Kliknąłem w link – czy to już koniec?

Nie, jeśli nie podałeś danych - jesteś bezpieczny. Jeśli podałeś - natychmiast zablokuj konto i zmień hasła.

Czy zastrzeżony PESEL chroni mnie całkowicie?

Nie w pełni; blokuje próby wyłudzeń kredytowych, ale oszust może nadal użyć numeru do manipulacji.

Czy antywirus chroni przed phishingiem?

Częściowo, może zablokować znane strony, ale nie ostrzeże przed podaniem danych na nowo utworzonych witrynach.

Czy bank zwróci mi pieniądze po oszustwie?

Tak, jeśli transakcja była nieautoryzowana. Zgodnie z art. 46 ust. 1 ustawy, bank musi zwrócić środki do końca następnego dnia roboczego po zgłoszeniu.

Gdzie zgłosić podejrzaną wiadomość lub link?

SMS na numer 8080, stronę / link - incydent.cert.pl.

Phishing, vishing, smishing - jak skutecznie chronić swoje pieniądze w sieci?

Najważniejsze informacje w skrócie:

Phishing, smishing i vishing żerują na emocjach i presji czasu, a nie na „słabym telefonie”.
W 2024 r. oszustwa komputerowe stanowiły 94,7% incydentów raportowanych do CERT, w tym phishing: 40 120.
Podejrzany SMS możesz zgłosić do CERT Polska na 8080, a incydent przez incydent.cert.pl.
Przy transakcji nieautoryzowanej bank co do zasady ma obowiązek zwrotu w trybie D+1, a wyjątki są ograniczone przepisami i praktyką ich stosowania.

Phishing, vishing i smishing to techniki cyberprzestępczości, których celem jest użytkownik i jego dane, a nie tylko system czy aplikacja. Oszuści wchodzą w codzienną komunikację, podszywają się pod kuriera, bank, dostawcę energii, a czasem nawet członka rodziny. Łączą kanały kontaktu: e-mail, SMS, telefon, a coraz częściej także kod QR.

W tym artykule poruszam następujące tematy:

Definicje: phishing, smishing, vishing

Te ataki działają, bo uruchamiają emocje i presję czasu, a nie dlatego, że telefon jest „słaby”.

Phishing: e-mail podszywający się pod instytucję, którego celem jest wyłudzenie loginów, haseł lub danych karty.
Smishing: SMS z linkiem do fałszywej płatności, dopłaty albo strony logowania.
Vishing: oszustwo telefoniczne, rozmowa z rzekomym pracownikiem banku lub innej instytucji, który próbuje zdobyć dane, kody albo skłonić do instalacji aplikacji zdalnego dostępu.

Jak wygląda phishing i na co uważać

Profesjonalny wygląd e-maila nie potwierdza autentyczności, znaczenie ma adres nadawcy i domena linku.

Mail może wyglądać wiarygodnie: logo banku, poprawna stopka, znany układ wiadomości. To nadal nie oznacza, że wiadomość jest prawdziwa.

Adres nadawcy to np. kontakt[@]mbankk.pl zamiast oficjalnej domeny.
Treść gra emocjami: „Twoje konto zostało zablokowane” albo „potwierdź dane w 15 minut”.
Link prowadzi na fałszywą stronę, np. www.banklogowanie[.]online.
Po wpisaniu danych przestępcy przejmują dostęp do konta lub skrzynki e-mail.

Smishing: fałszywy SMS w legalnym wątku wiadomości

Fałszywy SMS może pojawić się w tym samym wątku co wcześniejsze legalne wiadomości, bo wykorzystywany jest spoofing nadawcy.

Przykład wiadomości:
„Dopłać 1,20 zł do paczki, inaczej wróci do nadawcy. tiny[.]cc/123-paczka”

Po kliknięciu użytkownik trafia na stronę płatności, która przechwytuje dane karty, login lub kod autoryzacyjny. Taki SMS bywa „doklejony” do legalnego wątku, np. z InPostu, co wzmacnia wiarygodność oszustwa.

Vishing: rozmowa z „bankiem” i presja czasu

Jeśli rozmówca prosi o instalację AnyDesk lub inny zdalny dostęp do telefonu, potraktuj to jak oszustwo i przerwij rozmowę.

Dzwoni „konsultant” bankowy. Twierdzi, że konto jest zagrożone i nakazuje instalację narzędzia zdalnego dostępu. Podaje PESEL lub adres, co zwiększa presję, bo część danych mogła pochodzić z wcześniejszych wycieków.

To klasyczny vishing. W praktyce pojawiają się też warianty z podszywaniem się pod bliską osobę lub pracownika instytucji, w tym z wykorzystaniem przetworzonego głosu. Mechanizm pozostaje ten sam: lęk, presja czasu i pozorny autorytet.

Statystyki: skala problemu w Polsce

W 2024 r. dominowały oszustwa komputerowe, które stanowiły 94,7% incydentów, a sam phishing odpowiadał za 40 120 przypadków.

W 2024 r. CERT Polska obsłużył 103 449 incydentów cyberbezpieczeństwa, co oznacza wzrost o około 29% r/r. Największą kategorię stanowiły oszustwa komputerowe, w tym phishing. To pokazuje, że problem dotyczy masowych, powtarzalnych schematów socjotechnicznych, a nie wyłącznie zaawansowanych ataków technicznych.

Do danych liczbowych najlepiej odwoływać się do źródeł pierwotnych, czyli raportu rocznego CERT Polska i komunikatów gov.pl, zamiast do omówień medialnych.

Dlaczego to działa: mechanizmy psychologiczne oszustwa

Oszustwo jest projektowane tak, abyś zadziałał automatycznie, zanim sprawdzisz fakty.

Reguła autorytetu: „Dzwonię z Departamentu Bezpieczeństwa Banku”.
Presja czasu: „Masz 15 minut na działanie”.
Społeczny dowód słuszności: „Wszyscy już zaktualizowali aplikację”.
Ograniczona dostępność: „To ostatnia szansa na odzyskanie pieniędzy”.

Najgroźniejszy moment to chwila, w której użytkownik przestaje weryfikować fakty i zaczyna wykonywać polecenia pod presją. Dlatego pierwszą reakcją powinno być przerwanie kontaktu i samodzielna weryfikacja.

Zasady bezpieczeństwa: 4 najważniejsze działania

Przerwij kontakt i weryfikuj kanałem oficjalnym, a nie przez link lub numer podany w wiadomości.

Zasada ograniczonego zaufania: nie klikaj w linki z wiadomości, adres wpisuj ręcznie lub wejdź przez aplikację.
Zastrzeż PESEL: zrób to na gov.pl albo w aplikacji mObywatel.
Dwuskładnikowe logowanie (2FA): najlepiej przez aplikację uwierzytelniającą, a nie tylko SMS, jeśli usługa daje taki wybór.
Menedżer haseł: unikalne hasła do każdego serwisu, szczególnie do banku i poczty e-mail.

Jak weryfikować wiadomości, linki i połączenia

Jeśli „bank dzwoni”, zakończ rozmowę i oddzwoń na numer z oficjalnej strony lub aplikacji.

Najedź kursorem na link i sprawdź, dokąd faktycznie prowadzi.
Na telefonie przytrzymaj link i wyświetl pełny adres przed kliknięciem.
HTTPS nie gwarantuje uczciwości strony, oznacza szyfrowanie połączenia. Brak https to sygnał ostrzegawczy.
Gdy masz wątpliwości, wpisz adres ręcznie lub wejdź przez oficjalną aplikację.
Telefon z „banku” lub „policji”: zakończ rozmowę i zainicjuj kontakt samodzielnie.

Quishing: atak przez kody QR

Kod QR nie pokazuje celu przekierowania przed skanem, dlatego trzeba sprawdzać adres dopiero po odczycie.

Quishing to phishing z użyciem kodu QR. Przestępca umieszcza kod w mailu, na ulotce, przy parkometrze, a czasem nakleja go na istniejący kod. Po zeskanowaniu użytkownik trafia na fałszywą stronę płatności lub logowania.

Ryzyko rośnie tam, gdzie działasz szybko, np. parking, przesyłka, dopłata do rachunku, dokument do „pilnego podpisu”. Zanim potwierdzisz płatność lub wpiszesz dane, sprawdź domenę i nazwę podmiotu.

Co robić po ataku: działania krok po kroku

Działaj od razu, blokada dostępu i zgłoszenie incydentu są ważniejsze niż analiza przebiegu oszustwa w pierwszych minutach.

Skontaktuj się z bankiem: zablokuj dostęp, kartę i zgłoś incydent.
Zmień hasła: zacznij od banku i skrzynki e-mail, potem pozostałe konta.
Zbierz dowody: SMS, e-mail, numer telefonu, zrzuty ekranu, godziny zdarzeń.
Zgłoś sprawę na policję: im szybciej, tym lepiej dla zabezpieczenia śladów.
Zawiadom CERT Polska: podejrzany SMS przekaż na 8080, a incydent zgłoś przez incydent.cert.pl.
Złóż reklamację w banku: przy transakcji nieautoryzowanej wskaż art. 46 ustawy o usługach płatniczych i żądanie zwrotu w trybie D+1.
Doprecyzowanie prawne: zasada D+1 dotyczy transakcji nieautoryzowanych, a spór z bankiem często dotyczy oceny, czy transakcja miała taki charakter. W praktyce wskazuje się też wyjątki, np. zgłoszenie po upływie 13 miesięcy albo uzasadnione podejrzenie oszustwa zgłoszone organom przez bank.
Rzecznik Finansowy: gdy bank odmówi, sprawdź ścieżkę wsparcia na rf.gov.pl.

Porównanie metod oszustów

**Porównanie: phishing vs smishing vs vishing**
Typ ataku	Forma	Cel	Przykład
Phishing	E-mail, fałszywa strona	Dane logowania, dane karty	Wiadomość z linkiem do „banku”
Smishing	SMS z linkiem	Dane, płatność, kody	SMS o dopłacie do paczki
Vishing	Telefon	Kody, dane, zdalny dostęp	Telefon z „działu bezpieczeństwa”

FAQ – najczęściej zadawane pytania

Czy bank może prosić o instalację AnyDesk?

Nie. Prośba o zdalny dostęp do telefonu lub komputera jest typowym sygnałem oszustwa. Zakończ rozmowę i oddzwoń na numer z oficjalnej strony lub aplikacji.

Kliknąłem w link, co robić?

Jeśli nie podałeś danych, zamknij stronę i przeskanuj urządzenie. Jeśli podałeś dane lub kody, natychmiast skontaktuj się z bankiem i zmień hasła, zaczynając od banku i poczty e-mail.

Czy zastrzeżony PESEL chroni w pełni?

Nie. Zastrzeżenie PESEL ogranicza część nadużyć, ale nie blokuje socjotechniki, przejęcia konta ani wyłudzenia kodów autoryzacyjnych.

Czy antywirus zatrzyma phishing?

Antywirus i filtry mogą zablokować część znanych stron, ale nie zastąpią sprawdzenia domeny, treści wiadomości i zasad ostrożności przy logowaniu.

Czy bank zwróci pieniądze po oszustwie?

Przy transakcji nieautoryzowanej działa zasada zwrotu D+1 z art. 46 ustawy o usługach płatniczych, ale spór z bankiem często dotyczy tego, czy transakcja rzeczywiście miała charakter nieautoryzowany.

Jak sprawdzić, czy strona banku jest prawdziwa?

Sprawdź domenę i wejdź przez aplikację banku albo wpisz adres ręcznie. HTTPS oznacza szyfrowanie połączenia, ale nie potwierdza, że strona należy do legalnej instytucji.

Gdzie zgłosić podejrzany SMS lub link?

Podejrzany SMS przekaż na 8080. Incydenty i podejrzane strony zgłaszaj przez incydent.cert.pl.

Źródła

Aktualizacja artykułu: 22 lutego 2026 r.

Autor: Jacek Grudniewski
Ekspert ds. produktów finansowych i pasjonat rynku nieruchomości

Kontakt za pośrednictwem LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/

Niniejszy artykuł ma charakter wyłącznie informacyjny i edukacyjny. Nie stanowi porady prawnej ani finansowej, ani rekomendacji. Autor nie zna Twojej indywidualnej sytuacji. Jeśli poniosłeś szkodę lub masz wątpliwości co do praw i obowiązków banku, rozważ kontakt z bankiem, policją oraz właściwymi instytucjami publicznymi.

Phishing, vishing, smishing – jak skutecznie chronić swoje pieniądze w sieci?