Przejdź do treści
Breachroad
Wróć do bloga
Smishing

„Dopłać 2,99 zł do paczki” — anatomia smishingu kurierskiego

Fałszywe SMS-y o dopłacie do przesyłki to jeden z najczęstszych scenariuszy phishingu w Polsce. Wyjaśniamy, dlaczego mała kwota jest celowa.

KR
Karol Rapacz
20 maja 2026 · 5 min czytania
„Dopłać 2,99 zł do paczki” — anatomia smishingu kurierskiego

„Twoja paczka czeka na doręczenie. Wymagana dopłata 2,99 zł.” Ten SMS zna dziś chyba każdy. To jeden z najbardziej masowych scenariuszy smishingu w Polsce — i choć wygląda banalnie, jego konstrukcja jest przemyślana w każdym detalu.

Dlaczego kwota jest tak niska

Dwa–trzy złote to nie przypadek. Chodzi o wyłączenie czujności. Przy 2,99 zł nikt nie analizuje transakcji tak, jak przy 500 zł. Ofiara myśli „szkoda czasu, dopłacę”, klika i wpisuje dane karty na fałszywej bramce płatności. A prawdziwym celem nigdy nie była ta drobna kwota — jest nim przechwycenie danych karty albo, jak w nowszych wariantach, dodanie karty do portfela cyfrowego przestępcy.

Mała kwota pełni jeszcze jedną funkcję: obniża prawdopodobieństwo, że bank oznaczy transakcję jako podejrzaną.

Elementy, które się powtarzają

Kampanie kurierskie różnią się szyldem (InPost, DHL, Poczta Polska, „kurier”), ale mechanika jest wspólna:

  • Pretekst logistyczny — coś, czego wielu ludzi faktycznie się spodziewa (paczka w drodze).
  • Presja — „przesyłka wróci do nadawcy”, „ostatnia próba doręczenia”.
  • Link do domeny udającej firmę kurierską, często z drobną literówką lub dodatkowym członem (inpost-doplata.info zamiast oficjalnej domeny).
  • Fałszywa bramka płatności imitująca Przelewy24 czy PayU.

Jak odróżnić prawdziwe powiadomienie

Firmy kurierskie komunikują dopłaty i cła w aplikacji lub e-mailem z konta, a nie przez losowy SMS z linkiem do płatności kartą. Numer przesyłki zawsze można sprawdzić samodzielnie — wchodząc na oficjalną stronę przewoźnika wpisaną ręcznie, nie z linka.

Praktyczny test: zanim klikniesz, przeczytaj pełną domenę w adresie. Wszystko przed pierwszym pojedynczym / po https:// musi kończyć się prawdziwą nazwą firmy. inpost.pl.track-id.co to domena track-id.co, nie InPost.

Obrona w praktyce

Zasada jest prosta i skuteczna: nie płać z linku w SMS-ie. Jeśli spodziewasz się paczki, wejdź do aplikacji przewoźnika. Włącz powiadomienia push i limity w banku, korzystaj z kart wirtualnych do płatności internetowych (łatwo je zastrzec), a podejrzane wiadomości przekazuj pod numer 8080 do CERT Polska — dzięki temu domeny trafiają szybciej na listę ostrzeżeń.

Smishing kurierski to podręcznikowy przykład tego, że socjotechnika bije technologię. Nie ma tu żadnej luki w telefonie — jest tylko dobrze dobrany pretekst i nasz pośpiech.

Podobne kampanie regularnie trafiają też na telefony służbowe. Jeśli chcesz sprawdzić, jak Twój zespół reaguje na smishing, zobacz nasze testy socjotechniczne i szkolenia albo napisz do nas.

Źródła i dalsza lektura: CERT Polska — lista ostrzeżeń, Niebezpiecznik, CERT Orange Polska. Zgłoś fałszywy SMS pod numer 8080.

Udostępnij artykuł

Usługi Umów konsultację