Oszustwa, informacje o zagrożeniach

Wykryliśmy tę kampanię z fałszywymi fakturami, gdy oszuści wciąż ją przygotowywali

autor: Stefan Dasic | 3 czerwca 2026 r.
Inżynieria społeczna
Dodaj jako preferowane źródło w Google

W tej chwili pojawia się nowa seria fałszywych faktur płatniczych, a nam udało się wykryć tę kampanię jeszcze w fazie przygotowań. Wysyłane wiadomości e-mail podszywają się pod PayPal takie PayPal, Amazon czy Geek Squad, a wszystkie mają jeden cel: zastraszyć odbiorcę, by zadzwonił pod numer telefonu, pod którym czeka na niego fałszywy „pracownik pomocy technicznej”.

To, co wyróżnia tę falę, to fakt, że niektóre z odzyskanych przez nas szablonów nadal zawierały puste pola w miejscach, gdzie powinny znajdować się numer telefonu i cena, podczas gdy inne były już wypełnione i znajdowały się w obiegu. Złapaliśmy tę kampanię w trakcie jej wdrażania.

Na czym polega to oszustwo?

Jeśli otrzymasz wiadomość e-mail, która wygląda jak potwierdzenie transakcji — np. „Twoja subskrypcja została przedłużona za 349 dolarów” lub „Wpłaciłeś kwotę 598,96 dolarów” — i zawiera prośbę o skontaktowanie się pod podanym numerem w celu anulowania lub zakwestionowania opłaty, nie reaguj na nią.

To nic nie kosztuje. Celem tej wiadomości e-mail jest skłonienie Cię do rozmowy telefonicznej z oszustem, który następnie będzie próbował namówić Cię do udzielenia mu zdalnego dostępu do Twojego komputera, podania danych karty kredytowej lub „zwrotu pieniędzy”, który w jakiś sposób wymaga od Ciebie przesłania mu środków.

Ten konkretny rodzaj oszustwa nazywa się „fakturą-widmem” lub „zwrotem kosztów”, a jego sedno ma charakter psychologiczny, a nie techniczny. Właśnie dlatego takie e-maile często omijają filtry antyspamowe: zazwyczaj nie zawierają one złośliwych załączników ani linków, które mogłyby zostać przeanalizowane przez systemy zabezpieczeń. Istota oszustwa tkwi w numerze telefonu, pod który zachęca się do zadzwonienia.

Jeśli nie dokonałeś zakupu, nie ma potrzeby dzwonić pod numer podany w wiadomości e-mail w celu anulowania transakcji. Prawdziwe firmy nie wywierają presji na klientów, aby rozliczyli się z nieoczekiwanych opłat, kontaktując się z nimi pod nieznanymi numerami telefonów.

Cel jest prosty: wzbudzić na tyle niepokoju, byś zadzwonił. Widzisz wysoką kwotę, której nie rozpoznajesz, powiedzmy 499 dolarów, i Twoim pierwszym odruchem jest powstrzymanie tej transakcji. Na fakturze znajduje się numer telefonu, pod który można zadzwonić, „jeśli to nie byłaś Ty”. Dzwonisz więc i rozmawiasz z oszustem.

W tym momencie rozmowa zazwyczaj zmierza do jednego z kilku możliwych scenariuszy. Mogą poprosić Cię o zainstalowanie oprogramowania, aby „naprawić” transakcję, dając im w ten sposób dostęp do Twojego komputera. Mogą poprosić o dane karty kredytowej lub konta bankowego, aby „zrealizować zwrot”. Albo mogą „przypadkowo” zwrócić zbyt wysoką kwotę i poprosić Cię o odesłanie różnicy, zazwyczaj w formie karty podarunkowej lub przelewu bankowego.

Faktura to tylko przynęta, a telefon to pułapka.

Te wiadomości e-mail są przekonujące, a niektóre z nich już trafiają do skrzynek odbiorczych. Dobrą wiadomością jest to, że samo otrzymanie takiej wiadomości nie stanowi zagrożenia. Oszustwo zadziała tylko wtedy, gdy uda się skłonić użytkownika do zadzwonienia pod podany numer. Jeśli rozpoznasz wiadomość jako fałszywą i ją usuniesz, atak na tym się kończy.

Jeśli zadzwoniłeś pod ten numer i postąpiłeś zgodnie z instrukcjami oszusta, uruchom skanowanie antywirusowe i sprawdź stan swoich kont bankowych. Zmień najważniejsze hasła, włącz uwierzytelnianie wieloskładnikowe (MFA) i upewnij się, że oprogramowanie zabezpieczające jest aktualne.

Jak nam się udało to złapać w trakcie budowy

Większość dochodzeń w sprawach oszustw rozpoczyna się dopiero po wyrządzeniu szkody. Tym razem było inaczej. Natrafiliśmy na zbiór niemal identycznych szablonów faktur, które ewidentnie pochodziły z tego samego zestawu, a kilka z nich było niekompletnych.

Podczas gdy w typowym oszukańczym e-mailu widniałby numer telefonu, w niektórych z nich pojawiał się dosłowny tekst #TFN# zamiast tego, co jest jedynie symbolem zastępczym. („TFN” to skrót używany przez oszustów na określenie numeru bezpłatnego, czyli numeru, na który przekierowują ofiary). Inni pozostawili cenę jako #PRICE#, data jako #DATE#oraz odbiorcę jako #EMAIL#. Są to pola scalania — puste miejsca, które narzędzie do masowej wysyłki wypełnia automatycznie przed wysłaniem kampanii.

Fakt, że te symbole zastępcze nadal tam były, wskazywał, że operacja wciąż była w trakcie przygotowań. Niektóre szablony były jeszcze w połowie gotowe, podczas gdy inne były już ukończone i zawierały aktualne numery kontaktowe. Złapaliśmy tę kampanię w trakcie wdrażania, w fazie pomiędzy jej tworzeniem a pełnym uruchomieniem.

Dlaczego te faktury wydają się wiarygodne

Oszuści wykorzystują znane marki, takie jak PayPal, Amazon i Geek Squad. Są to firmy, od których ludzie oczekują otrzymywania potwierdzeń i powiadomień o przedłużeniu, co zmniejsza ich podejrzliwość.

Kwoty te są również starannie dobierane. Kwoty rzędu kilkuset dolarów są na tyle wysokie, że budzą niepokój, ale nadal wydają się wiarygodne jako opłata za przedłużenie subskrypcji lub zakup internetowy.

W wielu wiadomościach podkreśla się pilność sprawy, nakłaniając odbiorców do szybkiego skontaktowania się telefonicznie w celu zakwestionowania lub anulowania opłaty. Presja ta ma na celu powstrzymanie ludzi przed samodzielnym zweryfikowaniem transakcji.

Niektóre faktury łączą nawet znane marki, na przykład podając, że płatność została wysłana przez PayPal Amazon. Odwołanie się do wielu znanych firm sprawia, że wiadomość wydaje się bardziej wiarygodna.

Jak rozpoznać fałszywą fakturę

Dobrą wiadomością jest to, że oszustwa te mają wspólne cechy ostrzegawcze. Gdy już wiesz, na co zwrócić uwagę, znacznie łatwiej je wykryć. Zwracaj uwagę na następujące sygnały:

  • Opłata, której nie pamiętasz. Jeśli nie rozpoznajesz tej opłaty, sprawdź ją samodzielnie na swoim koncie lub w banku. Jeśli nie ma o niej żadnej wzmianki, faktura jest prawdopodobnie pułapką mającą skłonić cię do kontaktu telefonicznego.
  • Tykający zegar. Hasła typu „Zadzwoń w ciągu 12 godzin”, „Anuluj przed automatycznym przedłużeniem” czy „Zareaguj natychmiast” mają na celu wywołanie fałszywego poczucia pilności, które ma uniemożliwić Ci zastanowienie się. Prawdziwe problemy związane z rozliczeniami mogą poczekać, aż to sprawdzisz.
  • Marki, którym ufasz, wykorzystywane jako przykrywka. Im bardziej znane logo, tym mniej uważnie ludzie je czytają. Oszuści czerpią korzyści z zaufania, na które nie zasłużyli.
  • Dziwne szczegóły, które jakoś tu nie pasują. PayPal „od” Amazon, przypadkowy adres, który do nikogo nie należy, albo nieco niepasujące sformułowanie. Zwracaj uwagę na drobne rzeczy, które wydają się nie w porządku.
  • Presja, by zatrzymać cię przy telefonie. Gdy już zadzwonisz, prawdziwa firma nigdy nie będzie cię powstrzymywać przed rozłączeniem się w celu zweryfikowania informacji, ale oszust to zrobi.

Jeśli wystarczy, że pojawi się choćby jeden z tych elementów, należy uznać całą wiadomość za podejrzaną.

Pamiętaj o jednej zasadzie, która pozwala uniknąć tego oszustwa: prawdziwa firma nigdy nie będzie naciskać, byś natychmiast zadzwonił w celu anulowania płatności, której nigdy nie dokonałeś. Jeśli nie masz pewności, czy opłata jest prawdziwa, zamknij wiadomość e-mail i sprawdź stan konta w zwykły sposób: wpisując adres strony internetowej firmy w przeglądarce lub dzwoniąc pod numer podany na odwrocie karty bankowej.

Wskazówka dla zaawansowanych: FunkcjaMalwarebytes Guard może pomóc w wykryciu tego typu oszustw i podpowiedzieć, co dalej robić, podczas gdy Browser Guard zablokuje dostęp do oszukańczych stron internetowych.

Co zrobić, jeśli taka wiadomość trafi do Twojej skrzynki odbiorczej

Jeśli otrzymasz podejrzaną fakturę, taką jak te opisane powyżej, zastosuj kilka prostych środków ostrożności:

  • Nie dzwoń pod ten numer. Na tym właśnie polega oszustwo. W przypadku legalnych zwrotów lub anulacji nie ma potrzeby dzwonienia pod numer podany na niechcianym potwierdzeniu.
  • Nie odpowiadaj i nie klikaj niczego. Potraktuj tę wiadomość jako podejrzaną, nawet jeśli wygląda na prawdziwą.
  • Sprawdź transakcje samodzielnie. Jeśli obawiasz się, że dana transakcja może być autentyczna, zaloguj się bezpośrednio do PayPal, swojego banku lub strony sprzedawcy, wpisując adres samodzielnie, i przejrzyj historię transakcji.
  • Zgłoś to. Przekaż podejrzane wiadomości e-mail o charakterze phishingowym na adres działu ds. nadużyć firmy, której tożsamość została podszyta, a w Stanach Zjednoczonych zgłoś je do Federalnej Komisji Handlu (FTC) pod adresem reportfraud.ftc.gov. Zgłaszanie takich przypadków pomaga w rozbijaniu siatek oszustów.
  • Jeśli już nawiązałeś połączenie, zakończ rozmowę. Nie instaluj żadnego oprogramowania, które ci polecają. Jeśli udzieliłeś dostępu zdalnego lub podałeś dane dotyczące płatności, natychmiast skontaktuj się ze swoim bankiem i uruchom sprawdzone oprogramowanie zabezpieczające na swoim urządzeniu.
  • Uważaj na sformułowania sugerujące pilność. Zwroty takie jak „w ciągu 12 godzin” czy „anuluj teraz” mają na celu wywarcie na ciebie presji, byś podjął działanie, zanim się zastanowisz. Poświęć chwilę na samodzielne zweryfikowanie tych informacji.

Oszuści coraz częściej stosują taktyki, których oprogramowanie nie jest w stanie łatwo wykryć. Numer telefonu podany w wiadomości e-mail jest trudny do zweryfikowania przez narzędzia zabezpieczające, a samo oszustwo odbywa się podczas rozmowy telefonicznej, a nie poprzez złośliwy link lub załącznik.

Właśnie dlatego tak ważne jest, by natrafić na tę kampanię w trakcie jej wdrażania. Zamiast dostrzegać szkody dopiero po fakcie, mieliśmy okazję przyjrzeć się przygotowaniom: niedopracowanym szablonom, niekompletnym informacjom oraz zestawowi narzędzi służących do oszustwa, zanim został on w pełni uruchomiony.

Najlepszym zabezpieczeniem jest prosta zasada: jeśli w nieoczekiwanej fakturze pojawia się prośba o natychmiastowy kontakt telefoniczny, zatrzymaj się i najpierw samodzielnie sprawdź, czy opłata jest uzasadniona.

Wskaźniki naruszenia bezpieczeństwa

Domeny

invoicepdfin[.]xyz

invoicepdfus[.]xyz

invoicepdfusa[.]xyz

invoicerep[.]xyz

invoicestatement[.]xyz

invoicestm[.]xyz

Numery do oddzwonienia

804-392-2793

801-640-8589

Coś wydaje się nie tak? Sprawdź to przed kliknięciem.  

Malwarebytes Guardpozwala błyskawicznie analizować podejrzane linki, teksty i zrzuty ekranu.  

Dostępne w ramachMalwarebytes Premium na wszystkie Twoje urządzenia oraz wMalwarebytes na iOS Android.  

Wypróbuj za darmo → 

O autorze

Stefan Dasic

Stefan Dasic

Pasjonat rozwiązań antywirusowych, Stefan od najmłodszych lat zajmuje się testowaniem złośliwego oprogramowania i kontrolą jakości produktów AV. Jako członek zespołu Malwarebytes , Stefan jest oddany ochronie klientów i zapewnianiu im bezpieczeństwa.

NAJNOWSZE ARTYKUŁY

Oszustwa
phishing na dużą skalę

Programy wykradające dane stają się najczęściej stosowanym ładunkiem w atakach phishingowych

Czerwiec 3, 2026

Cyberprzestępcy wolą programy do kradzieży danych od tradycyjnych technik phishingowych, ponieważ są one łatwiejsze w użyciu, można je łatwo skalować i są powszechnie dostępne.

Mobilny
Mobilny

Fałszywe ostrzeżenia o wirusach zalewają gry mobilne

Czerwiec 2, 2026

„Twoje urządzenie jest zainfekowane!” Fałszywe ostrzeżenia o kontach i wirusach sprawiają, że niektóre reklamy w grach stają się pułapkami z złośliwym oprogramowaniem.

Ochrona prywatności

Fałszywa aplikacja BlueWallet kradnie hasła, dane kont i kryptowaluty z komputerów Mac

Czerwiec 1, 2026

Fałszywa aplikacja BlueWallet do pobrania nakłania Mac do uruchomienia złośliwego oprogramowania, które kradnie hasła, dane z portfeli kryptowalutowych oraz zawartość schowka.

Dodaj jako preferowane źródło w Google

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa