Smishing: co to jest i jak rozpoznać fałszywy SMS?

Dostajesz SMS-a: „Twoja paczka InPost czeka. Dopłać 1,49 zł za brakującą opłatę celną, inaczej wróci do nadawcy.” Link wygląda podobnie do oficjalnej strony. Serce bije szybciej — akurat czekasz na przesyłkę. I tu zaczyna się problem.

To smishing — SMS phishing. Jedna z najskuteczniejszych metod wyłudzania danych i pieniędzy, bo działa na emocjach, presji czasu i zaufaniu do znanych marek. W Polsce CERT Polska co roku obsługuje tysiące zgłoszeń tego typu — a liczba ta systematycznie rośnie.

Czym jest smishing i skąd ta nazwa?

Smishing to połączenie słów SMS i phishing. To forma ataku, w której przestępca wysyła fałszywą wiadomość tekstową, podszywając się pod firmę kurierską, bank, urząd skarbowy lub inną zaufaną instytucję. Celem jest:

• Wyłudzenie danych logowania (login + hasło do banku, skrzynki e-mail, mediów społecznościowych),
• Wyłudzenie danych karty płatniczej (numer, CVV, data ważności),
• Zainstalowanie złośliwego oprogramowania na Twoim telefonie (przez link do „aktualizacji” lub „aplikacji”),
• Kradzież kodu BLIK (przez pretekst zarobku lub rzekomej wygranej).

Od zwykłego phishingu e-mailowego smishing różni się tym, że SMS-y mają znacznie wyższy wskaźnik otwarcia (ponad 90% vs. ok. 20% dla e-maili) i trafiają na urządzenie, z którego wiele osób płaci i bankuje.

Polskie przykłady smishingu — co możesz dostać

Fałszywy SMS od InPost

To jeden z najpopularniejszych scenariuszy w Polsce. Wiadomość brzmi mniej więcej tak:

„Twoja paczka [numer] jest wstrzymana z powodu niepełnej opłaty celnej (1,49 zł). Ureguluj płatność: [link]. InPost”

Po kliknięciu linku trafiasz na stronę łudząco podobną do inpost.pl — z logo, schematem kolorów, a nawet formularzem śledzenia przesyłki. Gdy wpisujesz dane karty, by „zapłacić” złotówkę z groszami, przestępca przechwytuje pełne dane karty i może obciążyć ją dowolną kwotą.

Jak rozpoznać: Prawdziwy InPost nie prosi o dopłaty przez SMS-owe linki. Oficjalne powiadomienia zawierają pełny numer przesyłki, który możesz samodzielnie wpisać na inpost.pl lub w aplikacji.

Fałszywy SMS od banku (PKO BP, mBank)

Przestępcy wysyłają SMS-y z treścią typu:

„PKO BP: wykryto podejrzaną transakcję na Twoim koncie. Potwierdź tożsamość, aby odblokować konto: [link]”

Strona pod linkiem imituje panel logowania do bankowości elektronicznej. Ofiara wpisuje login i hasło — i przekazuje je przestępcy. Jeśli ma włączone 2FA przez SMS, atakujący często dzwoni w tym samym czasie, podszywając się pod pracownika banku i prosząc o podanie kodu „w celu weryfikacji”.

Jak rozpoznać: Banki nie wysyłają linków do logowania przez SMS. Jeśli masz wątpliwości, zadzwoń na infolinię banku, której numer znajdziesz na odwrocie karty — nigdy na numer z SMS-a.

Fałszywy SMS od ZUS, US lub CEPiK

Wiadomości tego typu powołują się na zaległości podatkowe, nieopłacone składki ZUS lub grzywnę za nieopłacone parkowanie. Presja i strach skutecznie wyłączają krytyczne myślenie.

„Urząd Skarbowy: masz zaległość 283,00 zł. Nieuregulowanie w ciągu 24h skutkuje naliczeniem kary. Zapłać: [link]”

W rzeczywistości urzędy kontaktują się z Tobą listownie lub przez portal ePUAP/e-Urząd — nie przez SMS-owe linki do płatności.

Wyłudzenie BLIK przez SMS

Ten scenariusz jest szczególnie podstępny. Dostajesz SMS od znajomego numeru telefonu (bo przestępca mógł przejąć jego telefon lub Facebooka):

„Cześć, czy możesz mi pożyczyć 500 zł przez BLIK? Zaraz oddaję, jestem w sklepie i karta nie przeszła.”

Ofiara wysyła kod BLIK — przestępca błyskawicznie go realizuje w bankomacie lub sklepie. W Polsce to jeden z najszybciej rosnących typów oszustw.

Jak rozpoznać: Zawsze dzwoń do osoby, która „prosi” o BLIK przez SMS lub Messengera. Kilkusekundowa rozmowa weryfikuje, czy to naprawdę ona.

Jak odróżnić smishing od prawdziwego SMS-a?

Nie każdy SMS z linkiem to smishing, ale kilka sygnałów powinno natychmiast wzbudzić czujność:

Czerwone flagi:

• Link w SMS-ie prowadzi do domeny, która nie jest oficjalną stroną firmy (np. inpost-dostawa.pl zamiast inpost.pl).
• Wiadomość tworzy presję czasu — „zapłać w ciągu 24h”, „ostatnia szansa”, „paczka wróci do nadawcy”.
• Prosi o podanie danych karty lub danych logowania przez link.
• Numer nadawcy wygląda podejrzanie — ciąg cyfr, bardzo krótki numer lub numer zagraniczny.
• Wiadomość zawiera błędy językowe — literówki, dziwne sformułowania, zbędne znaki.
• Kwota do zapłaty jest śmiesznie mała (kilka złotych), by zmniejszyć opór przed płatnością.

Jak weryfikować:

• Zanim klikniesz, wpisz adres firmy ręcznie w przeglądarkę i zaloguj się tam.
• Zadzwoń na oficjalną infolinię firmy (znajdź numer samodzielnie, nie klikaj w SMS).
• Sprawdź numer przesyłki bezpośrednio w aplikacji kuriera.

Co zrobić, jeśli dostałeś smishingowego SMS-a?

Scenariusz A: Dostałeś podejrzanego SMS-a, ale nie kliknąłeś

1. Nie klikaj w żaden link.
2. Nie oddzwaniaj na numer z SMS-a.
3. Zgłoś wiadomość do CERT Polska — prześlij SMS na numer 8080 (bezpłatnie, działa w każdej sieci w Polsce).
4. Usuń wiadomość.

Scenariusz B: Kliknąłeś link, ale nie podałeś żadnych danych

1. Zamknij stronę natychmiast.
2. Uruchom skan antywirusowy na telefonie.
3. Sprawdź, czy strona nie pobrała żadnych plików — usuń je.
4. Zgłoś incydent na cert.pl.

Scenariusz C: Kliknąłeś i podałeś dane logowania lub dane karty

„Uwaga:” To sytuacja pilna — działaj w ciągu minut, nie godzin.

1. Zadzwoń do banku (numer z odwrotu karty lub z oficjalnej strony) i zastrzeż kartę. Poproś o monitorowanie konta.
2. Zmień hasło do konta, którego dane podałeś.
3. Sprawdź aktywne sesje — jeśli to było konto do bankowości lub e-mail, wyloguj wszystkie inne urządzenia.
4. Włącz Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć, jeśli jeszcze nie masz.
5. Zgłoś incydent do CERT Polska przez formularz na cert.pl — podaj link strony i treść SMS-a.
6. Złóż zawiadomienie na policję — masz prawo do tego jako ofiara przestępstwa.

Scenariusz D: Wysłałeś kod BLIK

Zadzwoń do banku natychmiast — w niektórych przypadkach transakcja może jeszcze nie być zrealizowana lub bank może uruchomić procedurę odwoławczą. Szanse są małe, ale warto próbować.

Smishing a phishing — czym się różnią?

Smishing to podzbiór phishingu. Phishing to ogólna kategoria ataków, w których przestępca podszywa się pod zaufaną osobę lub instytucję, by wyłudzić dane. Może to robić przez:

• E-mail — klasyczny phishing (fałszywe wiadomości od banku, PayPal, Allegro),
• SMS — smishing,
• Telefon — vishing (voice phishing), gdy ktoś dzwoni i udaje pracownika banku,
• Komunikatory — phishing przez WhatsApp, Messenger, Telegram.

Smishing jest szczególnie skuteczny, bo SMS-y budzą mniej podejrzeń niż e-maile — wiele osób nie spodziewa się ataku przez wiadomość tekstową. Więcej o phishingu e-mailowym przeczytasz w artykule Jak chronić się przed phishingiem? Praktyczny poradnik.

Jak zgłosić smishing w Polsce?

CERT Polska (Centrum Reagowania na Incydenty Bezpieczeństwa Komputerowego) prowadzone przez NASK umożliwia kilka sposobów zgłoszenia:

• Numer 8080 — prześlij podejrzaną wiadomość SMS bezpośrednio na ten numer. Bezpłatne, dostępne w każdej sieci.
• Formularz online — cert.pl ma formularz do zgłaszania podejrzanych stron i incydentów.
• E-mail — kontakt@cert.pl.

CERT Polska analizuje zgłoszenia, identyfikuje i blokuje złośliwe domeny. Twoje zgłoszenie chroni też innych — bo ta sama kampania smishingowa trafia do tysięcy osób jednocześnie.

Jak technicznie działa fałszywa strona za linkiem

Kliknięcie linku ze smishingowego SMS-a prowadzi zazwyczaj do strony phishingowej zbudowanej specjalnie pod konkretną markę. Przestępcy pobierają wygląd oryginalnej strony (logo, kolory, czcionki, układ formularza) i odtwarzają go w ciągu kilku godzin. Adres domeny różni się od oryginału — ale przy małym wyświetlaczu telefonu różnica bywa trudna do wychwycenia.

Strony phishingowe często mają też certyfikat SSL (kłódkę HTTPS) — bo certyfikat Let’s Encrypt jest bezpłatny i wystarczy kilka minut, by go uzyskać. Kłódka oznacza wyłącznie, że połączenie jest szyfrowane, a nie że strona jest bezpieczna lub autentyczna.

Gdy wpiszesz dane karty i klikniesz „zapłać 1,49 zł”, strona może przekierować cię na prawdziwą bramkę płatności — ale w tle twoje dane zostały już przesłane na serwer kontrolowany przez przestępcę. Zdarza się też, że formularz prosi o kod SMS z autoryzacją — to moment, w którym przestępca inicjuje transakcję na prawdziwym serwisie, a ty autoryzujesz ją swoim kodem, nie wiedząc czego to dotyczy.

Szczegółowo o mechanizmie phishingu i jak rozpoznać fałszywe strony bankowe czytaj w Jak chronić się przed phishingiem? Praktyczny poradnik.

Smishing a bankowość mobilna — szczególne ryzyko

Polska należy do liderów bankowości mobilnej w Europie — BLIK, PKO Mobile, mBank i ING to codzienne narzędzia płatności dla milionów użytkowników. To sprawia, że smishing wymierzony w użytkowników bankowości mobilnej jest w Polsce wyjątkowo opłacalny dla przestępców.

Szczególnie narażone są dwie grupy scenariuszy. Pierwszy to wyłudzenie danych karty lub logowania do bankowości przez fałszywą stronę — opisane wcześniej. Drugi, bardziej podstępny, to atak na BLIK: przestępca uzyskuje dostęp do konta znajomego (przez phishing lub kupioną bazę danych) i wysyła z niego wiadomość z prośbą o kod BLIK. Ofiara ufa znajomemu i wysyła kod — który jest ważny tylko 120 sekund, ale atakujący błyskawicznie go realizuje w bankomacie.

Jak się bronić przed tym scenariuszem: jeśli dostaniesz przez SMS lub komunikator prośbę o BLIK, zawsze zadzwoń głosowo do tej osoby przed wysłaniem kodu. Rozmowa telefoniczna to jedyna niezawodna weryfikacja — wiadomości tekstowe mogą pochodzić od przestępcy.

Warto też włączyć powiadomienia push w aplikacji bankowej dla każdej transakcji BLIK — wtedy natychmiast widzisz, gdy ktoś próbuje zrealizować kod wygenerowany na twoim koncie, i możesz anulować transakcję, jeśli ją zatwierdziłeś przez pomyłkę. Więcej o zabezpieczaniu kont bankowych: Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć.

Co zrobić teraz?

Smishing to zagrożenie, przed którym możesz się skutecznie chronić, jeśli znasz mechanizm działania. Oto Twoja lista kroków:

1. Zapamiętaj numer 8080 — to błyskawiczny sposób zgłaszania podejrzanych SMS-ów.
2. Nigdy nie klikaj w linki z SMS-ów dotyczących paczek, płatności ani kont bankowych — zamiast tego wejdź na stronę ręcznie.
3. Weryfikuj telefonicznie, gdy znajomy prosi przez SMS o BLIK lub pieniądze.
4. Włącz Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć w bankowości i na kontach e-mail — to ogranicza szkody, gdy atakujący zdobędzie hasło.
5. Porozmawiaj z rodziną — starsze osoby są szczególnie narażone na smishing, bo mogą mniej znać te schematy.
6. Przeczytaj Bezpieczne korzystanie z internetu — kompletny przewodnik — smishing to tylko jedna z wielu metod ataków.

Jeden podejrzany SMS jest lepiej zignorować niż raz stracić oszczędności. Zasada jest prosta: wątpisz — nie klikaj.