Jak wyglądał ten fałszywy e-mail?
Oto fragment otrzymanej wiadomości:
Temat: Twoja domena korzystne wygaśniecie – odnowienie wymaganeKwota: 18,45 zł
Link do płatności: [skrót linku np. shortifyme.co]
Termin płatności: dzisiaj!
Treść informuje o rzekomej proformie nr 285616 za odnowienie domeny.
– Wygląda znajomo? Tym bardziej trzeba uważać.

Jak działa ten atak?
To klasyczny przykład phishingu – czyli próby wyłudzenia Twoich danych lub pieniędzy przez podszywanie się pod znaną firmę.
Na czym polegał trik?
- Podszycie się pod znaną markę – w treści wiadomości występowała firma “HitMe.pl”, która faktycznie istnieje i zajmuje się m.in. rejestracją domen.
- Fałszywy adres e-mail – wiadomość została wysłana z domeny
@demondzorgzaak.nl
, która nie ma nic wspólnego z HitMe.pl. - Skrócony link do płatności – kierował na zewnętrzną stronę, która może przypominać system płatności, ale tak naprawdę może:
- wyłudzać dane logowania do banku
- przejmować dane karty płatniczej
- instalować złośliwe oprogramowanie
- Presja czasu – “Link ważny tylko 2 dni!” – to typowy sposób na wywarcie presji i ominięcie zdrowego rozsądku.
Do jakich stron kierują linki / przyciski?
Chcąc to sprawdzić, kierujemy w to miejsce kursor, ale NIE KLIKAMY.
Sporo przycisków pozostała nieaktywna – link do: # (czyli nigdzie nas nie przekieruje)

Jednak główny przycisk (“Zapłać online”) kieruje nas na niebezpieczną stronę: WHOLEHEARTEDLIVING.DK (ukrywając jednak prawdziwy link za pomocą serwisu SHORTIFYME.CO, służącego do skracania adresów)


FINAŁ ATAKU – zdobycie danych logowania i danych karty kredytowej

Wpisane na tej stronie dane logowania – adres e-mail i hasło trafią w ręce atakujących!
… ale to jeszcze nie koniec …
Kolejne okno to już próba zdobycia danych karty kredytowej!




Trochę analizy technicznej – Jak rozpoznać podejrzaną wiadomość?
5 rzeczy, które zawsze warto sprawdzić:
Na co uważać? | |
---|---|
Adres nadawcy | Czy domena wygląda podejrzanie (np. @demondzorgzaak.nl zamiast @hitme.pl )? |
Link do płatności | Czy używa serwisów do skracania linków (bit.ly , shortifyme.co )? Lepiej nie klikać. |
Styl wiadomości | Czy są literówki, nienaturalny język lub „automat”? |
Presja czasu | Czy e-mail straszy konsekwencjami natychmiastowymi? |
Zgodność z rzeczywistością | Czy rzeczywiście korzystasz z usług tej firmy? Jeśli nie — ignoruj i usuń. |
Co zrobić, gdy dostaniesz taki e-mail?
- Nie klikaj w linki — nawet z ciekawości.
- Nie podawaj danych logowania ani numeru karty.
- Zweryfikuj wiadomość u źródła:
- Zaloguj się na konto u usługodawcy z własnoręcznie wpisanego adresu.
- Napisz lub zadzwoń do firmy – używając danych z oficjalnej strony.
- Zgłoś incydent do CERT Polska → https://incydent.cert.pl
- Oznacz wiadomość jako phishing lub spam w swojej skrzynce.
Ocena Bezpieczeństwa: Prawdopodobny SPAM / PHISHING
Zapamiętaj: lepiej dmuchać na zimne
Jeśli masz wątpliwości, zawsze możesz nas zapytać – pomożemy przeanalizować wiadomość i doradzić, co zrobić.
Bezpieczeństwo w sieci zaczyna się od świadomości. Udostępnij ten artykuł znajomym — ktoś może właśnie być o krok od kliknięcia w zły link.
Wnioski techniczne
Dysponując zacięciem technicznym, możesz próbować przeanalizować dodatkowo źródło wiadomości:

SPF i DKIM na poziomie GrooveHQ działają poprawnie, ale nie oznacza to, że nadawca jest zaufany. Jak już ustaliliśmy powyżej, prawdziwa domena, do której jesteśmy kierowani jest inna!
Brak polityki DMARC to istotny czerwony sygnał – oznacza możliwość podszycia się.
Adres nadawcy i domena są fałszywe. Nie mają związku z marką HitMe.pl.
Link do płatności (
shortifyme.co
) jest skrócony, może ukrywać fałszywą stronę płatności.


Rekomendacja techniczna
- Nie klikaj żadnych linków.
- Dodaj regułę do systemu antyspamowego, aby blokować wiadomości od
@demondzorgzaak.nl
. - Zgłoś incydent do CERT Polska: https://incydent.cert.pl
- Możesz też zgłosić domenę
shortifyme.co
jako phishing np. w Google Safe Browsing.