hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
17 czerwca 2026 12:02
(Aktualizacja: 17 czerwca 2026 12:03)

Oszuści podszywają się pod InPost i kradną dostęp do WhatsApp! Sprawdź jak nie dać się oszukać

Oszustwo zaczyna się od SMS z podszyciem pod InPost, następnie oszust wyłudza dostęp do WhatsApp
Michał Rosiak
Alert!
Dodaj do ulubionych źródeł w Google

Fałszywy SMS podszywający się pod InPost dążący do tego, by przejąć… dostęp do WhatsApp ofiary? To nowy, nieznany do tej pory schemat oszustwa SMS. Do tej pory kampanie z podszyciem pod InPost – jeden z popularniejszych wariantów w ostatnich latach – zmierzały do wykradzenia dane naszej karty lub poświadczeń logowania do banku.

Atak rozpoczyna się od SMS-a przychodzącego z nadpisu (od nadawcy) „Inpost”. W takiej sytuacji, jeśli dostajesz SMS-y od tego dostawcy, fałszywe treści trafią do wątku z prawdziwymi (!) co może sprawić, że ofiara uzna treść za wiarygodną.

Fałszywa wiadomość, podszywająca się pod Inpost.

Oczywiście domeny inpostpl.lol i inpostpl.mem nie są prawdziwe. Dla wielu TLD (top level domain, domeny najwyższego poziomu) .lol i .mem wydadzą się śmieszne. Wciąż jednak znacznej części internautów wystarczy ciąg „inpostpl”. Kluczowy jest przekaz:

  • czeka na Ciebie paczka
  • została wysłana na Twój numer telefonu (w jednym schemacie podany nawet w linku w wiadomości)

Gdy odbiorca skupi się na tych dwóch informacjach, tę ostatnią – z adresem strony – mózg będzie już przetwarzał tylko pobieżnie.

Najpierw informacje o rzekomej paczce od InPost…

Po kliknięciu w link okazuje się, że ma na nas czekać paczka. Co warto zauważyć – i co odróżnia ten scenariusz od wcześniejszych – nikt nie chce naszych pieniędzy. Nie ma mowy o przekierowaniu czy konieczności dopłaty. Jesteśmy proszeni wyłącznie o wybór paczkomatu.

Uprzedzając pytanie – numer przesyłki podany na poniższym zrzucie jest w prawidłowym formacie (24 cyfry) jednak przesyłka o takim numerze nie istnieje.

Oszuści sugerują, że mamy do odbioru przesyłkę z InPost.

Kolejny krok to fałszywa historia przesyłki, jej parametry (w tym nadawca) oraz termin do kiedy będzie przechowywana. To też zabieg socjotechniczny (reguła niedostępności – kończy się czas). Presja jest nieco mniejsza (mamy „aż dwa dni”) – to paradoksalnie może pomóc, bowiem ofiara nie odczuwa aż tak dużej presji. Przy ponownym wejściu na tę stronę (w sieci Orange Polska oczywiście blokuje ją CyberTarcza) pojawia się inny losowy numer paczki, ale też – co ciekawe – inny nadawca.

W tym scenariuszu nikt nie chce naszych pieniędzy - mamy wskazać wyłącznie nr paczkomatu.

Pozostaje zatem już tylko wybrać paczkomat?

Wybór paczkomatu też nie wygląda podejrzanie.

…aż tu nagle dostęp od WhatsApp

Okazuje się, że opisana na powyższym zrzucie ekranu autoryzacja ma wymagać użycia popularnego komunikatora!

Okazuje się, że po wyborze paczkomatu musimy "zweryfikować tożsamość". A do tego ma być niezbędny dostęp do WhatsApp.

Co się stanie, gdy wpiszemy nasz numer telefonu?

Strona oszustów pokazująca instrukcję połączenia urządzenia z WhatsApp

Okazuje się, że „weryfikacja tożsamości” wymaga:

  • otwarcia aplikacji WhatsApp na telefonie
  • wybrania opcji Połączone urządzenia => Połącz urządzenie
  • wpisania podanego na stronie kodu

Mechanizm oszustwa może wydawać się mało wiarygodny, jednak doświadczenie wskazuje, że internauci potrafią nie zwracać uwagi nawet na tak oczywiste znaki. Co się stanie, kiedy wpiszemy zgodnie z poleceniem kod do naszej aplikacji? Oszust uzyska dostęp do WhatsApp zainstalowanego na naszym telefonie!

Na czym polega taki dostęp? Urządzenie pierwotne (telefon ofiary) i docelowe (telefon/maszyna wirtualna napastnika) mają taki sam dostęp do konta komunikatora. Cokolwiek zostanie wysłane i odebrane na jednym – pojawi się również na drugim. Oszust może więc czytać prywatne konwersacje toczone przez nas na komunikatorze, jednak zazwyczaj nie to jest jego celem. Dostęp do WhatsApp jest mu przede wszystkim potrzebny do oszustw np. „na OLX” i kontaktowania się z ofiarą z naszego konta. Po krótkiej konwersacji i przekazaniu sprzedającemu z OLX fałszywej strony płatności usunie czat, więc na pierwotnym urządzeniu nie pozostanie ślad. A oszukany będzie kontaktował się z nami – bo to przecież „my” do niego pisaliśmy.

Jak nie dać się oszukać?

W opisywanym schemacie oszustwo jest proste do rozpoznania. Pamiętaj – zawsze czytaj treść stron, które wymagają od Ciebie podania loginu, hasła, kodu, czy PIN-u. W sytuacji, gdy wybierając… paczkomat masz podać kod pozwalający połączyć urządzenie z WhatsApp to ogromna czerwona flaga!

Dostajesz SMS-a czy maila od kuriera? Wejdź na jego stronę (wpisz nazwę w przeglądarce, nie ufaj linkowi), znajdź opcję śledzenia przesyłki i wpisz numer przesyłki podany w wiadomości. Jeśli nie będzie istniał – masz pewność, że to oszustwo.

Warto o tym pamiętać, bo taki dostęp do WhatsApp dla osoby trzeciej może potencjalnie oznaczać spore konsekwencje. Bo choć na takim ataku potencjalnie niczego nie stracisz, chwila niefrasobliwości może się skończyć nawet wizytą policji. A to nic przyjemnego, tym bardziej, że dowiedzenie niewinności może nie być łatwe.

11 czerwca 2026
Mundialowy „pewniak”, który wyczyści konto. Analiza kampanii deepfake w przededniu Mistrzostw Świata
Dowiedz się więcej
11 czerwca 2026
Fałszywy SMS? Zobacz, jak rozpoznać smishing.
Dowiedz się więcej
5 czerwca 2026
Fałszywy sklep wykorzystuje popularność Łatwoganga. Jak rozpoznać oszustwo?
Dowiedz się więcej