hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
15 maja 2026 09:11

Uwaga na mail podszywający się pod NFZ. „Zwrot kosztów” i „aktualizacja systemu” to phishing

oszustwo na NFZ
Marek Olszewski
Alert! phishing

Pojawiła się nowa kampania phishingowa wymierzona w polskich pacjentów. Oszuści podszywają się pod Narodowy Fundusz Zdrowia (NFZ), wykorzystując motyw rzekomej „aktualizacji systemu” oraz obietnicę zwrotu kosztów, aby nakłonić ofiary do podania danych kart płatniczych.

Oto szczegóły ataku, które pozwolą Wam go rozpoznać i nie dać się okraść.

Najważniejsze elementy tej wiadomości:

Wszystko zaczyna się od maila, który ma sprawiać wrażenie oficjalnego komunikatu systemowego.

  • temat sugeruje możliwość otrzymania zwrotu wpłaconej kwoty: „NFZ – Powiadomienie, że wpłacona kwota może zostać zwrócona na Twoje konto.”
  • nadawca nie ma nic wspólnego z domeną: contact[@]wertsicherungsstrategien[.]de
  • w treści pojawia się prośba o potwierdzenie danych po rzekomej „aktualizacji systemu”
  • wiadomość zawiera przycisk „Potwierdź konto”
wiadomość mailowa podszywająca się pod NFZ

Na co zwrócić uwagę od razu?

Jeśli dostajesz wiadomość o zwrocie z NFZ, sprawdź najpierw te 4 rzeczy:

  • Adres nadawcy – oficjalna instytucja nie wysyła takich komunikatów z przypadkowej zagranicznej domeny.
  • Link w wiadomości – zanim klikniesz, sprawdź, dokąd prowadzi.
  • Obietnica pieniędzy – presja związana ze zwrotem środków to częsty trik socjotechniczny.
  • Prośba o dane karty – to jeden z najmocniejszych sygnałów, że masz do czynienia z oszustwem.

Fałszywa strona i wyłudzanie danych

Po kliknięciu w link w wiadomości, użytkownik trafia na profesjonalnie wyglądającą stronę, która podszywa się pod witrynę NFZ. Kluczowy znak ostrzegawczy – adres URL:
Zamiast oficjalnego adresu rządowego, w pasku przeglądarki widzimy podejrzaną domenę:

auto-renwal-id564375-nfz-pl[.]verbiertenverboten[.]de

Pamiętajcie, że NFZ nigdy nie korzysta z niemieckich domen (.de) ani skomplikowanie złożonych subdomen na prywatnych serwerach!

strona podszywająca się pod NFZ

Jak przebiega oszustwo „na zwrot kosztów”

Przestępcy prowadzą ofiarę przez dwuetapowy proces:

  • Weryfikacja tożsamości: Formularz prosi o adres e-mail oraz numer telefonu.
  • „Weryfikacja karty płatniczej”: To najbardziej niebezpieczny moment. Pod pretekstem „potwierdzenia, że jesteś rzeczywistym odbiorcą zwrotu środków”, strona prosi o podanie: Imienia i nazwiska, numeru karty bankomatowej, daty jej ważności oraz kodu CVV.

Pamiętaj! Żadna instytucja publiczna, w tym NFZ, nie wymaga podania kodu CVV ani pełnych danych karty płatniczej, aby wypłacić Ci jakiekolwiek środki. Zwroty z NFZ odbywają się na numer konta bankowego zadeklarowany w systemach urzędowych, a nie poprzez „weryfikację” karty na stronie WWW.

strona podszywająca się pod NFZ

Jak się chronić?

  • Sprawdzaj nadawcę: Zawsze weryfikuj pełny adres e-mail nadawcy, a nie tylko wyświetlaną nazwę.
  • Patrz na pasek adresu: Oficjalne serwisy administracji publicznej zawsze znajdują się w domenie gov.pl.
  • Nie podawaj danych karty: Kod CVV/CVC służy wyłącznie do autoryzacji płatności (kiedy Ty coś kupujesz), a nie do odbierania pieniędzy.
  • Zgłaszaj incydenty: Jeśli otrzymałeś taką wiadomość, przekaż ją bezpośrednio do zespołu CERT Orange Polska.
  • Bądźcie czujni i ostrzeżcie bliskich, szczególnie osoby starsze, które mogą być bardziej podatne na tego typu manipulacje!

Dlaczego ten phishing może działać?

Ten scenariusz wykorzystuje kilka skutecznych mechanizmów:

  • zaufanie do znanej instytucji,
  • obietnicę korzyści finansowej,
  • presję szybkiego działania,
  • pozornie oficjalny wygląd wiadomości i strony.

Właśnie dlatego warto zawsze sprawdzać nie tylko treść komunikatu, ale też adres nadawcy i domenę strony.

Jeśli wiadomość o zwrocie z NFZ prowadzi do prośby o dane karty, to niemal na pewno próba oszustwa.

13 maja 2026
Oszuści podszywają się pod banki – dziś padło na Erste. Sprawdź na co uważać.
Dowiedz się więcej
12 maja 2026
Fałszywe maile o domenie. Oszuści podszywają się pod home.pl i wyłudzają dane kart
Dowiedz się więcej
11 maja 2026
Oszustwa „na OLX” trwają nieprzerwanie
Dowiedz się więcej
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Strictly Necessary Cookies

Strictly Necessary Cookie should be enabled at all times so that we can save your preferences for cookie settings.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance