SMS o mandacie i fałszywy CEPiK. CERT Polska ostrzega przed wyłudzeniem danych karty

2026-05-07

TL;DR

CERT Polska ostrzega przed SMS-ami o rzekomym mandacie za wykroczenie drogowe. Link z wiadomości prowadzi do strony podszywającej się pod CEPiK, gdzie użytkownik ma podać dane karty płatniczej. W rzeczywistości dane trafiają do oszustów.

Najbardziej podstępny element tej kampanii nie polega na złośliwym oprogramowaniu ani skomplikowanej technice. Chodzi o zaufanie. W jednym z wariantów oszuści wykorzystują spoofing nazwy nadawcy, czyli podszycie się pod nazwę widoczną w telefonie. Przez to wiadomość może trafić do istniejącej konwersacji z powiadomieniami mObywatela. Użytkownik widzi znajomy wątek i łatwiej zakłada, że komunikat jest prawdziwy.

O co chodzi w tej kampanii

W ostrzeżeniu CERT Polska opisano kampanię SMS-ową, w której odbiorca dostaje informację o rzekomym wykroczeniu drogowym i konieczności pilnego opłacenia mandatu. Wiadomość zawiera link, który prowadzi do fałszywej strony podszywającej się pod serwis CEPiK.

CEPiK to Centralna Ewidencja Pojazdów i Kierowców. Dla wielu osób brzmi wiarygodnie w kontekście mandatu, pojazdu, kierowcy i spraw drogowych. Właśnie dlatego przestępcy sięgają po ten motyw. Strona ma wyglądać urzędowo, a komunikat ma wywołać szybkie skojarzenie: mandat, system państwowy, trzeba zapłacić.

Na fałszywej stronie użytkownik proszony jest o podanie danych karty płatniczej. To klasyczny mechanizm wyłudzenia: przestępcy tworzą wiarygodny pretekst, kierują ofiarę na stronę wyglądającą jak urzędowa i próbują przejąć dane finansowe.

Jeżeli chcesz uporządkować szerszy mechanizm takich ataków, zobacz też materiał Smishing: SMS phishing - zagrożenie dla firm i użytkowników. Smishing to phishing prowadzony przez SMS. Kanał jest inny niż w e-mailu, ale psychologia pozostaje podobna: presja, autorytet i szybka decyzja pod wpływem krótkiego komunikatu.

Dlaczego SMS o mandacie może działać

Fałszywy mandat to dobry pretekst dla oszustów, bo łączy kilka silnych elementów naraz. Jest temat urzędowy, jest potencjalna kara, jest pieniądz, jest presja czasu i jest link do szybkiej płatności. Odbiorca nie analizuje wtedy całej sytuacji spokojnie. Często chce tylko zamknąć problem.

W tej kampanii dochodzi jeszcze jeden ważny element: spoofing nazwy nadawcy. W praktyce oznacza to, że przestępca próbuje sprawić, aby SMS wyglądał tak, jakby pochodził od znanego nadawcy. Telefon może połączyć taką wiadomość z istniejącym wątkiem, jeśli nazwa nadawcy wygląda identycznie lub bardzo podobnie.

Jeżeli fałszywa wiadomość trafi do konwersacji z powiadomieniami mObywatela, użytkownik może nie potraktować jej jak nowego, podejrzanego SMS-a. Widzi znajomy wątek, więc część zaufania przenosi automatycznie z wcześniejszych prawdziwych komunikatów na nową wiadomość.

To bardzo ważna lekcja. W smishingu nie wystarczy spojrzeć na nazwę nadawcy. Sama nazwa widoczna w telefonie nie jest dowodem autentyczności wiadomości.

Czy mandat przychodzi SMS-em z linkiem do płatności

To najważniejsze pytanie w tym scenariuszu. Jeżeli wiadomość o mandacie prowadzi do płatności z linku w SMS-ie, trzeba potraktować ją jako podejrzaną.

CANARD GITD, czyli Centrum Automatycznego Nadzoru nad Ruchem Drogowym działające w strukturach Głównego Inspektoratu Transportu Drogowego, ostrzega przed fałszywymi wezwaniami do zapłaty i informuje, że nie przesyła linków do uiszczenia grzywny nałożonej mandatem. To bardzo praktyczny filtr bezpieczeństwa.

Oszuści liczą na to, że użytkownik nie będzie znał szczegółów procedury. Zobaczy mandat, kwotę, urząd, CEPiK, możliwy termin płatności i link. Im szybciej kliknie, tym mniejsza szansa, że zauważy niezgodność procesu.

Dlatego przy takich wiadomościach nie zaczynaj od kliknięcia. Najpierw zweryfikuj sprawę oficjalnym kanałem. Wejdź samodzielnie na właściwą stronę, skorzystaj ze znanej aplikacji albo sprawdź informacje bez używania linku z SMS-a.

Fałszywy CEPiK i dane karty

Fałszywa strona podszywająca się pod CEPiK ma wykorzystać naturalne skojarzenie z administracją publiczną. Dla odbiorcy SMS-a może to wyglądać spójnie: mandat, pojazd, kierowca, ewidencja, płatność. Właśnie taka spójność jest celem ataku.

Problem zaczyna się w momencie, gdy strona żąda danych karty płatniczej. Jeżeli użytkownik trafia na taki formularz z linku w SMS-ie, powinien zatrzymać się natychmiast. Nawet jeśli komunikat wygląda urzędowo, a sprawa brzmi pilnie, dane karty nie powinny być podawane po wejściu z niezweryfikowanego linku.

Dane karty to nie tylko numer. Oszuści mogą prosić także o datę ważności, kod CVV lub CVC, imię i nazwisko właściciela karty, numer telefonu, adres e-mail albo dodatkowe potwierdzenie płatności. Każdy z tych elementów może zostać wykorzystany do próby kradzieży pieniędzy albo dalszego podszywania się pod użytkownika.

To podobny mechanizm do kampanii opisanej w tekście Fałszywy SMS od ZUS. CERT Polska ostrzega przed wyłudzeniem PESEL i danych karty. Różni się pretekst, ale cel jest ten sam: skłonić użytkownika do przekazania danych wrażliwych na stronie kontrolowanej przez przestępców.

Jak bezpiecznie sprawdzić taki SMS

Najbezpieczniejsza reakcja nie polega na klikaniu i sprawdzaniu, czy strona wygląda prawdziwie. Lepiej zatrzymać proces wcześniej.

Nie wchodź w link z SMS-a. Nie podawaj danych karty. Nie zakładaj, że wiadomość jest prawdziwa tylko dlatego, że pojawiła się w znanej konwersacji. Jeżeli chcesz zweryfikować sprawę, zrób to przez oficjalny kanał instytucji, wpisując adres samodzielnie albo korzystając z aplikacji i stron, które znasz.

Warto pamiętać o trzech zasadach.

Po pierwsze, wiadomość w znanym wątku nie zawsze jest bezpieczna. Spoofing nazwy nadawcy może sprawić, że fałszywy SMS pojawi się obok prawdziwych komunikatów.

Po drugie, link do płatności w sprawie mandatu powinien zapalić czerwoną lampkę. Szczególnie jeśli prowadzi do formularza karty płatniczej.

Po trzecie, pośpiech jest częścią scenariusza. Jeśli wiadomość sugeruje, że musisz zapłacić natychmiast, bo inaczej pojawią się konsekwencje, tym bardziej warto zwolnić i sprawdzić sprawę inną drogą.

Co zrobić, jeśli dostałeś taki SMS

Jeżeli wiadomość wygląda podejrzanie, nie klikaj w link i nie odpisuj. Podejrzanego SMS-a możesz przekazać do CERT Polska na numer 8080. Warto przesłać całą wiadomość w oryginalnej formie, bez wycinania linku i treści. Dzięki takim zgłoszeniom łatwiej szybciej blokować fałszywe strony i ostrzegać innych użytkowników.

Możesz też skorzystać z formularza incydent.cert.pl, jeśli chcesz przekazać więcej informacji albo opisać sytuację dokładniej.

Warto zachować SMS, adres strony, zrzuty ekranu i godzinę otrzymania wiadomości. To może pomóc w analizie, szczególnie jeśli wiadomość trafiła do wątku wyglądającego jak powiadomienia mObywatela.

Co zrobić, jeśli dane karty zostały podane

Jeżeli podałeś dane karty na fałszywej stronie, nie czekaj, aż coś się wydarzy. Skontaktuj się z bankiem, zastrzeż kartę i sprawdź historię transakcji. W wielu przypadkach liczy się czas. Szybka reakcja może ograniczyć straty albo zablokować próbę użycia karty.

Zgłoś incydent do CERT Polska i zachowaj podejrzaną wiadomość. Nie usuwaj SMS-a od razu, nawet jeśli jest stresujący. Może zawierać link, nazwę nadawcy, domenę i inne informacje przydatne do zgłoszenia.

Jeżeli podałeś inne dane, potraktuj sprawę szerzej. Oszustwo nie zawsze kończy się na jednej próbie płatności. Dane kontaktowe mogą zostać wykorzystane do kolejnych wiadomości, telefonów, podszywania się pod instytucję albo budowania bardziej przekonującej kampanii w przyszłości.

Lekcja dla firm i programów awareness

Choć kampania jest wymierzona głównie w użytkowników indywidualnych, firmy nie powinny jej ignorować. Pracownicy korzystają z tych samych telefonów, tych samych odruchów i często tych samych kanałów komunikacji. Jeżeli ktoś nauczy się reagować odruchowo na SMS o mandacie, może podobnie zareagować na SMS o paczce, dopłacie, fakturze, logowaniu albo rzekomej blokadzie konta służbowego.

W programach security awareness warto ćwiczyć nie tylko klasyczne maile. Scenariusze powinny obejmować także SMS-y, powiadomienia mobilne, kody QR, fałszywe płatności i wiadomości, które pojawiają się w zaufanych wątkach. Dobrym punktem odniesienia jest tekst Testy phishingowe dla firm. Jak sprawdzić realną odporność pracowników, a nie tylko kliknięcia, bo pokazuje, że sama liczba kliknięć nie wystarcza do oceny odporności.

W tym scenariuszu ważne są trzy zachowania: zatrzymanie się przed kliknięciem, weryfikacja poza linkiem i zgłoszenie wiadomości. Jeżeli pracownik potrafi zrobić te trzy rzeczy przy prywatnym SMS-ie, łatwiej przeniesie ten nawyk na środowisko służbowe.

Dla organizacji to także dobra okazja do przypomnienia, że bezpieczeństwo nie kończy się na poczcie e-mail. Atak może zacząć się na telefonie, w komunikatorze, przez kod QR albo przez powiadomienie, które wygląda jak część znanego procesu.

Wniosek

Fałszywy SMS o mandacie nie jest zaawansowanym atakiem technicznym. Jest dobrze dobranym atakiem na zaufanie. Oszuści wykorzystują urzędowy kontekst, presję szybkiej płatności i znajomy wątek wiadomości, żeby skrócić drogę od niepokoju do podania danych karty.

Najważniejsza zasada jest praktyczna: jeśli wiadomość z linkiem dotyczy pieniędzy, mandatu, dopłaty albo danych karty, nie działaj z poziomu SMS-a. Zweryfikuj sprawę samodzielnie, a podejrzaną wiadomość przekaż do CERT Polska na 8080.

To dokładnie ten typ scenariusza, który warto ćwiczyć w programach awareness. Nie dlatego, że każdy pracownik musi znać szczegóły CEPiK, CANARD czy spoofingu SMS. Ważniejsze jest zachowanie: zatrzymać się, nie ufać samemu wątkowi wiadomości, nie podawać danych z linku i zgłosić podejrzany komunikat, zanim pojedynczy SMS zamieni się w realny incydent.