Jak chronić się przed phishingiem? Praktyczny poradnik

Wyobraź sobie: dostajesz SMS od „InPost” — twoja paczka czeka, ale jest mała dopłata 1,99 zł za ponowną dostawę. Klikasz link, widzisz stronę płatności, wpisujesz numer karty i CVC. Pieniądze znikają z konta — ale nie te 1,99 zł, lecz kilka tysięcy złotych. To phishing. CERT Polska odnotował w 2024 r. ponad 600 tys. zgłoszeń — wzrost o 62% — i phishing jest wśród nich najczęstszym rodzajem ataku. Dobra wiadomość: można się przed nim bronić, jeśli wiesz, na co zwracać uwagę.

Jak działa phishing — mechanizm pułapki

Phishing opiera się na jednym prostym mechanizmie: przestępca sprawia, że wydaje się być kimś innym — bankiem, kurierem, urzędem, pracodawcą, a nawet bliską osobą. Celem jest wywołanie w tobie reakcji, która sprawia, że działasz pochopnie, bez zastanowienia.

Trzy składniki każdego ataku phishingowego

Podszywanie się — e-mail, SMS lub strona WWW wygląda jak komunikacja od zaufanej firmy. Logo, kolory, stopka — wszystko skopiowane. Jedyna różnica to adres URL lub nadawcy.

Presja czasu — „działaj teraz, bo stracisz dostęp do konta”, „paczka zostanie odesłana za 24 godziny”, „ostatnia szansa”. Presja ma sprawić, że nie będziesz sprawdzać, czy wiadomość jest prawdziwa.

Żądanie działania — podaj hasło, wpisz dane karty, potwierdź przelew, pobierz plik, zadzwoń pod numer. Każde z tych działań to moment, w którym przestępca dostaje to, czego chce.

Polskie scenariusze phishingu — na co uważać

Phishing nie jest abstrakcją — konkretne scenariusze wracają w Polsce regularnie, często podszywając się pod marki, które znasz i którym ufasz.

Fałszywy SMS od InPost — najpopularniejszy atak w Polsce

Dostajesz SMS: „Twoja paczka nr PL123456789PL czeka na dostawę. Opłać 1,49 zł za ponowne doręczenie: [link]”. Link prowadzi na stronę łudząco podobną do inpost.pl — z logo, zielonym kolorem, formularzem płatności.

Wpisujesz numer karty i CVC. Strona przekierowuje cię na bramkę płatności, gdzie wpisujesz kod autoryzacyjny z SMS. W tym momencie przestępca ma pełny dostęp do twojej karty.

Jak rozpoznać:

• Prawdziwy InPost nigdy nie prosi o dopłatę przez SMS z linkiem
• Adres URL różni się od inpost.pl — np. inpost-platnosc.pl, inpost24-pl.com
• Sprawdź śledzenie paczki bezpośrednio na inpost.pl lub w aplikacji InPost Mobile

Oszustwo BLIK przez WhatsApp i Facebook

Dostajesz wiadomość od znajomego (na WhatsApp, Facebooku lub przez SMS): „Hej, wpadłem w tarapaty, możesz mi szybko pożyczyć 500 zł przez BLIK? Oddam jutro.” Znajomy jest zdesperowany, tłumaczy się pośpiechem.

W rzeczywistości konto znajomego zostało przejęte lub ktoś podszywa się pod jego numer. Jeśli wyślesz kod BLIK, pieniądze znikną — i nie odzyskasz ich od znajomego, który nic nie wie.

Jak rozpoznać i co zrobić:

• Przed wysłaniem kodu BLIK zawsze zadzwoń głosowo do osoby, od której dostałeś prośbę
• Jeśli nie odbiera — czekaj. Nigdy nie wysyłaj kodu BLIK bez głosowego potwierdzenia
• Kod BLIK wygasa po 2 minutach — pośpiech jest elementem manipulacji

Fałszywe strony logowania banków

Dostajesz e-mail od „PKO BP” lub „mBank” z informacją o podejrzanej transakcji, limicie bezpieczeństwa lub konieczności weryfikacji danych. Link prowadzi na stronę identyczną z prawdziwą stroną banku — ale adres URL to np. pko-bp-bezpieczenstwo.pl zamiast pkobp.pl.

Wpisujesz login i hasło. Strona „przetwarza dane” (pobiera twoje dane i loguje się na prawdziwy bank), po czym prosi o kod SMS autoryzacyjny. Podajesz go — i w tym momencie przestępca autoryzuje przelew wychodzązy.

Jak rozpoznać:

• Zawsze sprawdź adres URL. Adres pkobp.pl to prawdziwy bank; pkobp-logowanie.pl, bezpieczne-pkobp.com — nie
• Prawdziwe banki nigdy nie proszą o login i hasło przez e-mail
• W pasku adresu powinna być zielona kłódka (HTTPS), ale uwaga: kłódka nie oznacza bezpieczeństwa, tylko że połączenie jest szyfrowane — phishingowe strony też mają kłódkę
• Wpisuj adres banku ręcznie lub korzystaj z aplikacji mobilnej

Smishing — phishing przez SMS

Smishing (SMS + phishing) to coraz popularniejsza forma ataku w Polsce. Prócz InPost, przestępcy podszywają się pod:

• ZUS — „masz zaległość w składkach, wpłać do jutra”
• Urząd skarbowy — „przysługuje ci zwrot podatku, kliknij aby odebrać”
• Allegro/OLX — „ktoś chce kupić twój przedmiot, potwierdź dane bankowe”
• T-Mobile, Play, Orange — „Twoja faktura jest gotowa, zapłać teraz”

Więcej o smishingu: Smishing: co to jest i jak rozpoznać fałszywy SMS?.

Jak rozpoznać phishing — lista kontrolna

Zanim klikniesz w link lub wpiszesz dane, sprawdź:

Sprawdzenie nadawcy:

• Czy adres e-mail pasuje do domeny firmy? (@pkobp.pl tak, @pkobp-noreply.gmail.com nie)
• Czy numer telefonu w SMS jest zgodny z oficjalnym numerem firmy?
• Czy znajomy, który prosi o BLIK, rzeczywiście do ciebie pisał? (zadzwoń i sprawdź)

Sprawdzenie treści:

• Czy wiadomość tworzy presję czasową?
• Czy są błędy językowe, dziwne sformułowania lub niepolskie znaki?
• Czy proszą o dane, których nigdy wcześniej nie podawałeś przez tę drogę?

Sprawdzenie linku:

• Najedź kursorem na link (bez klikania) — co widać w pasku stanu przeglądarki?
• Na telefonie: przytrzymaj link palcem, żeby zobaczyć pełny adres URL
• Czy domena jest poprawna? (inpost.pl tak, inpost-pl.info nie)
• Czy nie ma literówek, np. rnbank.pl (litery r i n zamiast m)?

„Uwaga:” Phishingowe strony mają certyfikat SSL (kłódkę HTTPS). Kłódka oznacza tylko szyfrowanie połączenia — nie oznacza, że strona jest bezpieczna ani autentyczna. Nie ufaj kłódce jako jedynemu wskaźnikowi bezpieczeństwa.

Co zrobić, jeśli kliknąłeś w phishingowy link

Kliknięcie zdarza się nawet ostrożnym osobom. Ważne jest to, co robisz potem.

Kliknąłem, ale nic nie wpisałem

Jeśli kliknąłeś link, otworzyła się strona, ale nic nie wpisałeś i nie pobierałeś plików — prawdopodobnie jesteś bezpieczny. Na wszelki wypadek:

1. Zamknij stronę bez klikania w nic
2. Sprawdź, czy przeglądarka lub antywirus nie sygnalizuje zagrożenia
3. Uruchom skanowanie antywirusowe
4. Zmień hasło do konta, jeśli link dotyczył konkretnego serwisu

Wpisałem hasło na fałszywej stronie

Działaj natychmiast — czas ma tu krytyczne znaczenie:

1. Zmień hasło do konta, którego dotyczyła strona — natychmiast, z innego urządzenia lub sieci
2. Jeśli to był bank — zadzwoń na infolinię i zablokuj dostęp (PKO BP: 800 302 302, mBank: 801 300 800, ING: 800 888 888)
3. Zmień hasło wszędzie, gdzie używałeś tego samego hasła — to jeden z powodów, dla których unikalne hasła są tak ważne: Jak stworzyć bezpieczne hasło? Praktyczny poradnik
4. Włącz 2FA jeśli jeszcze tego nie zrobiłeś — Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć
5. Obserwuj konto przez kilka dni pod kątem podejrzanych transakcji

Podałem dane karty

1. Zadzwoń natychmiast do banku i zastrzeż kartę
2. Poproś o wydanie nowej karty
3. Sprawdź historię transakcji i zakwestionuj nieautoryzowane płatności (chargeback)
4. Złóż zawiadomienie na policji — potrzebujesz go do reklamacji w banku

Pobrałem plik z phishingowej strony

1. Nie otwieraj pobranego pliku jeśli jeszcze tego nie zrobiłeś
2. Usuń plik natychmiast
3. Uruchom pełne skanowanie antywirusowe
4. Jeśli otworzyłeś plik — rozważ odłączenie urządzenia od sieci i kontakt ze specjalistą IT

Jak zgłosić phishing — pomóż innym

Zgłaszanie phishingu ma sens — CERT Polska blokuje fałszywe strony, chroniąc innych użytkowników. Masz kilka opcji:

SMS phishingowy (smishing): Przekaż podejrzaną wiadomość SMS na numer 8080 (bezpłatny, obsługiwany przez CERT Polska). Wystarczy przekierować SMS — nie musisz nic dopisywać.

Phishingowy e-mail lub strona: Wejdź na cert.pl i kliknij „Zgłoś incydent”. Możesz też przesłać e-mail na adres phishing@cert.pl z podejrzaną wiadomością jako załącznikiem (nie w treści maila).

Phishing bankowy: Poinformuj swój bank — mają własne zespoły bezpieczeństwa, które mogą szybko zablokować fałszywą stronę.

Na platformach społecznościowych: Zgłoś fałszywe konto lub profil bezpośrednio do Facebooka, WhatsApp lub innej platformy.

Narzędzia, które pomagają w ochronie przed phishingiem

Oprócz czujności, kilka technicznych rozwiązań znacznie zmniejsza ryzyko:

Menedżer haseł — gdy jesteś na fałszywej stronie banku, menedżer haseł nie zaproponuje wypełnienia pola logowania, bo adres URL nie pasuje do zapisanego. To jeden z ukrytych benefitów menedżera haseł. Szczegóły: /menedzery-hasel/.

Weryfikacja dwuetapowa (2FA) — nawet jeśli przestępca zdobędzie twoje hasło, bez kodu 2FA nie zaloguje się na twoje konto. To ważne, ale nie pełna ochrona — zaawansowane ataki potrafią przechwycić kod 2FA w czasie rzeczywistym. Dlatego nigdy nie podawaj kodu 2FA na stronie, do której przeszedłeś przez link z SMS lub e-maila: Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć.

Filtr antyspam i antyphishing w przeglądarce — Chrome, Firefox i Edge mają wbudowaną ochronę przed phishingiem (Google Safe Browsing). Upewnij się, że jest włączona.

Rozszerzenia do przeglądarki — uBlock Origin blokuje wiele złośliwych domen. Netcraft Extension wyświetla reputację strony.

Pełny obraz bezpieczeństwa w sieci znajdziesz w: Bezpieczne korzystanie z internetu — kompletny przewodnik.

Co zrobić teraz?

Phishing to zagrożenie, przed którym nie ma jednej cudownej tarczy — ale jest kilka rzeczy, które możesz zrobić dziś:

1. Naucz się sprawdzać adresy URL — zanim wpiszesz hasło lub dane karty, popatrz na pasek adresu. Czy to naprawdę inpost.pl? Czy pkobp.pl? To najtańsza i najskuteczniejsza ochrona.
2. Włącz 2FA na koncie e-mail i w banku — nawet jeśli hasło wycieknie, przestępca nie dostanie się na konto bez drugiego czynnika: Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć.
3. Używaj unikalnych haseł — jeśli każdy serwis ma inne hasło, wyciek z jednego nie kompromituje reszty: Jak stworzyć bezpieczne hasło? Praktyczny poradnik.
4. Zgłaszaj podejrzane SMS-y na 8080 — to nic nie kosztuje, a może ochronić kogoś innego.
5. Porozmawiaj z bliskimi — phishing uderza często w starszych, mniej obeznanych technicznie użytkowników. Rodzice, dziadkowie, dzieci — upewnij się, że wiedzą, czym jest fałszywy SMS od InPost.
6. Sprawdź, czy twoje dane już wyciekły — Jak sprawdzić, czy moje dane wyciekły? Przewodnik krok po kroku.