Fałszywe okazje na bilety: Energylandia i Łódzkie ZOO

W czerwcu 2025 roku NASKCERT Polska (instytucje dbające o bezpieczeństwo w sieci) ostrzegły Polaków. Oszuści internetowi zorganizowali wielką akcję, w której udawali znane miejsca: EnergylandięOrientarium ZOO Łódź. Chcieli w ten sposób wyłudzić dane do kont bankowych od osób planujących wakacje.

Sposób działania oszustów był sprytny. Na Facebooku i TikToku umieszczali fałszywe reklamy z biletami tańszymi nawet o połowę. Jeśli ktoś kliknął link z takiej reklamy (np. energylandia-promo.sbs albo orientarium-lodz.sbs), trafiał na stronę, która wyglądała jak prawdziwa. Następnie, przy próbie zapłaty, ofiara była kierowana do fałszywego panelu płatności, który udawał np. PayU. Podanie tam danych karty kończyło się kradzieżą pieniędzy. Łódzkie ZOO też miało problem z fałszywą stroną, która kopiowała ofertę na bilety łączone z Aquaparkiem. Problem był duży – NASK zgłosił ponad 1200 prób oszustwa tylko w pierwszym tygodniu czerwca.

Turystyczny phishing w 2025

Niestety, Energylandia i ZOO w Łodzi to nie jedyne cele oszustw typu phishing. W 2025 roku Polacy spotykali się też z innymi rodzajami internetowych pułapek związanych z turystyką. Przestępcy wysyłali fałszywe e-maile od Booking.com, kierując na podrobione strony płatności, aby wyłudzić dane logowania i numery kart. Szczególnie narażone były hotele i osoby wynajmujące noclegi. Pojawiły się także e-maile rzekomo od biur podróży z informacją o „niezapłaconych fakturach” za wakacje, które zawierały linki do stron kradnących dane. W mediach społecznościowych można było natknąć się na super tanie oferty „last minute” do popularnych krajów – po wpłaceniu zaliczki strony oszustów znikały. Niektórzy otrzymywali też SMS-y od rzekomych linii lotniczych, np. LOT czy Ryanair, z prośbą o dopłatę za zmianę rezerwacji, co również prowadziło do fałszywych stron płatności. 

Widać, że przestępcy są coraz sprytniejsi. Używają sztucznej inteligencji, żeby ich wiadomości wyglądały bardziej wiarygodnie, i idealnie podrabiają wygląd znanych stron internetowych.

Jak nie dać się oszukać? Proste zasady bezpieczeństwa

Phishing to popularna metoda oszustwa internetowego, polegająca na podszywaniu się przez cyberprzestępców pod znane firmy, instytucje, a nawet osoby prywatne. Ich głównym celem jest wyłudzenie poufnych informacji – takich jak hasła do kont bankowych, numery kart kredytowych czy dane osobowe. Skutki udanego ataku phishingowego mogą być bardzo dotkliwe: od bezpośredniej utraty pieniędzy, przez zaciągnięcie kredytów na nasze nazwisko, aż po kradzież tożsamości, co może prowadzić do długotrwałych i skomplikowanych problemów finansowych oraz prawnych. Dlatego tak ważne jest, aby rozumieć to zagrożenie i wiedzieć, jak się przed nim chronić.

Chociaż oszuści wymyślają coraz to nowsze sztuczki, możemy się przed nimi chronić, pamiętając o kilku ważnych zasadach:

  • Zawsze sprawdzaj adres strony internetowej (URL), szczególnie, zanim podasz jakiekolwiek dane do płatności. Zwróć uwagę na drobne literówki lub nietypowe końcówki adresu, które mogą zdradzać oszustwo. Prawdziwe adresy to na przykład energylandia.pl lub orientarium.lodz.pl.
  • Nie klikaj w podejrzane linki w reklamach na Facebooku, w SMS-ach czy w e-mailach od nieznajomych, nawet jeśli oferta wydaje się niezwykle atrakcyjna. Lepiej wpisać adres strony ręcznie w przeglądarce lub skorzystać z oficjalnej aplikacji. 
  • Płać tylko przez bezpieczne i znane systemy płatności na oficjalnych stronach. Upewnij się, że połączenie jest szyfrowane (szukaj kłódki przy adresie strony i „https” na początku). Unikaj bezpośrednich przelewów na nieznane konta, zwłaszcza przy ofertach „last minute”.
  • Nie podawaj od razu danych swojej karty ani haseł do banku. Zastanów się dwa razy, czy strona jest wiarygodna i czy prośba o dane jest uzasadniona. Nigdy nie udostępniaj kodów CVV/CVC ani kodów jednorazowych z SMS-ów.
  • Jeśli coś wydaje Ci się podejrzane, zgłoś to do CERT Polska (możesz napisać na adres cert@cert.pl lub użyć formularza na stronie incydent.cert.pl). Twoje zgłoszenie może pomóc ostrzec innych przed oszustwami typu phishing. Warto też poinformować swój bank.

Pamiętaj, że zarówno Energylandia, jak i ZOO Łódź informowały, że nie robią konkursów z darmowymi biletami i nie wysyłają SMS-ów z prośbą o klikanie w linki.

Wakacje to czas odpoczynku, ale też czas, kiedy oszuści są bardziej aktywni. Chwila nieuwagi może nas drogo kosztować. Dlatego planując urlop, oprócz walizek, zabierzmy ze sobą także ostrożność i pamiętajmy o bezpieczeństwie w internecie.
Grafika Pexels, Fabian Wiktor, Pete Linforth