Przegląd wybranych oszustw internetowych - STYCZEŃ 2026

Oszuści nie ustępują w tworzeniu nowych metod kradzieży środków finansowych użytkowników cyberprzestrzeni. Zachęcamy do zapoznania się z naszym przeglądem wybranych oszustw internetowych w styczniu 2026 roku, gdzie wskazujemy na schematy działania cyberprzestępców.
W opracowanym przez nas przeglądzie oszustw internetowych uwzględniliśmy:
- oferty fałszywych inwestycji,
- fałszywe sklepy na TikToku,
- fałszywa weryfikacja konta, czyli podszycie pod OtoMoto,
- chcesz paczkę? Kliknij w link,
- płatność została odrzucona, czyli podszycie pod Netflix,
- zweryfikuj swoje dane płatności,
- powiadomienie o nieudanej próbie dostawy.
FAŁSZYWE INWESTYCJE
W styczniu 2026 roku analitycy CSIRT KNF zgłosili również do blokady 347 fałszywych profili (942 w grudniu’25), które publikowały reklamy fałszywych inwestycji. W scenariuszu znanym pod nazwą „fraud inwestycyjny” cyberprzestępcy podszywają się pod znane osoby lub instytucje, celem nakłonienia potencjalnej ofiary do zainwestowania środków i otrzymania wysokiej stopy zwrotu. W rzeczywistości prowadzą grę psychologiczną, mającą na celu narażanie ofiary na wysokie starty finansowe.
Fałszywe oferty (zarówno w postaci nagrań video, jak i statycznych reklam) dystrybuowane były poprzez reklamy na platformie Facebook. Cyberprzestępcy w ostatnim miesiącu wciąż próbowali obchodzić mechanizmy ochrony wizerunku stosowane przez firmę Meta. Oszuści w zamieszczanych reklamach fałszywych inwestycji nadal wykorzystywali wizerunki osób zmarłych, które znane są ze świata medialnego. W publikowanych reklamach znajdowały się chwytliwe hasła mówiące o rzekomym testamencie zmarłych. Fałszywe reklamy zachęcały sensacyjnymi informacjami dotyczącymi rzekomego testamentu zmarłych osób.

Rysunek 1 Fałszywe inwestycje – reklamy na platformie Facebook, w których cyberprzestępcy wykorzystywali wizerunek osób zmarłych, znanych medialnie
Po kliknięciu w reklamę ofiara trafiała na stronę, na której wymagane było dokonanie rzekomej rejestracji. W dalszej części oszustwa cyberprzestępcy kontaktowali się z ofiarami i namawiali do zainwestowania oszczędności. Cyberprzestępcy, aby wzmocnić prowadzoną grę psychologiczną podszywali się m. in. pod Polskie Linie Lotnicze LOT (rys. 2).

Rysunek 2 Fałszywe inwestycje – podszycie pod Polskie Linie Lotnicze LOT 1/2

Rysunek 3 Fałszywe inwestycje – podszycie pod Polskie Linie Lotnicze LOT 2/2
Oszuści wykorzystywali również wizerunek podmiotów z sektora finansowego. W tym przypadku podszywali się pod PKO BP (rys. 3).

Rysunek 4 Fałszywe strony, na których cyberprzestępcy podszywali się pod PKO BP i zachęcali do wypełnienia ankiety 1/2

Rysunek 5 Fałszywe strony, na których cyberprzestępcy podszywali się pod PKO BP i zachęcali do pozostawienia swoich danych kontaktowych
FAŁSZYWE SKLEPY NA TIKTOKU
Cyberprzestępcy w ostatnim miesiącu zamieszczali fałszywe reklamy na portalu TikTok, w których podszywali się pod znane marki. Linki prowadziły do stron wyłudzających dane i informacje o kartach płatniczych.
Najpopularniejsze marki, pod które podszywali się cyberprzestępcy w ostatnim czasie to: 4F, Cropp, Ryłko, CCC, Wojas, Nike Rebook, Adidas, Deichmann, Reserved, Sizeer, MOHITO, Wittchen, Ochnik, Intersport, Vistula, Top Secret, Tefal, Black Red White, Pepco, JYSK, 4Home, Home&You, SteelSeries, Smyk, Czytam(księgarnia).
Wygląd fałszywych reklam, które cyberprzestępcy zamieszczali na platformie TikTok (rys. 6):

Rysunek 6 Fałszywe reklamy, które cyberprzestępcy zamieszczali na platformie TikTok
Wygląd strony phishingowych wykorzystywanych w opisywanej kampanii (rys. 7-8):

Rysunek 7 Wygląd fałszywej strony, na której oszuści poszywali się pod sklep Wojas 1/2

Rysunek 8 Wygląd fałszywej strony, na której oszuści wyłudzali dane kart płatniczych 2/2
FAŁSZYWA WERYFIKACJA KONTA, CZYLI PODSZYCIE POD OTOMOTO
Przestępcy wykorzystując wizerunek firmy OtoMoto przesyłali fałszywe wiadomości zawierające plik „weryfikacja_konta.pdf”. W dokumencie znajdowała się informacja o rzekomej konieczności potwierdzenia tożsamości w celu dalszego korzystania z platfromy. Po kliknięciu w przycisk „Przejdź do weryfikacji”, użytkownik zostawał przekierowany na stronę z listą banków. Następnie, po wybraniu banku pojawiała się fałszywa strona logowania wyłudzająca dane logowania do bankowości elektronicznej.
Fałszywe strony wykorzystywane przez cyberprzestępców w opisywanej kampanii (rys. 9):

Rysunek 9 Wygląd fałszywych stron, na których cyberprzestępcy podszywali się pod serwis OtoMoto i wyłudzali poświadczenia do logowania bankowości elektronicznej
CHCESZ PACZKĘ? KLIKJNIJ W LINK
Przestępcy wykorzystując wizerunek firmy Pocztex informowali o rzekomo niedostarczonej paczce. Pod pretekstem możliwości dostarczenia paczki, zachęcali do kliknięcia w link, który w rzeczywistości prowadził do strony phishingowej. W ten sposób oszuści chcieli pozyskać informację o danych kart płatniczych.
Fałszywa wiadomość SMS podszywająca się pod Pocztex (rys. 10):

Rysunek 10 Fałszywa wiadomość, w której cyberprzestępcy podszywali się pod firmę Pocztex
Wygląd strony phishingowej (rys.11):

Rysunek 11 Strona phishingowa – podszycie pod Pocztex
PŁATNOŚĆ ZOSTAŁA ODRZUCONA, CZYLI PODSZYCIE POD NETFLIX
W ostatnim miesiącu cyberprzestępcy przesyłali fałszywe wiadomości SMS, w których informowali użytkowników o konieczności zaktualizowania swoich danych rozliczeniowych. W treści wiadomości znajdował się link przekierowujący do fałszywej strony, która łudząco przypominała witrynę Netflix. W rzeczywistości była to próba wyłudzenia danych logowania do konta oraz informacji o kartach płatniczych.
Fałszywa wiadomość SMS podszywająca się pod Netflix (rys. 12):

Rysunek 12 Fałszywa wiadomość SMS podszywająca się pod serwis Netflix
Wygląd strony phishingowej wykorzystywanej w opisywanej kampanii (rys. 13):

Rysunek 13 Wygląd fałszywej strony wyłudzającej dane logowania użytkowników
ZWERYFIKUJ SWOJE DANE PŁATNOŚCI
Cyberprzestępcy dystrybuowali także fałszywe strony podszywające się pod serwis Netflix za pośrednictwem poczty elektronicznej. Oszuści w treści przesyłanej wiadomości informowali o konieczności zweryfikowania konta. Po kliknięciu w link ofiara trafiała na niebezpieczną stronę, na której wyłudzane były informacje o kartach płatniczych.
Fałszywa wiadomość e-mail podszywająca się pod Netflix (rys. 14):

Rysunek 14 Fałszywa wiadomość e-mail, w której cyberprzestępcy podszywali się pod serwis Netflix
Wygląd strony phishingowej wykorzystywanej w opisywanej kampanii (rys. 15):

Rysunek 15 Wygląd fałszywej strony wyłudzającej informacje o kartach płatniczych użytkowników
POWIADOMIENIE O NIEUDANEJ PRÓBIE DOSTAWY
Cyberprzestępcy przygotowali także fałszywe strony wykorzystujące wizerunek firmy kurierskiej InPost. Oszuści na niebezpiecznych stronach informowali o rzekome konieczności zweryfikowania konta. W rzeczywistości, po kliknięciu w link użytkownik trafiał na niebezpieczną stronę, na której wyłudzane były informacje o kartach płatniczych.
Fałszywa wiadomość e-mail podszywająca się pod InPost (rys. 16-17):

Rysunek 16 Fałszywa strony podszywające się pod InPost, na której oszuści informowali o nieudanej dostawie przesyłki 1/2

Rysunek 17 Wygląd fałszywej strony wyłudzającej informacje o karatach płatniczych użytkowników 2/2
O nowych sposobach działania oszustów informujemy za pośrednictwem mediów społecznościowych. Zachęcamy do obserwowania kont CSIRT KNF w serwisach Twitter, LinkedIn oraz Facebook.