hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
26 czerwca 2025 12:56
(Aktualizacja: 10 września 2025 17:08)

Wygasa subskrypcja Disney+? Upewnij się, że to nie scam

Michał Rosiak
Alert!
Dodaj do ulubionych źródeł w Google

Kwartał temu serwis streamingowy Disney+ zaoferował użytkownikom atrakcyjną promocję na trzy miesiące korzystania. Ten czas zbliża się do końca – oszuści zaczynają już wysyłać związane z końcem promocji kampanie phishingowe.

Choć mail phishingowy, który trafił do CERT Orange Polska został przygotowany w języku niemieckim, po wejściu na witrynę docelową z polskiej adresacji trafiamy na treść w naszym języku.

Fałszywy mail, sugerujący problemy z serwisem Disney+.

W skrócie – Twoja subskrypcja jest zawieszona, aby ją odnowić, kliknij w link. Można założyć, że wersja polska maili w tej kampanii może być w jakiś sposób powiązana z wygasaniem obecnej promocji.

Co się dzieje po kliknięciu? To modus operandi znany z innych tego typu kampanii.

Najpierw monit o adres e-mail i hasło:

Strona udający Disney+ prosi m.in. o adres e-mail.

W kolejnym kroku o dane osobowe oraz adresowe:

W ramach "uzupełnienia danych Disney+" jesteśmy proszeni również o podanie danych adresowych.

A na końcu o szczegóły, dotyczące karty płatniczej:

Po podaniu testowych danych karty na ekranie pojawiło się kółko, symbolizujące przetwarzanie danych. Przez ten czas operator kampanii na bieżąco wpisuje podane przez ofiary dane i wyprowadza pieniądze z ich kart (kupując za ich pośrednictwem kryptowaluty, czy drogie towary – które następnie sprzedaje za niższą cenę).

Co robić, by nie dać się oszukać?

Czytać treść maila, który do nas trafi. Wyrobić w sobie zasadę, że im większe emocje coś w nas wywołuje, tym więcej czasu powinniśmy poświęcić na szczegółową analizę.

Jeśli ktoś chce od Ciebie loginów, haseł, danych adresowych, informacji dotyczących karty płatniczej – zawsze upewnij się jak wygląda adres w pasku przeglądarki. Zrób to dokładnie! W opisywanym przypadku witryna docelowa mieściła się pod adresem hxxps://disney.mydashboard[.]name/. Oszust liczy, że ofierze wystarczy zobaczyć „Disney”, by dalej już nie czytała tylko podała swoje dane.

Opisywana domena jest oczywiście zablokowana na CyberTarczy. Można jednak założyć z prawdopodobieństwem bliskim pewności, że pojawią się kolejne.

Orange Polska bierze udział w finansowanym przez Unię Europejską projekcie ThreatChase (ThreatChase – Open Platform for Protection against Phishing). Celem projektu jest stworzenie i wprowadzenie platformy wspomagającej strukturyzację danych w zakresie phishingowych adresów i domen oraz proaktywnie zapobiegającej skutkom ataków phishingowych. Obserwuj ThreatChase na LinkedIn.

18 czerwca 2026
Fałszywy mail od „Allegro” o błędzie w adresie dostawy. Jak rozpoznać ten phishing?
Dowiedz się więcej
17 czerwca 2026
Oszuści podszywają się pod InPost i kradną dostęp do WhatsApp! Sprawdź jak nie dać się oszukać
Dowiedz się więcej
11 czerwca 2026
Mundialowy „pewniak”, który wyczyści konto. Analiza kampanii deepfake w przededniu Mistrzostw Świata
Dowiedz się więcej