CERT Polska, польська команда реагування на комп’ютерні інциденти, 7 липня 2026 року попередила про фальшиві SMS від імені InPost. У повідомленнях отримувачів просять підтвердити дані посилки, а посилання веде на підроблену сторінку, де шахраї виманюють персональні дані та дані платіжної картки.
Небезпека схеми полягає в її правдоподібності: людина може справді чекати відправлення, побачити знайому назву InPost і перейти за посиланням без перевірки. Ризик починається не з самого SMS, а з моменту, коли отримувач вводить дані на сторінці, відкритій з повідомлення.
Як працює схема з SMS про посилку
За попередженням CERT Polska, шахраї розсилають SMS про необхідність підтвердити дані відправлення і підштовхують отримувача відкрити посилання. Сторінка, на яку веде повідомлення, не є сервісом доставки.
Мета такої сторінки – отримати персональні дані та дані платіжної картки. Після цього злочинці можуть спробувати використати картку, а також підготувати нові повідомлення, які виглядатимуть переконливіше, бо в них уже можуть з’явитися реальні особисті дані жертви.
Головний ризик починається з моменту переходу з SMS на зовнішню сторінку. Перевірка статусу посилки через офіційний додаток або сайт перевізника – нормальний сценарій. Введення даних картки або особистої інформації після переходу за посиланням із повідомлення – вже небезпечний сценарій.
Що радить InPost
InPost на своїй сторінці безпеки попереджає про фішинг і SMS-фішинг. Компанія радить не відповідати на підозрілі повідомлення, не розкривати особисті дані та перевіряти сумнівні звернення у першоджерела.
Якщо повідомлення викликає сумніви, статус відправлення безпечніше перевірити напряму: у додатку InPost, на офіційному сайті або через контактні дані, знайдені самостійно. Номер телефону та посилання з підозрілого SMS краще не використовувати.
Куди переслати підозріле SMS
Підозрілі SMS можна пересилати до CERT Polska на номер 8080. На сторінці gov.pl вказано, що повідомлення краще надсилати повністю, не видаляючи посилання та інші фрагменти тексту. З одного номера можна переслати до 3 повідомлень за 4 години.
CERT також приймає повідомлення через форму incydent.cert.pl та через сервіс «Безпечно в мережі» у додатку mObywatel. Якщо дані картки або інтернет-банкінгу вже були введені на фальшивій сторінці, CSIRT NASK рекомендує одразу зв’язатися зі своїм банком.
Скільки таких повідомлень потрапляє до CERT
Фальшиві повідомлення від імені кур’єрських компаній з’являються не вперше. За даними NASK, у 2025 році CERT Polska отримав 658 320 повідомлень про кіберзагрози та зареєстрував 260 783 унікальні інциденти безпеки. З них 97% стосувалися комп’ютерного шахрайства, включно з фішингом та іншими способами виманювання даних або грошей.
Окремо CERT показує масштаб SMS-шахрайства. У 2025 році через систему 8080 на аналіз передали понад 350 тис. SMS, з них понад 80 тис. визнали шкідливими. На основі підготовлених шаблонів для SMS-фішингу оператори заблокували близько 1,88 млн шкідливих SMS.
Потік таких повідомлень зберігається і у 2026 році. З січня по травень CERT Polska зареєстрував 70,8 тис. повідомлень про підозрілі SMS, лише в травні – 15,7 тис. Серед SMS, переданих до CERT у травні, 27% були фальшивими повідомленнями, де відправник видавав себе за інший суб’єкт, щоб змусити людину передати дані, гроші, перейти на сайт або встановити програму.


