pilnego kontaktu z administracją. Oszust nie musi tworzyć bardzo skomplikowanej historii. Wystarczy, że trafi w coś, co brzmi możliwie i wymaga szybkiej reakcji.

To podobny mechanizm jak w fałszywych fakturach, dopłatach, mandatach czy wezwaniach administracyjnych. Użytkownik nie analizuje wtedy strony technicznej. Chce zamknąć problem. Przelew, potwierdzenie płatności albo logowanie do systemu stają się odruchem.

W środowisku akademickim dochodzi jeszcze rozproszenie komunikacji. Student może dostawać maile z dziekanatu, od wykładowców, z systemów uczelnianych, od samorządu, z biblioteki, z platform e-learningowych i od innych studentów. Im więcej kanałów i kont, tym łatwiej przestępcy wtopić się w codzienny szum informacyjny.

Fałszywa faktura i dane do przelewu

W takich kampaniach najważniejszym sygnałem ostrzegawczym nie musi być podejrzany link. Często problemem jest sama instrukcja płatności: numer rachunku, kwota, pilny termin, załączona faktura albo prośba o przesłanie potwierdzenia przelewu.

To bardzo praktyczne ryzyko. Student może nie widzieć klasycznej strony phishingowej, ale nadal może przelać pieniądze na konto wskazane przez oszustów. Może też odpowiedzieć na wiadomość, przesłać potwierdzenie albo ujawnić dodatkowe dane, które później posłużą do kolejnych prób podszycia się pod uczelnię.

Dlatego przy każdej wiadomości o zaległej opłacie warto sprawdzić trzy rzeczy: czy należność widnieje w oficjalnym systemie uczelni, czy numer rachunku zgadza się z oficjalnymi informacjami oraz czy taka forma kontaktu jest zgodna z normalnym procesem obsługi studentów. Jeśli którakolwiek z tych rzeczy budzi wątpliwość, płatność trzeba wstrzymać.

Jak powinien zareagować student

Jeżeli dostajesz wiadomość o zaległej opłacie za studia, nie zaczynaj od przelewu i nie działaj pod presją. Zacznij od zatrzymania procesu. Sprawdź, czy taka płatność rzeczywiście istnieje w oficjalnym systemie uczelni albo skontaktuj się z dziekanatem znanym kanałem. Nie korzystaj z numeru telefonu, adresu ani linku podanego w podejrzanej wiadomości, jeśli nie masz pewności, że są prawdziwe.

Nie wykonuj przelewu tylko dlatego, że wiadomość przyszła z uczelnianej domeny. Nie podawaj danych logowania po przejściu z maila, jeśli wiadomość odsyła do systemu, którego nie rozpoznajesz albo którego adres wygląda inaczej niż zwykle. Nie przesyłaj dalej takiej wiadomości znajomym bez komentarza, bo możesz nieświadomie pomóc oszustom w dotarciu do kolejnych osób.

Warto też porównać wiadomość z tym, jak uczelnia zwykle komunikuje opłaty. Czy sprawy finansowe są widoczne w systemie obsługi studiów. Czy dziekanat wysyła takie wezwania. Czy numer rachunku jest stały. Czy uczelnia prosi o potwierdzenie przelewu na prywatny lub nietypowy adres. To są proste pytania, które mogą zatrzymać oszustwo.

Jeżeli wiadomość jest podejrzana, zgłoś ją do uczelni i do CERT Polska. CERT wskazuje formularz na stronie incydent.cert.pl oraz aplikację mObywatel, usługę Bezpiecznie w sieci.

Co zrobić, jeśli przelew został wykonany

Jeżeli pieniądze zostały przelane na konto wskazane w fałszywej wiadomości, trzeba działać szybko. Najpierw skontaktuj się z bankiem i opisz sytuację. Warto zapytać o możliwość zablokowania lub cofnięcia transakcji, choć nie zawsze będzie to możliwe. Im szybciej zgłosisz sprawę, tym większa szansa na ograniczenie strat.

Zachowaj wszystkie materiały: wiadomość e-mail, nagłówki wiadomości, numer rachunku, załącznik, potwierdzenie przelewu, adresy e-mail, datę i godzinę kontaktu. Nie usuwaj maila, nawet jeśli jest stresujący. Dla uczelni, banku i zespołu reagowania na incydenty szczegóły techniczne mogą być ważne.

Sprawę zgłoś uczelni oraz CERT Polska. Jeśli w wiadomości podałeś również dane logowania, natychmiast zmień hasło, wyloguj aktywne sesje i włącz dwuetapowe uwierzytelnianie, jeśli nie było wcześniej aktywne. Dwuetapowe uwierzytelnianie, często zapisywane jako 2FA, oznacza dodatkowe potwierdzenie logowania poza samym hasłem, na przykład kodem, aplikacją albo kluczem sprzętowym.

Co powinna zrobić uczelnia

Uczelnia powinna potraktować taki scenariusz nie tylko jako problem studentów, ale jako incydent związany z tożsamością i zaufaniem do komunikacji. Jeżeli wiadomości wychodzą z przejętych kont, samo ostrzeżenie odbiorców nie wystarczy.

Pierwszym krokiem jest szybka identyfikacja przejętych skrzynek i unieważnienie aktywnych sesji. Następnie warto sprawdzić reguły pocztowe, przekierowania, nietypowe logowania, nowe urządzenia i historię aktywności kont. Przejęte konto mogło zostać użyte nie tylko do jednej kampanii, ale także do obserwacji korespondencji, dalszego phishingu albo przygotowania bardziej przekonujących wiadomości.

Drugim krokiem jest jasny komunikat do społeczności akademickiej. Nie powinien ograniczać się do ogólnego ostrzeżenia przed phishingiem. Powinien wprost powiedzieć, jak uczelnia informuje o opłatach, gdzie student może sprawdzić należności, jak wygląda prawidłowa ścieżka płatności, jakie są oficjalne numery rachunków i gdzie zgłaszać podejrzane maile.

Trzecim krokiem jest wymuszenie lub silne promowanie dwuetapowego uwierzytelniania. CERT Polska przypomina o unikalnych hasłach i 2FA. To szczególnie ważne w środowisku uczelnianym, gdzie jedno konto może dawać dostęp do poczty, systemów obsługi studiów, platform e-learningowych, plików, bibliotek cyfrowych i usług chmurowych.

Warto też przejrzeć polityki bezpieczeństwa poczty. Jeżeli z przejętego konta wyszła kampania, uczelnia powinna sprawdzić skalę wysyłki, odbiorców, treść wiadomości i to, czy podobne komunikaty nie pojawiły się w innych skrzynkach. Dobra reakcja to nie tylko zablokowanie jednego konta, ale ograniczenie zasięgu całej kampanii.

Lekcja dla programów awareness

Ten scenariusz jest bardzo dobrym materiałem do ćwiczeń, bo nie opiera się na banalnym błędzie. Wiadomość może pochodzić z realnej domeny. Może dotyczyć realnego procesu. Może wykorzystywać realną osobę, której konto zostało przejęte. Dlatego test powinien mierzyć więcej niż samo kliknięcie.

W praktyce warto sprawdzać, czy użytkownik zatrzymał się przy prośbie o płatność, czy zweryfikował ją niezależnym kanałem, czy zgłosił wiadomość i czy nie przesłał jej dalej jako prawdziwej informacji. W tym sensie dobry test phishingowy nie ma wyłącznie złapać użytkownika na błędzie. Ma pokazać, czy organizacja ma zdrowy proces reakcji.

Pisaliśmy o tym szerzej w materiale Testy phishingowe dla firm. Jak sprawdzić realną odporność pracowników, a nie tylko kliknięcia. Ten akademicki przykład dobrze pasuje do tej logiki: liczy się nie tylko klik, ale także moment zatrzymania, weryfikacji i zgłoszenia.

Dlaczego informowanie znajomych ma znaczenie

CERT Polska zachęca też do informowania znajomych, bo do nich również mogą dotrzeć oszuści. W tym przypadku to szczególnie istotne. Jeżeli kampania korzysta z przejętych kont uczelnianych, może rozchodzić się po naturalnych relacjach: rok studiów, grupa ćwiczeniowa, koło naukowe, seminarium, administracja, doktoranci, wykładowcy.

Jedna osoba, która rozpozna atak i ostrzeże innych, może przerwać część kampanii. Jedna osoba, która przekaże wiadomość dalej bez sprawdzenia, może nieświadomie zwiększyć jej zasięg. To pokazuje, że awareness w środowisku akademickim nie powinien być dodatkiem do bezpieczeństwa IT. Jest elementem odporności całej społeczności.

Warto jednak ostrzegać odpowiedzialnie. Zamiast przesyłać dalej podejrzaną wiadomość z aktywnymi danymi do przelewu, lepiej napisać własny komunikat: pojawia się oszustwo o zaległej opłacie, nie płaćcie z instrukcji w mailu, sprawdzajcie należności w systemie uczelni i zgłaszajcie podejrzane wiadomości.

Wniosek

Phishing na studentów opisany przez CERT Polska jest groźny nie dlatego, że wykorzystuje wyjątkowo zaawansowaną technikę. Jest groźny, bo uderza w zaufanie do uczelnianej domeny, codziennych formalności i relacji wewnątrz środowiska akademickiego.

Najważniejsza zasada jest prosta: jeżeli wiadomość dotyczy płatności, logowania albo pilnej formalności, nie wystarczy sprawdzić nazwę nadawcy. Trzeba zweryfikować żądanie niezależnym kanałem. W przypadku zaległej opłaty za studia najlepszym punktem odniesienia jest oficjalny system uczelni albo kontakt z dziekanatem, a nie instrukcja z wiadomości.

Podejrzane treści warto zgłaszać do CERT Polska przez incydent.cert.pl albo w aplikacji mObywatel w usłudze Bezpiecznie w sieci. Warto zgłosić je także samej uczelni, bo jedno przejęte konto może być początkiem szerszej kampanii wymierzonej w studentów, doktorantów i pracowników.