Przejdź do treści
Breachroad
Wróć do bloga
Smishing

Fałszywy mandat z mObywatela: jak SMS czyści konto

Kampania podszywa się pod mObywatela — spoofing nadawcy i fałszywy mandat 200 zł. Wyjaśniamy, czemu wygląda wiarygodnie i jak się nie nabrać.

KR
Karol Rapacz
15 czerwca 2026 · 6 min czytania
Fałszywy mandat z mObywatela: jak SMS czyści konto

Wiosną 2026 roku przez polskie telefony przeszła fala SMS-ów podszywających się pod mObywatela. Wiadomość informuje o rzekomym wykroczeniu drogowym i niezapłaconym mandacie. To jedna z najsprytniej przygotowanych kampanii smishingowych ostatnich miesięcy — i warto rozłożyć ją na części, bo pokazuje, gdzie tak naprawdę leży problem. Dla skali: w 2025 roku CERT Polska zarejestrował 260 783 incydenty (+152% r/r), a 97% z nich to oszustwa komputerowe.

Dlaczego ten SMS wygląda tak wiarygodnie

Klasyczny phishing zdradza się nadawcą: dziwny numer, losowy ciąg cyfr. Tutaj jest inaczej. Przestępcy używają spoofingu pola nadawcy (tzw. Alpha Tag), przez co wiadomość wyświetla się jako „mObywatel”. Ponieważ zarówno iOS, jak i Android grupują SMS-y po nazwie nadawcy, fałszywy SMS trafia do tego samego wątku, co prawdziwe powiadomienia rządowe. Telefon „myśli”, że to kontynuacja zaufanej korespondencji — a to buduje zaufanie, zanim ofiara w ogóle przeczyta treść.

Ścieżka ataku krok po kroku

Link w SMS prowadzi do strony łudząco podobnej do rządowej. Scenariusz jest dopracowany psychologicznie:

  1. Ofiara „sprawdza punkty karne” — zawsze kończy się to informacją o niezapłaconym mandacie 200 zł.
  2. Przycisk „zapłać” otwiera formularz z prośbą o dane karty płatniczej.
  3. Po wpisaniu danych i potwierdzeniu w aplikacji banku karta zostaje… dodana do portfela Google Wallet atakującego.

To ostatni element jest najgroźniejszy. Ofiara nie autoryzuje pojedynczej płatności — nieświadomie zgadza się na dodanie swojej karty do cudzego telefonu. Od tej chwili przestępca płaci zbliżeniowo, bez potwierdzeń, aż do wyczerpania środków lub limitu.

Jak rozpoznać podróbkę

  • Sprawdź domenę, nie wygląd. Prawdziwe usługi rządowe kończą się na gov.pl (np. mobywatel.gov.pl). Fałszywki zawierają słowa „gov” i „pl” w środku adresu, ale kończą się inną domenąmobywatel-gov.pl-mandat.xyz to nie gov.pl.
  • mObywatel nie wysyła mandatów SMS-em z linkiem do płatności kartą. Mandaty obsługuje się innymi kanałami.
  • Presja i kwota to sygnał ostrzegawczy. „Zapłać w 24 h, inaczej sprawa trafi do sądu” to socjotechnika, nie procedura.

Co zrobić, żeby się zabezpieczyć

Po stronie użytkownika: nie klikaj linków z SMS-ów, wchodź do aplikacji mObywatel ręcznie, a przy jakichkolwiek wątpliwościach dzwoń na oficjalną infolinię. Jeśli już podałeś dane karty — natychmiast ją zastrzeż i sprawdź w aplikacji banku listę urządzeń oraz portfeli, do których jest podpięta.

Po stronie organizacji warto pamiętać, że filtrowanie treści nie wystarczy — spoofing nadawcy działa na poziomie sieci telekomunikacyjnej. Realną obroną jest edukacja pracowników połączona z ograniczaniem skutków: limity transakcji, powiadomienia push o każdej płatności i szybka ścieżka zastrzegania kart.

To ten sam wzorzec, który omawiamy przy phishingu: najskuteczniejsze ataki nie łamią technologii, tylko zaufanie. A zaufanie buduje się tu na jednym szczególe — nazwie nadawcy, której nie da się traktować jako dowodu tożsamości.

Firmom pomagamy ograniczać skutki podobnych kampanii smishingowych wymierzonych w pracowników — od szkoleń po testy socjotechniczne i audyty bezpieczeństwa. W razie incydentu skontaktuj się z nami.

Źródła i dalsza lektura: Niebezpiecznik, Sekurak oraz komunikaty CERT Polska. Jeśli dostałeś podejrzany SMS, zgłoś go pod numer 8080 (CERT Polska).

Udostępnij artykuł

Usługi Umów konsultację