NA ŻYWO
Fotowoltaika 2026 — czy nadal się opłaca?Jak działa sztuczna inteligencja? Wyjaśniamy prostoPhishing — co to jest i jak się przed nim chronić?Kontrola policji na drodze — jakie masz prawa i obowiązki?Jakie prawa daje obywatelowi Konstytucja RP?Referendum lokalne krok po kroku — jak je zorganizować?Fotowoltaika 2026 — czy nadal się opłaca?Jak działa sztuczna inteligencja? Wyjaśniamy prostoPhishing — co to jest i jak się przed nim chronić?Kontrola policji na drodze — jakie masz prawa i obowiązki?Jakie prawa daje obywatelowi Konstytucja RP?Referendum lokalne krok po kroku — jak je zorganizować?
Newsy

Phishing — co to jest i jak się przed nim chronić?

19 czerwca 2026 Redakcja jops.pl 5 min czytania

Najważniejsze informacje

  • W 2024 roku CERT Polska obsłużył 40 120 incydentów phishingowych – to najczęściej zgłaszany typ cyberataku w Polsce.
  • Liczba podejrzanych SMS-ów zgłoszonych przez Polaków wzrosła o 60% – z 221 tys. w 2023 roku do 355 tys. w 2024 roku.
  • Pracownik banku nigdy nie prosi o kod BLIK, hasło ani instalację dodatkowej aplikacji – każda taka prośba to pewny znak oszustwa.
  • Podejrzanego SMS-a można bezpłatnie przesłać na numer 8080; w 2024 roku pozwoliło to zablokować 1,5 mln złośliwych wiadomości.
  • Włączone uwierzytelnianie dwuskładnikowe (2FA) skutecznie chroni konto nawet wtedy, gdy hasło zostało już wyłudzone.

Ręka w górę, kto w tym tygodniu dostał SMS-a o „nieopłaconej paczce” albo dziwny telefon niby z banku… No właśnie. Z takimi rzeczami stykamy się dziś chyba wszyscy, i nie ma się co dziwić — bo skala jest gigantyczna. CERT Polska naliczył w 2024 roku 40 120 incydentów, które wpadły do szuflady „phishing”. No i to akurat najczęściej zgłaszany u nas typ ataku, więc raczej dlatego pytanie „phishing — jak się chronić” leci dziś i w poradnikach policji, i w komunikatach od banków.

Ale czym to w sumie jest? No więc phishing to takie wyłudzanie danych albo pieniędzy przez podszywanie się pod kogoś, komu ufamy. Ktoś wysyła nam SMS-a czy maila, który wygląda jak wiadomość od banku, kuriera, urzędu albo sklepu. Klikamy w link, wbijamy login i hasło na podstawionej stronie… i nasze dane od razu lądują u oszusta.

Skąd wzięła się nazwa i jak działa mechanizm

Sama nazwa „phishing” to taka gra słów. Łączy angielskie „fishing”, czyli łowienie, z „phreakingiem”, a mianowicie: włamaniami do sieci telefonicznych z lat 70. I w sumie ten schemat od dekad jest mniej więcej ten sam. Oszust zarzuca przynętę i czeka, aż ktoś ją połknie.

A tą przynętą jest zwykle jakaś pilna sprawa. Wiadomość mówi o zablokowanej paczce, niedopłacie za prąd, rzekomym logowaniu z obcego sprzętu albo o dopłacie kilku złotych do przesyłki. No i ta presja czasu raczej wyłącza nam czujność… i właśnie o to chodzi.

Po kliknięciu trafiamy na stronę łudząco podobną do prawdziwej. Adres różni się jedną literką, domena jest podstawiona, a certyfikat bywa świeżutko wygenerowany. I to hasło czy kod autoryzacyjny, który tam wpiszemy, przejmuje atakujący — często w czasie rzeczywistym.

355 tysięcy podejrzanych SMS-ów w jeden rok

Liczby z raportu CERT Polska za 2024 rok pokazują, jaka to skala. Oszustwa komputerowe to było 94,7 procent wszystkich zgłoszonych incydentów, a sam phishing odpowiadał za ponad 40 tysięcy z nich. W sumie zespół obsłużył 103 449 incydentów, czyli mniej więcej 300 dziennie. Spore liczby, co nie?

A jeszcze mocniej w górę poszły zgłoszenia podejrzanych SMS-ów. I tu dane mówią wprost o takiej lawinie wiadomości, którą Polacy raportowali na numer 8080.

Wskaźnik (CERT Polska)20232024Zmiana
Zgłoszenia podejrzanych SMS221 tys.355 tys.+60%
Wszystkie incydentyok. 80 tys.103 449+29%
Incydenty phishingowe40 120
Zablokowane złośliwe SMS1,5 mln
I właśnie dzięki samym zgłoszeniom od ludzi udało się zablokować jakieś 1,5 miliona złośliwych wiadomości, zanim doszły do kolejnych odbiorców. CERT odnotował też ponad 17 tysięcy przypadków podszywania się pod popularne serwisy sprzedażowe i społecznościowe.

Metoda „na pracownika banku” i kod BLIK

We Wrocławiu z konta jednej z ofiar „wyparowało” 10 tysięcy złotych, po tym jak rozmówca podał się za pracownika banku. Scenariusz był klasyczny… Telefon, ostrzeżenie o rzekomej próbie włamania na aplikację, a potem seria poleceń, które niby miały „uratować” oszczędności.

A w rzeczywistości każde polecenie tylko przybliżało stratę. Ofiara generowała kody BLIK, a przestępca od razu wykorzystywał je do wypłat i przelewów. CERT Orange Polska ostrzegał, że w jednej z kampanii oszuści przekonują do wpisania kodu BLIK rzekomo po to, by „odebrać przelew" — choć ten kod akurat służy wyłącznie do wypłaty, a nie do przyjmowania pieniędzy.

I ta matematyka takiej kradzieży jest brutalnie prosta. Przy domyślnym dziennym limicie wypłat BLIK rzędu 2000 zł i trzech kodach wyklikanych pod dyktando oszusta z konta znika 6000 zł w kilka minut. No i żadna z tych operacji nie wymaga znajomości hasła do bankowości — wystarczy ten sześciocyfrowy kod podany przez telefon.

Dlatego banki w kółko powtarzają jedną zasadę. Pracownik instytucji finansowej nigdy nie prosi o kod BLIK, o hasło ani o instalację jakiejś dodatkowej aplikacji do „zabezpieczenia” konta. Każde takie żądanie to sygnał, że po drugiej stronie siedzi przestępca.

Phishing — jak się chronić każdego dnia

Specjaliści od cyberbezpieczeństwa sprowadzają całą tę obronę do kilku odruchów, które działają niezależnie od tego, jak ładnie wygląda fałszywa wiadomość. Pierwszy to nieufność wobec linków. Zamiast klikać w odnośnik z SMS-a czy maila, lepiej samemu wpisać adres banku albo urzędu w przeglądarce. Tyle.

Drugi odruch dotyczy danych logowania. Banki i serwisy płatnicze nigdy nie proszą o pełne hasło, kod BLIK czy kod z SMS-a w odpowiedzi na wiadomość albo w trakcie niezamówionego telefonu. Każda taka prośba powinna kończyć rozmowę… koniec, rozłączamy się.

Trzecia warstwa to uwierzytelnianie dwuskładnikowe. Włączone w banku, na poczcie i w mediach społecznościowych robi tyle, że samo wyłudzone hasło nie wystarczy, żeby przejąć konto. Warto też aktualizować system i aplikacje, bo wiele ataków akurat korzysta ze starych, niezałatanych luk.

Podejrzane SMS-y możemy bezpłatnie przesłać na numer 8080, który prowadzi CERT Polska, a fałszywe strony zgłosić przez formularz na cert.pl. I to właśnie te zgłoszenia pozwoliły w 2024 roku zablokować półtora miliona złośliwych wiadomości. Więcej praktycznych wskazówek o tym, jak chronić konto przed phishingiem i fałszywymi SMS-ami, publikują zresztą też serwisy finansowe i bankowe.

A jeśli do oszustwa już doszło, no to liczy się czas. Trzeba od razu zadzwonić na infolinię banku i zablokować kartę oraz dostęp do bankowości, pozmieniać hasła i zgłosić sprawę na policję. Podobny scenariusz reakcji opisaliśmy zresztą przy okazji oszustw na fałszywe inwestycje, gdzie też kluczowe było szybkie zablokowanie środków.

Rok 2024 był pod tym względem rekordowy, a ten wzrost zgłoszeń o blisko 30 procent rok do roku pokazuje, że skala ataków rośnie szybciej niż świadomość ofiar.

REKLAMAIn-feed native

Najczęstsze pytania

Co to jest phishing i jak działa?

Phishing to metoda oszustwa polegająca na podszywaniu się pod zaufane instytucje – bank, kuriera, urząd – w celu wyłudzenia danych lub pieniędzy. Ofiara otrzymuje fałszywą wiadomość z linkiem do podstawionej strony i nieświadomie przekazuje swoje dane logowania bezpośrednio przestępcy, często w czasie rzeczywistym.

Jak rozpoznać fałszywego SMS-a od banku lub kuriera?

Fałszywy SMS zazwyczaj zawiera link do strony z adresem różniącym się jedną literą od prawdziwego oraz informację o pilnej sprawie – niedopłacie, zablokowanej paczce lub podejrzanym logowaniu. Presja czasu i nakłanianie do natychmiastowego kliknięcia linku to główne sygnały ostrzegawcze; w razie wątpliwości sprawdź sprawę bezpośrednio przez oficjalną stronę instytucji.

Czy pracownik banku może prosić o kod BLIK przez telefon?

Nie – pracownik banku nigdy nie prosi o kod BLIK, hasło ani kod jednorazowy z SMS-a. Kod BLIK służy wyłącznie do wypłat i przelewów, nie do przyjmowania pieniędzy, więc każda prośba o jego podanie w celu "odebrania przelewu" to oszustwo. Należy natychmiast się rozłączyć i samodzielnie zadzwonić na infolinię swojego banku.

Ile można stracić przez fałszywy telefon od pracownika banku?

Przy domyślnym dziennym limicie wypłat BLIK wynoszącym 2000 zł i trzech kodach przekazanych pod dyktando przestępcy z konta znika nawet 6000 zł w kilka minut. Artykuł przytacza przykład z Wrocławia, gdzie ofiara straciła w ten sposób 10 000 zł podczas jednej rozmowy telefonicznej.

Gdzie zgłosić podejrzanego SMS-a lub phishing?

Podejrzanego SMS-a można bezpłatnie przesłać na numer 8080 prowadzony przez CERT Polska – bez żadnych kosztów dla nadawcy. Fałszywe strony internetowe zgłasza się przez formularz na cert.pl; dzięki takim zgłoszeniom w 2024 roku zablokowano 1,5 miliona złośliwych wiadomości, zanim dotarły do kolejnych ofiar.

Co zrobić, gdy padło się ofiarą phishingu?

Należy natychmiast zadzwonić na infolinię banku i zablokować kartę oraz dostęp do bankowości internetowej, a następnie zmienić hasła do wszystkich ważnych kont. Kolejny krok to zgłoszenie sprawy na policję – czas reakcji jest kluczowy, bo szybkie zablokowanie środków zmniejsza ryzyko ich bezpowrotnej utraty.

Źródła

Okiem redakcji

Obserwujemy, że skala phishingu rośnie szybciej niż świadomość potencjalnych ofiar – liczba incydentów wzrosła o blisko 30% w ciągu jednego roku. Naszym zdaniem kluczowy odruch to nieufność wobec każdej nieoczekiwanej wiadomości z prośbą o kliknięcie linku lub podanie danych, bez względu na to, jak wiarygodnie wygląda nadawca. Zanim cokolwiek wpiszesz lub przekażesz przez telefon, zadzwoń samodzielnie na oficjalną infolinię instytucji, która rzekomo się z tobą skontaktowała.

Czytaj dalej