Phishing na świadczenie urlopowe

2026-05-15

TL;DR

Phishing na świadczenie urlopowe wykorzystuje moment, w którym ludzie spodziewają się wypłaty, dopłaty, dodatku albo rozliczenia. W belgijskim ostrzeżeniu Safeonweb i RJV przestępcy podszywają się pod National Annual Holiday Service, czyli instytucję obsługującą holiday pay, oraz nadużywają logo Doccle. W części wiadomości odbiorca jest proszony o logowanie przez itsme, a następnie oszuści próbują doprowadzić do przelewu albo potwierdzenia płatności.

Ten mechanizm jest ważny także dla Polski, mimo że belgijski system wypłat urlopowych różni się od polskich zasad. W polskich realiach podobny scenariusz może udawać świadczenie urlopowe, wczasy pod gruszą, dopłatę z Zakładowego Funduszu Świadczeń Socjalnych, korektę wynagrodzenia, zwrot z benefitów, rozliczenie delegacji albo komunikat od działu kadr. Zmienia się nazwa świadczenia, ale nie zmienia się schemat: pieniądze, termin, zaufany podmiot, link i prośba o potwierdzenie.

Najważniejsza zasada jest praktyczna: wypłat, zwrotów i danych do przelewu nie potwierdza się z linku w mailu lub SMS-ie. Trzeba wejść do oficjalnego portalu samodzielnie, sprawdzić komunikat w aplikacji lub w systemie kadrowym i dokładnie przeczytać, co zatwierdzamy w aplikacji autoryzacyjnej.

Dlaczego świadczenie urlopowe jest dobrą przynętą

Wiadomości o pieniądzach potrafią działać mocniej niż wiadomości o karze. Odbiorca nie myśli wtedy, że unika straty. Myśli, że odbiera coś, co mu się należy. To zmienia nastawienie. Link nie wygląda jak ryzyko, lecz jak droga do wypłaty, potwierdzenia rachunku albo uporządkowania formalności.

Świadczenia urlopowe mają dodatkową przewagę. Są sezonowe, spodziewane i powiązane z codziennym doświadczeniem pracownika. Jeśli w danym kraju lub firmie właśnie trwa okres wypłat, wiadomość nie brzmi przypadkowo. Pasuje do kalendarza. Właśnie dlatego RJV ostrzega, że cyberprzestępcy wykorzystują czas, w którym ludzie czekają na holiday pay.

W phishingu wiarygodność rzadko bierze się z jednego elementu. Buduje ją zestaw małych sygnałów: rozpoznawalna instytucja, logo platformy dokumentowej, sezon wypłat, link do rzekomego portalu i język administracyjny. Użytkownik nie musi wierzyć w każdą część osobno. Wystarczy, że całość wygląda jak normalny proces.

To sprawia, że scenariusze płacowe i benefitowe są szczególnie ważne w programach awareness. Dotyczą nie tylko banków i klientów indywidualnych. Dotyczą też HR, kadr, finansów, pracowników liniowych, menedżerów i osób, które obsługują dokumenty płacowe albo socjalne.

Co pokazuje ostrzeżenie RJV i Safeonweb

Safeonweb informuje, że RJV ostrzega przed nowymi próbami phishingu krążącymi przez e-mail i SMS. Kampanie pojawiły się w okresie wypłaty holiday pay. W 2026 roku zauważono wzrost liczby fałszywych wiadomości używających logo Doccle. Wiadomości wyglądały wiarygodnie i sprawiały wrażenie komunikatów od RJV, ale po sprawdzeniu adresu nadawcy widać było podejrzane źródło.

W niektórych wariantach odbiorcy byli proszeni o logowanie przez itsme. To istotny szczegół, bo dla wielu osób narzędzie to kojarzy się z bezpieczną identyfikacją. Problem nie polega na tym, że sama metoda logowania jest zła. Problem polega na tym, że oszust może nakłonić użytkownika do potwierdzenia działania, którego ten nie rozpoczął samodzielnie w zaufanym kanale.

RJV podkreśla, że nie prosi o dane osobowe przez e-mail lub SMS i nie wysyła pilnych próśb o potwierdzenie faktury, rachunku albo przelewu. W oficjalnym ostrzeżeniu wskazuje też, że informacje o holiday pay należy sprawdzać przez oficjalną usługę online, a nie przez link otrzymany w wiadomości.

To bardzo dobry wzorzec komunikatu ochronnego. Nie mówi tylko, że trzeba uważać. Pokazuje właściwą ścieżkę: wyjdź z wiadomości, wejdź do oficjalnego systemu samodzielnie i dopiero tam sprawdź sprawę.

Doccle i itsme jako warstwa zaufania

Doccle i itsme są w Belgii rozpoznawalnymi usługami używanymi do dokumentów, administracji i potwierdzania działań. Dla użytkownika ich logo może działać jak skrót myślowy: skoro jest Doccle albo itsme, proces wygląda oficjalnie. Przestępcy nadużywają właśnie tej reputacji.

Doccle w swoich materiałach podkreśla zasadę, że dokument lub płatność najlepiej sprawdzać po samodzielnym wejściu do konta. Jeśli wiadomość twierdzi, że w Doccle czeka dokument, użytkownik powinien zalogować się do Doccle niezależnie, a nie przez przycisk z e-maila. To podejście jest uniwersalne. W Polsce tak samo należy traktować komunikaty z portali HR, banków, systemów benefitowych, e-Doręczeń, portali pacjenta albo systemów administracyjnych.

itsme z kolei ostrzega, że oszuści mogą kopiować logo i używać go w fałszywych wiadomościach. Jeżeli ktoś prosi przez e-mail, SMS albo telefon o logowanie, reaktywację, aktualizację danych lub potwierdzenie działania, którego użytkownik sam nie rozpoczął, proces powinien zostać przerwany.

To ważna lekcja dla firm. Zaufane narzędzie nie zabezpiecza automatycznie przed złą decyzją. Użytkownik musi rozumieć, co dokładnie zatwierdza, w jakim kanale i z jakiego powodu. W przeciwnym razie oszust może wykorzystać bezpieczną aplikację jako element manipulacji.

Polski wariant: HR, ZFŚS i benefity

W Polsce nie ma prostego odpowiednika belgijskiego systemu RJV, ale jest wiele procesów, które dla pracownika wyglądają podobnie: świadczenie urlopowe, wczasy pod gruszą, dopłata z Zakładowego Funduszu Świadczeń Socjalnych, zwrot kosztów, korekta wynagrodzenia, rozliczenie delegacji, dofinansowanie wypoczynku, refundacja okularów, karta lunchowa, prywatna opieka medyczna albo platforma benefitowa.

Fałszywy e-mail może udawać komunikat od działu HR, kadr, zewnętrznego operatora benefitów, firmy rozliczającej płatności albo platformy dokumentowej. Może informować, że pracownik ma uzupełnić numer rachunku, zaakceptować regulamin, potwierdzić tożsamość, podpisać dokument albo odebrać środki przed końcem terminu.

Taki atak nie musi być masowy. Może zostać wysłany do wybranych pracowników w firmie, w której trwa realna komunikacja o benefitach. Wtedy fałszywa wiadomość miesza się z prawdziwymi procesami. Użytkownik może mieć w pamięci wcześniejszy mail od HR i uznać, że nowa wiadomość jest jego kontynuacją.

Szczególnie ryzykowne są scenariusze, w których pracownik ma podać numer rachunku, dane karty, login do portalu, kod jednorazowy albo zatwierdzić operację w aplikacji. Nawet jeśli pretekstem jest benefit, skutek może dotyczyć pieniędzy, konta bankowego, tożsamości lub dostępu firmowego.

Co powinno zatrzymać użytkownika

Użytkownik powinien zatrzymać się zawsze wtedy, gdy wiadomość o świadczeniu, zwrocie albo dopłacie prowadzi do linku, logowania, podania numeru rachunku, danych karty, kodu jednorazowego, aplikacji autoryzacyjnej albo potwierdzenia płatności. To nie oznacza, że każda taka wiadomość jest fałszywa. Oznacza, że nie wolno kończyć sprawy w kanale, który podsunął nadawca.

Najbezpieczniejszy schemat jest prosty. Zamknąć wiadomość. Wejść samodzielnie do portalu HR, aplikacji benefitowej, systemu kadrowego, Doccle, eBox, banku albo oficjalnej strony instytucji. Jeżeli komunikat jest prawdziwy, powinien być widoczny po zalogowaniu w zaufanym miejscu.

W przypadku aplikacji autoryzacyjnych trzeba czytać ekran potwierdzenia. Jeżeli aplikacja pokazuje przelew, płatność, zmianę rachunku, zatwierdzenie transakcji albo logowanie, którego użytkownik nie rozpoczął samodzielnie, trzeba odmówić. Sam fakt, że aplikacja jest znana, nie oznacza, że operacja jest bezpieczna.

W smishingu zasada jest identyczna. Krótka wiadomość o wypłacie, dodatku albo dopłacie nie może prowadzić do wpisywania danych płatniczych. SMS jest tylko sygnałem, że trzeba sprawdzić sprawę w oficjalnym kanale.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik kliknął link, ale nie podał danych i niczego nie zatwierdził, powinien zamknąć stronę i zgłosić wiadomość do właściwego kanału. W Polsce podejrzane SMS-y można przekazywać do CERT Polska na numer 8080. W firmie wiadomość powinna trafić do IT, SOC albo osoby odpowiedzialnej za bezpieczeństwo, zwłaszcza jeśli dotyczyła pracowników i benefitów.

Jeżeli użytkownik podał dane osobowe, numer rachunku, dane karty albo login, trzeba założyć, że informacje mogą zostać użyte w kolejnym etapie. Przy danych karty priorytetem jest kontakt z bankiem, zastrzeżenie karty i sprawdzenie transakcji. Przy danych logowania trzeba zmienić hasło, sprawdzić aktywne sesje i upewnić się, że to samo hasło nie było używane w innych usługach.

Jeżeli użytkownik potwierdził operację w itsme, aplikacji bankowej albo innym narzędziu autoryzacyjnym, trzeba ustalić, co dokładnie zostało zatwierdzone. To może być logowanie, przelew, dodanie odbiorcy, zmiana danych albo autoryzacja działania po stronie oszusta. W takiej sytuacji nie wystarczy spokojne obserwowanie konta. Należy jak najszybciej skontaktować się z bankiem lub operatorem usługi.

Jeżeli wiadomość dotyczyła firmy, HR powinien wspólnie z IT sprawdzić, czy kampania nie została wysłana do większej liczby pracowników. Warto też szybko wysłać wewnętrzny komunikat: jak wygląda prawdziwy proces wypłat, z jakiego adresu przychodzą wiadomości i gdzie pracownik ma zgłaszać podejrzane linki.

Co powinna zrobić organizacja

Organizacja powinna ograniczyć niejasność wokół wypłat, benefitów i danych do przelewu. Pracownicy muszą wiedzieć, czy firma kiedykolwiek prosi o zmianę numeru rachunku przez link z wiadomości, gdzie sprawdza się świadczenia, kto wysyła komunikaty HR i jak wygląda prawdziwy proces potwierdzania danych.

Dobre procedury nie muszą być długie. Wystarczy jasna zasada: zmiany rachunku, danych osobowych i świadczeń nie wykonuje się z linku w mailu lub SMS-ie. Robi się to wyłącznie w znanym systemie kadrowym, przez oficjalny portal albo po potwierdzeniu z HR znanym kanałem. Taka zasada chroni nie tylko pracownika, ale też firmę przed przejęciem procesu płacowego.

Zespół IT lub Security powinien monitorować fałszywe domeny podobne do systemów HR, platform benefitowych i dostawców dokumentów. Warto też zadbać o mechanizmy SPF, DKIM i DMARC dla własnych domen, ale nie traktować ich jako pełnej ochrony. Jeżeli przestępca użyje legalnej platformy albo przejętego konta, sama reputacja nadawcy może nie wystarczyć.

W testach phishingowych dla firm taki scenariusz jest bardzo wartościowy, bo sprawdza coś więcej niż rozpoznawanie dziwnego maila. Sprawdza, czy pracownik zatrzyma się przy obietnicy wypłaty, czy zweryfikuje ją poza linkiem, czy zgłosi wiadomość i czy nie zatwierdzi operacji, której nie rozumie.

Jak ćwiczyć scenariusz świadczenia urlopowego

Scenariusz świadczenia urlopowego można ćwiczyć etycznie i realistycznie. Nie trzeba obiecywać ludziom realnych pieniędzy w sposób, który zniszczy zaufanie do programu. Wystarczy symulacja komunikatu o sprawdzeniu statusu wypłaty, aktualizacji danych do świadczenia albo nowym dokumencie w portalu HR.

Najważniejsze jest omówienie po teście. Użytkownik powinien zrozumieć, że nie chodziło o to, czy zna belgijskie RJV, Doccle albo itsme. Chodziło o mechanizm: spodziewane pieniądze, znany kontekst administracyjny, przycisk, logowanie i presja na szybkie działanie.

Dobra metryka nie kończy się na kliknięciu. Warto mierzyć, czy użytkownik wszedł w link, czy podał dane, czy próbował zatwierdzić operację, czy zgłosił wiadomość, jak szybko zgłosił i czy helpdesk wiedział, jak odpowiedzieć. Organizacja powinna wiedzieć, czy potrafi zatrzymać kampanię w pierwszych minutach, zanim podobna wiadomość dotrze do kolejnych osób.

Taki test może też ujawnić luki w komunikacji HR. Jeżeli pracownicy nie wiedzą, jak wyglądają prawdziwe wiadomości kadrowe, gdzie sprawdzać benefity i kto może prosić o dane rachunku, phishing będzie łatwiejszy. Awareness powinien więc poprawiać nie tylko zachowanie użytkownika, ale też przejrzystość procesów firmowych.

Wniosek

Phishing na świadczenie urlopowe pokazuje, że dobra wiadomość może być tak samo niebezpieczna jak groźba blokady konta. Obietnica wypłaty, zaufane logo, sezonowy kontekst i aplikacja autoryzacyjna tworzą proces, w którym użytkownik może za szybko przejść od ciekawości do potwierdzenia działania.

Zasada dla użytkownika i firmy jest konkretna: pieniędzy, świadczeń, numerów rachunków i potwierdzeń płatności nie obsługuje się z linku w wiadomości. Najpierw trzeba wyjść z maila lub SMS-a, wejść do oficjalnego systemu samodzielnie i sprawdzić, czy sprawa istnieje. Jeśli wypłata jest prawdziwa, będzie widoczna w zaufanym kanale. Jeśli istnieje tylko w linku z wiadomości, to nie jest benefit, tylko próba przejęcia decyzji.