- WIADOMOŚCI
- WAŻNE
Nadpis SMS „mObywatel” w końcu zastrzeżony. Dlaczego dopiero po kampanii oszustów?
Autor. Magnific.com. Licencja: https://www.magnific.com/ai/docs/licenses-attribution
11 maja br. zastrzeżono 58 nadpisów SMS, przypisanych do Centralnego Ośrodka Informatyki. Oznacza to, że operatorzy będą blokować wiadomości, które próbują podszywać się pod wybranych nadawców z administracji publicznej. Wśród nich znalazły się m.in. „mObywatel”, „mDowod”, „eUrzad” czy „eDoreczenia”. Problem w tym, że zrobiono to ponad dwa lata po wystartowaniu systemu oraz po kampanii wykorzystującej nadpis „mObywatel”, przez co wiadomości od cyberprzestępców były w tej samej konwersacji, co prawdziwe SMS-y.
„W ostatnich dniach rozsyłane są SMS-y informujące o wykroczeniu drogowym i nieopłaconym mandacie. Ich rzekomym nadawcą jest mObywatel. Nie daj się nabrać!” – apelowało Ministerstwo Cyfryzacji na platformie X.
Wiadomości mogły zostać uznane za prawdziwe, ponieważ dotyczyły wrażliwej tematyki dla wielu kierowców (opłacenia mandatu za przekroczenie prędkości) oraz pojawiały się w tym samym oknie konwersacji, co prawdziwe wiadomości od nadawcy o nazwie „mObywatel”.
Rafał, jeden z czytelników Sekuraka, otrzymał wiadomość SMS od wyłudzaczy pieniędzy tuż pod prawdziwymi komunikatami związanymi z aplikacją mObywatel:
Ale sprytna próba podszycia się pod mObywatela. Uważajcie!
— Sekurak (@Sekurak) May 7, 2026
``❌` `Nazwa nadawcy SMSa to: "mObywatel" (nazwa została sfałszowana, w ten sposób można podszywać się w zasadzie pod dowolną nazwę)
``❌` `Telefon dodał fałszywego SMSa (na czerwono) w tym samym wątku, co prawdziwe SMSy (na… pic.twitter.com/D1eYBkMk5z
Szerzej działania cyberprzestępców opisaliśmy na naszych łamach.
Porozmawiajmy o nadpisach SMS
Naturalne pytanie w tym temacie brzmi: dlaczego dostarczenie SMS-a podszywającego się pod mObywatela było możliwe?
Od 25 marca 2024 roku operatorzy są zobligowani do zablokowania SMS-ów, które „zawierają wprowadzający w błąd wariant nadpisu podmiotu publicznego, ujęty w wykazie CSIRT NASK”, co opisano szerzej na łamach Cyberpolicy NASK.
Najpóźniej od 14 maja br. (trzy dni po dokonaniu wpisu do wykazu) operatorzy są prawnie zobligowani do blokowania SMS-ów podszywających się pod nadawcę „mObywatel”, lecz w momencie kampanii phishingowej wspomniany nadpis nie był dodany do publicznie dostępnego wykazu zastrzeżonych nadpisów.
Należy podkreślić, że podszywanie się pod podmiot za pomocą SMS-ów może być obarczone karą do 5 lat więzienia (art. 30 ustawy o zwalczaniu nadużyć w komunikacji elektronicznej).
Wykaz nadpisów zastrzeżonych dla podmiotów publicznych jest prowadzony przez CSIRT NASK. Przedsiębiorcy telekomunikacyjni będą blokować SMS z zastrzeżonymi nadpisami, które nie pochodzą od podmiotu publicznego.
Ministerstwo Cyfryzacji, „Wystartował system wymiany informacji o smishingu”, styczeń 2024
O tym, że nie powinniśmy ufać nadpisowi nadawcy SMS-a możemy przeczytać w witrynie gov.pl.
„Warto też pamiętać, że możliwe jest sfałszowanie pola nadawcy w wiadomości SMS. Cyberprzestępcy mogą to zrobić za pomocą ogólnodostępnych narzędzi, a wysyłane przez nich wiadomości phishingowe są często bardzo podobne do prawdziwych komunikatów różnych usługodawców” – stwierdzono w komunikacie z marca 2023 roku.
Można w takim wypadku dojść do wniosku, że komunikacja SMS-owa administracji publicznej z obywatelem powinna szeroko wykorzystywać zastrzeżenie nadpisów, aby uniknąć prób ataków phishingowych. Problem w tym, że wiele takich nadpisów do niedawna było niezastrzeżonych.
COI dodaje nadpisy
8 maja br. wysłaliśmy pytanie prasowe do Ministerstwa Cyfryzacji odnośnie zastrzeżenia nadpisu „mObywatel”. Wówczas rekord o tej wartości nie znajdował się w ogólnodostępnym wykazie. Zgodnie z jego założeniami, wpisanie tam nadpisu ma uniemożliwiać skuteczne podszycie się pod niego (w sytuacji, gdy operator wywiązuje się z ustawowych obowiązków).
Mówiąc wprost: brak wpisania nadpisu „mObywatel” oznacza, że technicznie możliwe było nielegalne wysłanie wiadomości SMS-owej, która trafi do tej samej konwersacji, co poprzednie wiadomości od mObywatela. Dokładnie to było widoczne podczas kampanii cyberprzestępców z fałszywymi mandatami.
Prośbę o odpowiedzi na pytania prasowe ponowiłem 22 i 27 maja. W momencie redagowania tekstu (28 maja po godz. 20:00) nie otrzymałem odpowiedzi.
27 maja postanowiłem zerknąć w wykaz nadpisów. Moim oczom ukazało się 58 nowych rekordów, które zastrzegają m.in. poniższe nadpisy:
- PressMKiDN, PressMI, MediaRoom, PressMFiPR, PressMF, PressMEN, PressMC, PressMAP, PressKPRM, PressMP, PressMON;
- mObywatel, mObywatel2, mObywatele, mObywatelAp;
- MojeID, eDowod, gov.pl, eUrzad, ePUAP.
W polu „name” wskazano „CENTRALNY OŚRODEK INFORMATYKI” – najprawdopodobniej do zastrzeżenia doszło na wniosek COI. Wszystkie z wymienionych nadpisów zostały dodane 11 maja między godziną 5:56 a 12:22. Można to zweryfikować w publicznie dostępnym wykazie.
Autor. https://telegraf.cert.pl/api/v1/public/entities
Dlaczego tak późno?
Poniższy fragment to opinia autora
Nadpis „mObywatel”, wykorzystany do wiarygodnie wyglądającej kampanii phishingowej, został zastrzeżony kilka dni po niej. Szkoda – gdyby zastrzeżenie weszło w życie szybciej, operatorzy byliby prawnie zobowiązani do zablokowania fałszywych wiadomości wykorzystujących nadpis. W momencie wysyłki fałszywych SMS-ów – nie byli, ponieważ nie zostały dodane do wykazu.
Osobiście totalnie nie rozumiem tego, jak można stworzyć naprawdę potrzebny i skuteczny mechanizm, który zobowiązuje operatorów do blokowania fałszywych SMS-ów, a następnie nie dodać nadpisu wykorzystywanego przez rządową aplikację, której używa już 12 milionów Polaków. Nielogiczne.
Szkoda, ponieważ – z założenia – zapobiegłoby to doręczeniu wiadomości w ramach tego samego czatu (nadpisu), co prawdziwe wiadomości.
Czy chcemy zobowiązywać obywateli, aby sami rozpoznawali tego rodzaju phishing, czy może wykorzystajmy również w tym celu mechanizm, który został do tego stworzony?
Co ciekawe, nadpis „ZUS” został zastrzeżony w lutym 2024 roku. „mObywatel” 11 maja br. Lepiej późno, niż wcale.
Autor. https://telegraf.cert.pl/api/v1/public/entities
Co dalej?
Wszystkim chętnym rekomendujemy zapoznanie się z obecnie zastrzeżonymi nadpisami.
Artykuł zostanie zaktualizowany w momencie otrzymania odpowiedzi od Ministerstwa Cyfryzacji.
Miejmy nadzieję, że po raz ostatni cyberprzestępcom udało się wykorzystać nadpis używany przez administrację publiczną.




Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].