Kliknąłem w link – czy to już koniec?

Nie, jeśli nie podałeś danych - jesteś bezpieczny. Jeśli podałeś - natychmiast zablokuj konto i zmień hasła.

Czy zastrzeżony PESEL chroni mnie całkowicie?

Nie w pełni; blokuje próby wyłudzeń kredytowych, ale oszust może nadal użyć numeru do manipulacji.

Czy antywirus chroni przed phishingiem?

Częściowo, może zablokować znane strony, ale nie ostrzeże przed podaniem danych na nowo utworzonych witrynach.

Czy bank zwróci mi pieniądze po oszustwie?

Tak, jeśli transakcja była nieautoryzowana. Zgodnie z art. 46 ust. 1 ustawy, bank musi zwrócić środki do końca następnego dnia roboczego po zgłoszeniu.

Gdzie zgłosić podejrzaną wiadomość lub link?

SMS na numer 8080, stronę / link - incydent.cert.pl.

Phishing, vishing, smishing - jak skutecznie chronić swoje pieniądze w sieci?

✅ Najważniejsze informacje w skrócie:

Phishing, smishing i vishing żerują na emocjach i presji czasu, a nie na „słabym telefonie”.
W 2024 r. oszustwa komputerowe stanowiły 94,7% incydentów raportowanych do CERT (w tym phishing: 40 120).
Podejrzany SMS możesz zgłosić do CERT Polska na 8080, a incydent przez incydent.cert.pl.
Przy transakcji nieautoryzowanej bank ma obowiązek zwrotu w trybie D+1, wyjątki są ściśle określone w praktyce (np. limit 13 miesięcy i uzasadnione podejrzenie oszustwa zgłoszone organom).

Phishing, vishing i smishing to techniki cyberprzestępczości, których celem nie są serwery czy aplikacje, lecz Ty. Oszuści wchodzą w Twoją codzienność, podszywają się pod kuriera, bank, dostawcę energii, a czasem nawet członka rodziny. Łączą kanały komunikacji: e-mail, SMS, telefon, a coraz częściej także kod QR.

W tym artykule poruszam następujące tematy:

Definicje: phishing, smishing, vishing

Najważniejsze: te ataki działają, bo uruchamiają emocje i presję czasu, a nie dlatego, że „telefon jest słaby”.

Phishing: e-mail podszywający się pod instytucję, mający na celu wyłudzenie loginów i haseł.
Smishing: SMS z linkiem do fałszywej płatności lub strony logowania.
Vishing: oszustwo telefoniczne, rozmowa z rzekomym pracownikiem banku, który próbuje zdobyć dane lub skłonić do instalacji aplikacji zdalnej kontroli.

🔎 Jak wygląda phishing? Uważaj na pozory

Najważniejsze: profesjonalny wygląd e-maila nie jest dowodem autentyczności, liczy się adres nadawcy i domena linku.

Mail wygląda profesjonalnie: logo banku, poprawna stopka, znany układ, jednak:

Adres nadawcy to np. kontakt[@]mbankk.pl.
Treść gra emocjami: „Twoje konto zostało zablokowane”.
Link prowadzi na fałszywą stronę, np. www.banklogowanie[.]online.
Po wpisaniu danych przestępcy przejmują logowanie, a część działań wykonują automaty lub skrypty.

📱 Smishing: fałszywy SMS w Twoim wątku wiadomości

Najważniejsze: SMS może pojawić się w tym samym wątku co wcześniejsze legalne wiadomości, bo działa spoofing nadawcy.

Przykład wiadomości:
„Dopłać 1,20 zł do paczki, inaczej wróci do nadawcy. tiny[.]cc/123-paczka”

Użytkownik trafia na stronę płatności, która kradnie dane. Taki SMS bywa „doklejony” do legalnego wątku np. z InPostu, bo to efekt spoofingu nazwy lub numeru nadawcy.

📞 Vishing: rozmowa z „bankiem” i presja czasu

Najważniejsze: jeśli ktoś dzwoni i prosi o instalację AnyDesk lub zdalny dostęp do telefonu, potraktuj to jak oszustwo i przerwij rozmowę.

Dzwoni „konsultant” bankowy. Twierdzi, że konto jest zagrożone i nakazuje instalację AnyDesk. Podaje PESEL i adres, wszystko się zgadza, bo dane mogły pochodzić z wycieku.

To klasyczny vishing. Zdarzają się też warianty z deepfake głosowym, słyszysz głos bliskiej osoby i prośbę o pilny przelew.

Mechanizm jest podobny: lęk, presja czasu i pozorny autorytet.

📊 Statystyki: skala problemu w Polsce

Najważniejsze: w 2024 r. dominowały oszustwa komputerowe, które stanowiły 94,7% incydentów (łącznie 97 995), w tym phishing 40 120.

W 2024 r. CERT Polska obsłużył 103 449 incydentów cyberbezpieczeństwa, co oznacza wzrost o około 29% r/r. Największą część stanowiły oszustwa komputerowe (w tym phishing).

Źródła: gov.pl – analiza bezpieczeństwa polskiego internetu (2024), WirtualneMedia – omówienie danych z raportu CERT (2024).

🧠 Anatomia oszustwa: mechanizmy psychologiczne

Najważniejsze: oszustwo jest zaprojektowane tak, abyś działał automatycznie, zanim sprawdzisz fakty.

Reguła autorytetu: „Dzwonię z Departamentu Bezpieczeństwa Banku”.
Presja czasu: „Masz 15 minut na działanie”.
Społeczny dowód słuszności: „Wszyscy już zaktualizowali aplikację”.
Ograniczona dostępność: „To ostatnia szansa na odzyskanie pieniędzy”.

🛡️ Zasady bezpieczeństwa: 4 najważniejsze

Najważniejsze: przerwij kontakt i weryfikuj kanałem oficjalnym, a nie przez link lub numer podany w wiadomości.

Zasada ograniczonego zaufania: nie klikaj w linki z wiadomości, adres wpisuj ręcznie.
Zastrzeż PESEL: na gov.pl lub w aplikacji mObywatel.
Dwuskładnikowe logowanie (2FA): najlepiej przez aplikację uwierzytelniającą.
Menedżer haseł: unikalne hasła do każdego serwisu.

🔎 Jak weryfikować wiadomości i połączenia?

Najważniejsze: jeśli „bank dzwoni”, rozłącz się i oddzwoń na numer z oficjalnej strony lub aplikacji.

Najedź kursorem na link i sprawdź, dokąd prowadzi.
Na telefonie przytrzymaj link i zobacz pełny adres.
HTTPS nie gwarantuje uczciwości strony, ale brak https to czerwony sygnał.
Gdy masz wątpliwości, wejdź na stronę przez wpisanie adresu ręcznie.
Telefon z „banku”: zakończ rozmowę i oddzwoń samodzielnie.

🆕 Quishing: atak przez kody QR

Najważniejsze: kod QR nie pokazuje, dokąd prowadzi, dopiero po zeskanowaniu widzisz adres.

Quishing to phishing przez kod QR. Przestępca umieszcza kod w mailu, na ulotce, na parkometrze, a czasem nakleja go na istniejący kod.

Zeskanowanie może przekierować na fałszywą stronę lub uruchomić pobranie złośliwego oprogramowania. Źródło: gov.pl – quishing.

🚨 Co robić, gdy padniesz ofiarą? Krok po kroku

Najważniejsze: działaj od razu, blokada dostępu i zgłoszenie incydentu jest ważniejsze niż analiza „co się stało”.

Skontaktuj się z bankiem: zablokuj dostęp, kartę, zgłoś incydent.
Zmień hasła: zacznij od banku i e-maila, potem pozostałe konta.
Zgłoś na policję: zbierz dowody (SMS, e-mail, zrzuty ekranu).
Zawiadom CERT Polska: podejrzany SMS przekaż na 8080, a incydent zgłoś przez incydent.cert.pl.
Reklamacja w banku: powołaj się na art. 46 ustawy o usługach płatniczych (D+1). Doprecyzowanie: w praktyce wskazuje się m.in. wyjątki, takie jak zgłoszenie po upływie 13 miesięcy albo uzasadnione podejrzenie oszustwa zgłoszone organom przez bank.
Rzecznik Finansowy: gdy bank odmówi, sprawdź ścieżkę wsparcia na rf.gov.pl.

📊 Porównanie metod oszustów

**Porównanie: phishing vs smishing vs vishing**
Typ ataku	Forma	Cel	Przykład
Phishing	Mail, fałszywa strona	Dane logowania	E-mail z linkiem do „banku”
Smishing	SMS z linkiem	Dane lub płatność	SMS o dopłacie do paczki
Vishing	Telefon	Zdalny dostęp / kody	Telefon z „działu bezpieczeństwa”

❓ FAQ – najczęściej zadawane pytania

Czy bank może prosić o instalację AnyDesk?

Nie. Prośba o zdalny dostęp do telefonu jest typowym sygnałem oszustwa. Rozłącz się i oddzwoń na numer z oficjalnej strony lub aplikacji.

Kliknąłem w link, co robić?

Jeśli nie podałeś danych, zamknij stronę i przeskanuj urządzenie. Jeśli podałeś dane, natychmiast zmień hasła i skontaktuj się z bankiem.

Czy zastrzeżony PESEL chroni w pełni?

Nie. Zastrzeżenie PESEL ogranicza część nadużyć, ale nie blokuje socjotechniki ani prób przejęcia kont.

Czy antywirus zatrzyma phishing?

Antywirus i filtry mogą zablokować część znanych stron, ale nie zastąpią weryfikacji adresu i ostrożności przy podawaniu danych.

Czy bank zwróci pieniądze po oszustwie?

W przypadku transakcji nieautoryzowanej działa zasada zwrotu (D+1) z art. 46 ustawy o usługach płatniczych, a wyjątki są ograniczone i wymagają podstaw prawnych.

Jak sprawdzić, czy strona banku jest prawdziwa?

Sprawdź domenę. Najbezpieczniej wejść przez aplikację banku lub wpisać adres ręcznie zamiast klikać w link. HTTPS nie jest gwarancją, ale brak https to czerwony sygnał.

Gdzie zgłosić podejrzany SMS lub link?

Podejrzany SMS przekaż na 8080. Incydenty i podejrzane strony zgłaszaj przez incydent.cert.pl.

Źródła

Aktualizacja artykułu: 13 grudnia 2025 r.

Autor: Jacek Grudniewski
Ekspert ds. produktów finansowych i pasjonat rynku nieruchomości

Kontakt za pośrednictwem LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/

Niniejszy artykuł ma charakter wyłącznie informacyjny i edukacyjny. Nie stanowi porady prawnej ani finansowej, ani rekomendacji. Autor nie zna Twojej indywidualnej sytuacji. Jeśli poniosłeś szkodę lub masz wątpliwości co do praw i obowiązków banku, rozważ kontakt z bankiem, policją oraz właściwymi instytucjami publicznymi.

Phishing, vishing, smishing – jak skutecznie chronić swoje pieniądze w sieci?