Nadpłata za prąd to pułapka. Ministerstwo ostrzega
Oszuści uderzają w klientów PGE. Rekordowa fala phishingu zmusiła państwo do wydania pilnego ostrzeżenia.
Ministerstwo Energii opublikowało komunikat, którego nikt nie chce czytać, ale który każdy powinien znać. Powód jest prosty: przez Polskę przetacza się rekordowa fala phishingu, a cyberprzestępcy podszywają się pod PGE i instytucje rządowe.
Jak wygląda atak? Zaskakująco profesjonalnie
Dostajesz SMS lub e-mail rzekomo od PGE. Informacja brzmi wiarygodnie: masz nadpłatę wynikającą z błędnego naliczenia taryfy. Kwota jest konkretna, a wiadomość zawiera numer sprawy, podstawę prawną, logotypy energetyczne i ministerialne. Wszystko wygląda tak, jak powinno wyglądać pismo z instytucji publicznej.
Wystarczy się zalogować, aby odebrać środki - czytasz. Klikasz.
I właśnie wtedy zaczyna się właściwy atak. Link prowadzi do strony, która wygląda jak oficjalny portal PGE. Możesz wybrać swój bank, a następnie podajesz dane logowania. W bardziej zaawansowanych wariantach pojawia się dodatkowy krok: weryfikacja kodem SMS lub potwierdzenie w aplikacji mobilnej. To ma uśpić czujność - bo przecież banki też proszą o takie potwierdzenia. Na końcu oszust prosi o pełne dane karty i kod 3D Secure. Ty wciąż myślisz, że odbierasz pieniądze. On właśnie przejął dostęp do twojego konta.
Koniecznie przeczytaj też:
Cały proces trwa kilka minut. W tym czasie przestępca może wykonywać transakcje kartą, dodawać siebie jako zaufanego odbiorcę i próbować wyczyścić konto do zera. A ty nawet nie zdążysz się zorientować, że coś jest nie tak.
Pięć czerwonych flag, które powinny zapalić ci lampkę ostrzegawczą
Ministerstwo Energii wskazuje pięć sygnałów, które powinny natychmiast wzbudzić podejrzenia:
- Podejrzany nadawca - dziwna domena, nieznany numer, literówki w adresie e-mail.
- Presja czasu - działaj teraz, masz 24 godziny, konto zostanie zablokowane.
- Nieznany link - szczególnie skrócony lub z domeną łudząco podobną do oficjalnej.
- Błędy językowe - literówki, niepoprawna gramatyka, dziwne formatowanie.
- Fałszywe dane instytucjonalne - nieprawidłowe adresy, numery rejestrowe, nazwy.
Problem polega na tym, że najlepsze kampanie phishingowe nie mają już błędów. Są pisane poprawną polszczyzną, z profesjonalną identyfikacją wizualną i linkami, które wyglądają jak prawdziwe. Dlatego najskuteczniejsza zasada jest banalna, ale niezawodna:
Nigdy nie klikaj linków dotyczących pieniędzy. Nigdy.
Jeśli chcesz coś sprawdzić - wejdź na stronę PGE ręcznie, wpisując adres w przeglądarce. Ministerstwo Energii podkreśla, że nie wysyła rachunków, faktur ani indywidualnych rozliczeń finansowych. Każda wiadomość sugerująca coś innego jest oszustwem.
Liczby nie pozostawiają złudzeń. Polska jest pod masowym ostrzałem
Dane z raportów CSIRT NASK pokazują skalę problemu:
- 11 tys. incydentów phishingowych w jednym miesiącu (październik 2025).
- 197,5 tys. złośliwych domen dodanych do listy ostrzeżeń od początku roku.
- 36,9 tys. nowych domen phishingowych tylko w październiku.
- 119 wzorców fałszywych SMS-ów wykrytych w lipcu 2025.
- Ponad 1,6 mln zablokowanych SMS-ów phishingowych w ciągu 10 miesięcy.
Statystyki użytkowników są równie brutalne: 76 proc. Polaków otrzymało co najmniej jedną wiadomość phishingową a średnia strata osoby, która dała się nabrać, to 3200 zł.
Ministerstwo Cyfryzacji nie owija w bawełnę: energetyka jest jednym z najbardziej narażonych sektorów gospodarki. Rok 2025 tylko to potwierdził. Polska sieć energetyczna jest obserwowana przez wszystkie globalne stolice - od Waszyngtonu po Pekin. Skuteczność obrony wynosi 99 proc. Brzmi świetnie, dopóki nie uświadomisz sobie, że 1 proc. luk to setki udanych ataków.
Co zrobić, gdy dostaniesz podejrzaną wiadomość?
Masz kilka konkretnych ścieżek działania:
- Zgłoś incydent do CSIRT NASK. Formularz: incydent.cert.pl. Prześlij treść wiadomości, załączniki i nagłówki maila. To nie jest biurokracja dla biurokracji. Każde zgłoszenie trafia do systemów, które tworzą wzorce oszustw i przekazują je operatorom telekomunikacyjnym. Dzięki temu kolejne wiadomości są automatycznie blokowane.
- Prześlij SMS na numer 8080. To bezpłatny numer CERT Polska do zgłaszania fałszywych wiadomości.
- Jeśli podałeś dane karty - natychmiast zadzwoń do banku. Nie czekaj. Minuty mają znaczenie.
Dlaczego oszuści wciąż atakują? Bo to działa. Policja odnotowała w zeszłym roku 180 tys. zgłoszeń oszustw online i 576 mln zł strat. Każda grupa wiekowa jest podatna. Nawet osoby technicznie zaawansowane dają się złapać. Najlepsze phishingi są dziś nie do odróżnienia od prawdziwych wiadomości.
Dlatego obowiązuje zestaw żelaznych zasad:
- Nie klikaj linków dotyczących pieniędzy, rachunków, paczek.
- Sprawdzaj domenę nadawcy - jedna litera różnicy to oszustwo.
- W razie wątpliwości - zadzwoń na oficjalny numer.
- Włącz 2FA wszędzie, gdzie się da.
- Używaj menedżera haseł i unikalnych haseł.
- Nie wierz w nagłe zwroty pieniędzy, wygrane i promocje.
Ministerstwo Energii, PGE i CSIRT NASK robią swoje. Reszta - zależy od nas.
Jest tego więcej
Ustaw Spider’s Web jako preferowane medium w Google
