Przejdź do treści
Wszystkie studia przypadków

// Studia przypadków

Phishing na cło paczki: zamaskowana strona oszustwa za „opłatą celną”

E-mail w imieniu „DHL Express” informuje o zatrzymanej paczce i żąda niewielkiej „opłaty celnej” rzędu kilku euro. Kwota jest celowo mała, by nikogo nie zabolała. Link prowadzi przez skracacz na stronę, która ukrywa się przed analizą na kilku warstwach: sprawdzenie bota, analiza zachowania i urządzenia, a na końcu prośba o dane karty. W tym realnym przypadku odsłoniłiśmy właściwą stronę oszustwa w izolacji za maskowaniem, przypisaliśmy serwer źródłowy za reverse-proxy i wykryliśmy cały klaster powiązanych domen. Nie podajemy nazwisk; w centrum jest metoda.

Zaktualizowano: 2026-07-12

Przebieg sprawy

  1. 1Sprawdź wiadomość zamiast klikać: prawdziwi kurierzy nie żądają opłaty celnej przez link w e-mailu, a adres nadawcy rzadko należy do oficjalnej domeny.
  2. 2Rozpoznaj kwotę jako przynętę: nietypowo mała opłata kilku euro obniża czujność — celem są dane Twojej karty, nie 2,99 €.
  3. 3Nie otwieraj linku w codziennej przeglądarce: najpierw spójrz tylko na adres docelowy — droga prowadziła przez skracacz na obcą, kilkudniową domenę.
  4. 4Zrozum maskowanie: systemom kontrolnym strona pokazuje najpierw sprawdzenie bota i „weryfikację bezpieczeństwa”, a właściwy formularz karty dopiero po kilku przeszkodach.
  5. 5Przypisz infrastrukturę: za reverse-proxy stoi realny serwer źródłowy — w tym przypadku część klastra dziesiątek podobnych domen oszustwa.
  6. 6Uruchom łańcuchy zgłoszeń: powiadom dostawcę reverse-proxy, hostera serwera źródłowego, rejestratora i ochronę przeglądarek — z dowodami na cały klaster.
  7. 7Jeśli podałeś dane, działaj natychmiast: zastrzeż kartę, poinformuj bank i udokumentuj incydent.

Czego unikać

  • Nie płać opłaty celnej ani manipulacyjnej przez link z e-maila lub SMS o paczce.
  • Nie podawaj danych karty na stronie, na którą trafiłeś przez link-przekierowanie.
  • Nie daj się zwieść małej kwocie — to przynęta, nie cel.
  • Nie traktuj „weryfikacji bezpieczeństwa” ani sprawdzenia bota jako dowodu autentyczności — strony oszustów też ich używają.

Jak wspiera SKOPION

SKOPION weryfikuje podejrzane wiadomości, odsłania zamaskowane strony oszustwa w izolacji i bez ryzyka dla Twoich urządzeń, przypisuje serwer źródłowy za reverse-proxy oraz całe klastry operatorów i uruchamia właściwe łańcuchy zgłoszeń do wyłączenia — udokumentowane i wyłącznie ze źródeł zewnętrznie dostępnych.

Zapytanie poufne

Najczęstsze pytania

Dlaczego żądana opłata jest tak mała?
Bo mała kwota obniża czujność. Nie chodzi o 2,99 €, lecz o dane karty, które masz podać na stronie.
Dlaczego strona pokazuje „weryfikację bezpieczeństwa” lub sprawdzenie bota?
To maskowanie: ma odeprzeć automatyczną analizę i piaskownice, a właściwy formularz karty pokazać tylko realnym ofiarom — nie jest oznaką wiarygodności.
Podałem dane karty — co robić?
Natychmiast zastrzeż kartę, poinformuj bank, obserwuj transakcje i udokumentuj incydent. Zachowaj oryginalny e-mail z nagłówkami do zgłoszenia.

Źródła