NA ŻYWO
Cyberbezpieczeństwo — jak chronić się w internecie?Jak działa sieć 5G i czy jest bezpieczna?Jak obniżyć cholesterol bez leków?Pierwsza pomoc krok po kroku — jak prawidłowo ratować życie?Karta EKUZ — co to jest i jak ją wyrobić krok po kroku?Samochód elektryczny — czy warto go dziś kupić?Cyberbezpieczeństwo — jak chronić się w internecie?Jak działa sieć 5G i czy jest bezpieczna?Jak obniżyć cholesterol bez leków?Pierwsza pomoc krok po kroku — jak prawidłowo ratować życie?Karta EKUZ — co to jest i jak ją wyrobić krok po kroku?Samochód elektryczny — czy warto go dziś kupić?
Newsy

Cyberbezpieczeństwo — jak chronić się w internecie?

20 czerwca 2026 Redakcja jops.pl 6 min czytania

Najważniejsze informacje

  • CERT Polska obsłużył w 2024 roku 103 449 incydentów cyberbezpieczeństwa — o 29 procent więcej niż rok wcześniej, gdy odnotowano ich ponad 80 tysięcy.
  • Aż 95 procent wszystkich incydentów to oszustwa komputerowe; 40 120 przypadków dotyczyło wyłudzania loginów i haseł do poczty, bankowości i portali społecznościowych.
  • Bezpłatny numer 8080 pozwala zgłaszać podejrzane SMS-y — w 2024 roku wpłynęło blisko 355 tysięcy zgłoszeń, a operatorzy zablokowali blisko 1,5 miliona złośliwych wiadomości.
  • Phishing opiera się na presji czasu i podszywaniu pod znane marki — bank, ZUS ani żadna instytucja publiczna nigdy nie prosi o pełne dane logowania ani kod BLIK przez SMS lub e-mail.
  • Uwierzytelnianie dwuskładnikowe (2FA) skutecznie ogranicza skutki kradzieży hasła, bo samo hasło przestępcy nie wystarczy do zalogowania się na konto.

Powiedzmy sobie szczerze — kto z nas nie dostał ostatnio dziwnego SMS-a o dopłacie do paczki? No właśnie, chyba każdy. I to akurat nie jest przypadek, bo skala tego wszystkiego robi się naprawdę spora. CERT Polska zarejestrował i obsłużył w 2024 roku 103 449 incydentów cyberbezpieczeństwa. To wzrost o 29 procent wobec roku poprzedniego, kiedy zespół zanotował ich ponad 80 tysięcy. I właśnie dlatego wraca ciągle to samo pytanie: cyberbezpieczeństwo — jak się chronić, skoro tamci działają na taką skalę.

No dobra, ale wróćmy na chwilę do tego, kto za tym wszystkim stoi. Bo zanim przejdziemy dalej, warto wiedzieć, że mówimy o konkretnych liczbach, a nie o jakimś tam wrażeniu, że „jest gorzej”. CERT Polska to zespół, który te 103 449 incydentów faktycznie obsłużył w 2024 roku — i to o 29 procent więcej niż rok wcześniej, kiedy było ich ponad 80 tysięcy. Więc jak ktoś ma poczucie, że tych oszustw jest coraz więcej… no to ma rację, tak po prostu jest.

Ten zespół reagowania na incydenty komputerowe działa sobie w strukturach NASK. W ciągu roku dostał ponad 600 tysięcy zgłoszeń — od zwykłych użytkowników, od instytucji, od firm. No i z tej całej kupy ponad 100 tysięcy zostało potem zakwalifikowanych jako realne incydenty bezpieczeństwa.

Jak to sobie przeliczymy, to wychodzi mniej więcej 300 incydentów dziennie. I akurat taki tytuł nosi zresztą oficjalna premiera raportu, który opublikował NASK… w sumie trudno o lepsze podsumowanie.

95 procent incydentów to oszustwa komputerowe

No i teraz najważniejsza rzecz: prawie 98 tysięcy zdarzeń, które CERT Polska obsłużył w 2024 roku, to były oszustwa komputerowe. Czyli 95 procent wszystkich zarejestrowanych incydentów… praktycznie wszystko, co się działo. Rok do roku ta kategoria urosła o 29 procent.

Najczęściej przestępcy próbowali po prostu wyłudzić od ludzi poufne dane. Chodzi o loginy i hasła do poczty, do bankowości, do portali społecznościowych i innych usług online. Takich przypadków było 40 120, czyli 39 procent wszystkich incydentów. Sporo, no nie?

Na liście pojawiły się też fałszywe sklepy internetowe i oszustwa inwestycyjne. W tych drugich przestępcy podszywali się pod koncerny paliwowo-energetyczne, pod znane firmy, no i pod instytucje publiczne.

I tu się robi ciekawie, bo skala phishingu pokazuje nam, gdzie tak naprawdę biegnie główna linia ataku. To nie są jakieś skomplikowane włamania techniczne — to zwykła manipulacja człowiekiem. Ofiara sama, dobrowolnie, wpisuje swoje dane na podstawionej stronie. I tyle.

SMS na numer 8080 zablokował 1,5 miliona wiadomości

Numer 8080 to taki bezpłatny kanał do zgłaszania podejrzanych SMS-ów, który uruchomił CERT Polska. Wystarczy, że prześlesz na niego fałszywą wiadomość i ona trafia do analizy. A operatorzy telekomunikacyjni mają obowiązek blokować treści uznane za złośliwe.

W 2024 roku na ten numer wpłynęło blisko 355 tysięcy zgłoszeń. Rok wcześniej było ich ponad 221 tysięcy, więc wzrost sięgnął 60 procent — czyli, no, naprawdę dużo. Liczba wiadomości uznanych za złośliwe doszła do 140 tysięcy.

Zespół wytworzył w sumie 746 wzorców szkodliwych wiadomości. I na ich podstawie zablokowano blisko 1,5 miliona SMS-ów, zanim w ogóle dotarły do odbiorców. To działa raczej prewencyjnie — jak już raz powstanie taki wzorzec, to potem wyłapuje kolejne kopie tej samej kampanii.

Serwis sekurak.pl opisywał wdrożenie tego numeru jako jeden z prostszych sposobów reagowania, jakie ma do dyspozycji zwykły użytkownik telefonu. No i w sumie trudno się nie zgodzić.

A poniższe zestawienie pokazuje nam, jak ta dynamika zgłoszeń wyglądała w dwóch ostatnich latach raportowanych przez CERT Polska.

Wskaźnik20232024
Incydenty obsłużone przez CERT Polskaponad 80 000103 449
Oszustwa komputeroweok. 76 000prawie 98 000
Zgłoszenia SMS na numer 8080ponad 221 000blisko 355 000
Wiadomości SMS uznane za złośliweblisko 120 000140 000

Cyberbezpieczeństwo — jak się chronić przed wyłudzeniem danych

No i wracamy do tego, co możemy zrobić sami. Jest coś takiego jak Lista Ostrzeżeń — czyli publiczny rejestr domen wyłudzających dane, który prowadzi CERT Polska. Strony, które na nią trafią, są blokowane przez operatorów u źródła. I co ważne, każdy z nas może zgłosić podejrzaną stronę przez formularz na incydent.cert.pl.

Te wyłudzenia opierają się raczej na dwóch rzeczach: na presji czasu i na podszyciu pod znaną markę. Dostajesz SMS o dopłacie do paczki, o rzekomej blokadzie konta albo o niedopłacie za prąd — i to wszystko prowadzi cię na stronę łudząco podobną do oryginału. A tam ofiara wpisuje login, hasło, kod z aplikacji… i po sprawie.

Zapamiętajmy jedno: bank nigdy nie prosi o pełne dane logowania ani o kod BLIK w wiadomości. To ostrzeżenie sektor finansowy powtarza w kółko i ono ciągle jest aktualne, bo schemat się nie zmienia. Zmienia się tylko pretekst, a reszta leci po staremu.

Druga warstwa obrony to uwierzytelnianie dwuskładnikowe. I to jest naprawdę mocna rzecz — bo nawet jak przestępca przejmie ci hasło, to mu nie wystarczy, jeśli logowanie wymaga jeszcze dodatkowego potwierdzenia w aplikacji albo na kluczu sprzętowym.

Oszustwa inwestycyjne podszywają się pod koncerny

Fałszywe platformy inwestycyjne były w 2024 roku jednym z najgroźniejszych finansowo typów oszustw. Reklamy obiecywały szybki zysk, niby z udziałem jakichś spółek paliwowych i energetycznych. A po rejestracji odzywał się „doradca”, który prowadził ofiarę do kolejnych wpłat. I kolejnych. I jeszcze kolejnych.

I tu mechanizm różni się od phishingu przede wszystkim skalą strat. Pojedyncza ofiara traci tu nierzadko oszczędności życia, a nie tylko dostęp do konta. Telewizja TVN24 wielokrotnie relacjonowała ostrzeżenia CERT Polska przed takimi kampaniami.

Rachunek skali jest w sumie prosty. Gdybyśmy równo rozłożyli te 40 120 wyłudzeń danych na 365 dni, to wyjdzie nam mniej więcej 110 prób dziennie — i to z samej tylko tej jednej kategorii. A pamiętajmy, że to liczba zgłoszonych przypadków, a nie wszystkich tych, które nigdy nie trafiły do statystyki.

No i jeszcze jedno: zgłoszenie incydentu do CERT Polska jest bezpłatne i wcale nie musisz być ofiarą. Wystarczy samo podejrzenie. Każdy taki sygnał skraca czas, w którym dana kampania pozostaje aktywna wobec kolejnych odbiorców.

Nie zapominajmy też o aktualizacjach oprogramowania — one zamykają luki, które przestępcy wykorzystują w atakach automatycznych. Producenci łatają podatności w przeglądarkach, w systemach, w aplikacjach bankowych, a taka aktualizacja odłożona „na potem” zostawia po prostu otwarte drzwi. To samo, akurat, dotyczy routera — bo jego oprogramowanie aktualizujemy chyba najrzadziej ze wszystkiego.

Te zasady reagowania spójnie powtarzają instytucje i serwisy branżowe, które warto sobie śledzić — obok komunikatów o kolejnych kampaniach phishingowych. Czyli, w skrócie: podejrzany SMS idzie na 8080, podejrzana strona do formularza CERT, a jak już stracisz pieniądze, to sprawa trafia na policję i do banku, który może próbować zatrzymać przelew.

Raport za 2024 rok zamyka się tą samą liczbą, od której się zaczął — 103 449 obsłużonych incydentów. No i prognozą, że rok 2025 ten rekord raczej przebije.

REKLAMAIn-feed native

Najczęstsze pytania

Jak zgłosić podejrzanego SMS-a w Polsce?

Wystarczy bezpłatnie przesłać podejrzaną wiadomość na numer 8080 — to oficjalny kanał CERT Polska. W 2024 roku wpłynęło tą drogą blisko 355 tysięcy zgłoszeń, a na ich podstawie operatorzy telekomunikacyjni zablokowali blisko 1,5 miliona złośliwych SMS-ów, zanim dotarły do odbiorców.

Ile incydentów cyberbezpieczeństwa zarejestrowano w Polsce w 2024 roku?

CERT Polska obsłużył w 2024 roku 103 449 incydentów, co oznacza wzrost o 29 procent w porównaniu z rokiem 2023, gdy odnotowano ich ponad 80 tysięcy. Zespół otrzymał łącznie ponad 600 tysięcy zgłoszeń, z których ponad 100 tysięcy zostało zakwalifikowanych jako realne zdarzenia bezpieczeństwa.

Co to jest phishing i jak go rozpoznać?

Phishing to metoda wyłudzania danych polegająca na podszywaniu się pod znane marki, banki lub instytucje publiczne — najczęściej przez SMS lub e-mail z linkiem do fałszywej strony. Rozpoznasz go po presji czasu ("zapłać teraz, bo konto zostanie zablokowane") i prośbie o podanie loginu, hasła lub kodu BLIK. Gdy masz wątpliwości, wejdź na stronę banku lub instytucji samodzielnie, wpisując adres ręcznie.

Co to jest uwierzytelnianie dwuskładnikowe i czy warto je włączyć?

Uwierzytelnianie dwuskładnikowe (2FA) to dodatkowe potwierdzenie tożsamości — np. w aplikacji mobilnej lub na kluczu sprzętowym — wymagane przy każdym logowaniu obok hasła. Dzięki temu nawet jeśli przestępca pozna twoje hasło, nie zaloguje się na konto bez drugiego składnika. Zdecydowanie warto włączyć 2FA na poczcie e-mail, w bankowości internetowej i na portalach społecznościowych.

Jak zgłosić fałszywą stronę internetową w Polsce?

Podejrzaną stronę można zgłosić przez formularz dostępny na incydent.cert.pl — prowadzi go CERT Polska. Strony zweryfikowane jako złośliwe trafiają na Listę Ostrzeżeń i są blokowane przez operatorów telekomunikacyjnych na poziomie sieci, zanim użytkownicy w ogóle zdążą je otworzyć.

Jak przestępcy podszywają się pod instytucje publiczne?

Najczęściej tworzą fałszywe strony łudząco podobne do witryn ZUS, urzędów, firm kurierskich czy banków i rozsyłają SMS-y lub e-maile z linkami do tych stron. W przypadku oszustw inwestycyjnych podszywają się dodatkowo pod znane koncerny paliwowo-energetyczne, obiecując szybki zysk — po rejestracji pojawia się "doradca" nakłaniający do kolejnych wpłat, a straty mogą sięgać oszczędności życia.

Źródła

Okiem redakcji

Liczby z raportu CERT Polska nie pozostawiają złudzeń — ponad 100 tysięcy realnych incydentów rocznie to nie statystyczny szum, ale codzienne zagrożenie, które dotyka każdego z nas. Radzimy: włącz uwierzytelnianie dwuskładnikowe na poczcie i w bankowości, a każdy podejrzany SMS prześlij na numer 8080 — to dosłownie minuta, która może ochronić ciebie i innych. Podejrzaną stronę internetową możesz z kolei zgłosić przez formularz na incydent.cert.pl, skąd trafi na Listę Ostrzeżeń i zostanie zablokowana u operatorów.

Czytaj dalej