hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
29 czerwca 2026 06:11
(Aktualizacja: 26 czerwca 2026 16:33)

Fałszywy SMS „paczka z DPD”. Jak oszuści wyłudzają dane Twojej karty

To nie jest prawdziwa paczka od DPD. To oszustwo.
Michał Rosiak
Alert! phishing
Dodaj do ulubionych źródeł w Google

Uważajcie na fałszywe SMS-y z informacją, że czeka na Was paczka z DPD. CERT Orange Polska obserwuje liczne próby dostarczenia do polskich internautów SMS, których celem jest kradzież danych kart płatniczych. Chociaż sama metoda jest znana i niejednokrotnie przez nas opisana – przy okazji kolejnej kampanii warto przypomnieć jak działa taki scenariusz.

SMS-y przychodzą z nadpisów:

  • verify-DPD
  • verify-sms

ale także z długich numerów z zagranicznych stref numeracyjnych (m.in. +212 – Maroko)

Nadawcą SMS-a, który informuje Cię, że czeka na Ciebie paczka z DPD może być numer z Maroka

Paczka z DPD na Ciebie (nie) czeka

Kolejne kroki to powtarzany od lat schemat działania, kojarzony z oszustwami „na paczkę”. Warto jednak przypomnieć schemat. Choćby dlatego, że skoro przestępcy wysyłają takie SMS-y – musi im się to opłacać. Niestety ale oszuści prowadząc takie kampani wiedzą, że zawsze jakiś procent odbiorców daje się nabrać.

Choć grafika przypomina witrynę kuriera, to nie jest paczka z DPD. To oszustwo.

Oprawa graficzna to kopia 1:1 prawdziwej witryny DPD. Fałszywa strona wykorzystuje czcionki i wzory graficzne oryginalnej strony dpd. To częsty zabieg oszustów – podobieństwo do oryginalnej strony usypia czujność. Jedno, na co można zwrócić uwagę to zwrot „weryfikacja adresu niespełniona”. Nie jest to określenie używane w polskim języku, co może dowodzić, iż stronę stawiała osoba niepolskojęzyczna.

W kolejnym kroku jesteśmy proszeni o szczegółowe dane adresowe, ale także numer telefonu i adres e-mail. Działanie absolutnie zrozumiałe przy kontakcie z firmą kurierską – przecież paczka z DPD musi mieć adres dostawy, skoro z poprzednim było coś nie tak.

elementem tego oszustwa jest wyciągnięcie z ofiary danych kontaktowych

Na koniec pozostaje już tylko płatność za ponowną dostawę. Większość internautów w tej sytuacji skupia się tylko na konieczności wpisania numeru karty i fakcie, że na ekranie widać małą kwotę. Tymczasem na poniższym ekranie są przynajmniej trzy czerwone flagi.

rzekoma paczka z DPD ma wymagać płatności za ponowną dostawę. Dane karty, które tu wpiszesz, trafią do oszustów.
  • kwota podana jest w walucie euro
  • co oznacza, że „przesyłka jest reprogramowana”?
  • no i oczywiście adres strony (postap[.]qpon)

Jak nie dać się oszukać? Co zrobić, gdy wpisaliśmy dane?

Po podaniu danych karty płatniczej przestępcy wykorzystują je – najczęściej na bieżąco – do zakupu dóbr, które mogą potem łatwo odsprzedać taniej w internecie.

Jak nie dać się oszukać?

  • do SMS-ów z linkami podchodź z bardzo ograniczonym zaufaniem
  • upewnij się, czy strona, którą odwiedzasz, jest na pewno witryną tego usługodawcy
  • jeśli wciąż nie masz pewności czy przesyłka jest prawdziwa:
    • wpisz w wyszukiwarce nazwę firmy (w opisywanym przypadku DPD)
    • kliknij w pierwszy zaprezentowany link (upewnij się, że nie jest to link reklamowy)
    • znajdź opcję śledzenia przesyłki
    • wpisz numer przesyłki z podejrzanej strony
    • wtedy upewnisz się, że taka przesyłka nie istnieje

Dodatkowo, by uniknąć konsekwencji nieuwagi:

  • ustaw niskie limity kwotowe dla karty, której używasz do płatności w sieci – wtedy nawet jeśli jej dane trafią do oszusta, obciąży kartę do poziomu limitu
  • jeśli nie przeprowadzasz żadnej transakcji a na Twój telefon przyjdzie SMS z kodem do potwierdzenia transakcji lub aplikacja banku wygeneruje kod push z monitem – natychmiast skontaktuj się z bankiem!

Ty lub ktoś z twoich bliskich dał się oszukać? Transakcje kartową zgłoś reklamacją poprzez chargeback, szczegóły opisujemy w tym artykule.

24 czerwca 2026
Oszustwo na „weryfikację Apple Pay”! Przestępcy wyłudzają dane kart płatniczych
Dowiedz się więcej
18 czerwca 2026
Fałszywy mail od „Allegro” o błędzie w adresie dostawy. Jak rozpoznać ten phishing?
Dowiedz się więcej
17 czerwca 2026
Oszuści podszywają się pod InPost i kradną dostęp do WhatsApp! Sprawdź jak nie dać się oszukać
Dowiedz się więcej