Spoofing telefoniczny — jak rozpoznać fałszywe połączenie z banku

Twój telefon wibruje. Na ekranie pojawia się numer, który znasz — numer infolinii PKO BP lub mBanku. Odbierasz. Po drugiej stronie słyszysz „pracownika działu bezpieczeństwa”, który ostrzega przed podejrzaną transakcją i prosi o pilne podanie kodu BLIK „w celu anulowania przelewu”. Brzmi znajomo? To klasyczny spoofing telefoniczny — jeden z najskuteczniejszych ataków socjotechnicznych, jaki stosują dziś cyberprzestępcy w Polsce.

Czym jest spoofing telefoniczny?

Spoofing (z ang. to spoof — oszukiwać) to technika, która pozwala dzwoniącemu wyświetlić na Twoim telefonie dowolny numer — niekoniecznie ten, z którego faktycznie dzwoni. Atakujący korzystają z usług VoIP (telefonii internetowej) lub specjalnych aplikacji, które pozwalają ustawić dowolny identyfikator nadawcy (CLI, Calling Line Identification).

Efekt jest prosty: widzisz „PKO BP +48 800 302 302”, a po drugiej stronie słyszysz oszusta dzwoniącego prawdopodobnie z Europy Wschodniej lub Azji Południowo-Wschodniej. Technologia jest dostępna za kilka dolarów miesięcznie.

Dlaczego Polska jest szczególnie narażona?

CERT Polska odnotował ponad 600 tys. zgłoszeń incydentów w 2024 roku — wzrost o 62% w porównaniu z rokiem poprzednim. Znaczna część dotyczyła właśnie phishingu głosowego (vishingu) z elementem spoofingu. Atakujący dobrze znają polskie realia: wiedzą, że mBank, ING czy PKO BP to marki zaufane, a strach przed „kradzieżą pieniędzy z konta” wywołuje panikę, która wyłącza krytyczne myślenie.

Jak wygląda typowy atak?

Schemat jest zazwyczaj podobny, choć przestępcy go ciągle udoskonalają:

1. Połączenie z „banku” — na ekranie wyświetla się numer infolinii mBanku, ING lub innego banku.
2. Budowanie stresu — „wykryliśmy podejrzaną transakcję na kwotę 4800 zł”, „ktoś próbuje wypłacić środki z Twojego konta”.
3. Prośba o działanie — podanie kodu BLIK, hasła do aplikacji, numeru karty, kodu z SMS-a lub zatwierdzenie „operacji blokującej” w aplikacji mobilnej.
4. Presja czasowa — „masz 3 minuty, zanim transakcja przejdzie”, „nie rozłączaj się, bo stracimy połączenie z systemem”.

Niektórzy atakujący idą o krok dalej: proszą o zainstalowanie „aplikacji bezpieczeństwa” (która jest w rzeczywistości narzędziem do zdalnego dostępu, np. AnyDesk), lub przekazują telefon do „policjanta” czy „prokuratora” — to tzw. atak na „fałszywego policjanta”.

Jak rozpoznać spoofing?

Kilka sygnałów powinno natychmiast uruchomić czujność:

1. Presja czasu i emocji

Prawdziwy bank może zablokować podejrzaną transakcję samodzielnie, bez Twojego udziału. Jeśli pracownik „banku” straszy Cię i pędzi, to czerwona flaga.

2. Prośba o kody, hasła lub zatwierdzenie w aplikacji

Żaden pracownik PKO BP, mBanku, ING ani żadnego innego banku działającego w Polsce nigdy nie poprosi Cię przez telefon o:

• kod BLIK,
• hasło do bankowości internetowej lub aplikacji,
• pełny numer karty z CVV,
• kod z SMS-a autoryzacyjnego.

3. Prośba o zainstalowanie aplikacji

Banki nie proszą przez telefon o instalację żadnego oprogramowania. Jeśli słyszysz „zainstaluj aplikację TeamViewer/AnyDesk/inne”, rozłącz się natychmiast.

4. Numer wyświetlany ≠ tożsamość dzwoniącego

To fundamentalna zasada, którą warto zapamiętać na zawsze: wyświetlany numer telefonu nie jest żadnym dowodem tożsamości. Równie dobrze mógłby to być naklejony kawałek taśmy z napisem „bank”.

Co zrobić podczas podejrzanego połączenia?

Najskuteczniejsza odpowiedź to rozłącz się. Serio — po prostu odłóż słuchawkę. Następnie:

1. Odczekaj chwilę (przestępcy potrafią utrzymywać połączenie aktywne po Twojej stronie przez kilka sekund).
2. Zadzwoń samodzielnie na numer z oficjalnej strony banku lub z odwrocia karty płatniczej.
3. Zapytaj, czy faktycznie dzwonili do Ciebie i czy wykryto podejrzaną aktywność.

Jeśli ktoś w rodzinie — szczególnie osoba starsza — jest narażony na takie ataki, warto wcześniej ćwiczyć ten scenariusz. Stres działa jak zaślepka na krytyczne myślenie.

Jeśli już podałeś dane — działaj szybko

Jeśli dałeś się zaskoczyć i przekazałeś kod BLIK, hasło lub autoryzowałeś transakcję:

1. Zablokuj kartę i konto — natychmiast przez aplikację mobilną lub dzwoniąc na infolinię (numer z odwrocia karty).
2. Zmień hasło do bankowości internetowej i aplikacji.
3. Zgłoś incydent do banku — masz prawo do reklamacji transakcji nieautoryzowanej.
4. Zgłoś do CERT Polska — formularz na cert.pl lub e-mail na incydent@cert.pl.
5. Zawiadom policję — zgłoszenie pomaga ścigać sprawców i chroni innych.

Więcej o tym, co robić po wykryciu wycieku danych, znajdziesz w poradniku Jak sprawdzić, czy moje dane wyciekły? Przewodnik krok po kroku.

Jak się chronić zawczasu?

Zastrzeż numer PESEL

Zastrzeżenie PESEL utrudnia przestępcom wzięcie kredytu na Twoje dane osobowe, nawet jeśli uda im się wyłudzić część informacji przez telefon. Więcej o tym procesie znajdziesz w artykule Ochrona PESEL — jak zastrzec numer i co zrobić po kradzieży.

Włącz silne uwierzytelnianie — ale nie SMS-owe

Kody SMS to wygodna, ale słaba forma 2FA — podatna zarówno na spoofing, jak i SIM swapping — jak przestępcy kradną Twój numer telefonu. Lepiej używać aplikacji uwierzytelniającej (Google Authenticator, Authy) lub — jeśli bank na to pozwala — passkeys. Szczegóły w poradniku Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć.

Ustaw limity transakcji w aplikacji bankowej

PKO BP, mBank, ING i inne polskie banki pozwalają ustawić dobowe limity przelewów i płatności BLIK. Niski limit to Twoja ostatnia linia obrony.

Rozmawiaj z bliskimi

Osoby starsze i mniej zaznajomione z technologią są częstszym celem. Opowiedz im o spoofingu konkretnym językiem: „jak zadzwoni ktoś z numeru banku i poprosi o kod, to jest oszust — zadzwoń do mnie”.

Rola operatorów i regulatorów

Polscy operatorzy — Orange, Play, Plus i T-Mobile — pracują nad wdrożeniem mechanizmów weryfikacji CLI (m.in. protokołu STIR/SHAKEN), ale pełne wdrożenie zajmie lata. UKE (Urząd Komunikacji Elektronicznej) wydał już rekomendacje dotyczące blokowania spoofingu, ale egzekwowanie pozostaje wyzwaniem, gdy połączenia przychodzą z zagranicznych central.

UODO (Urząd Ochrony Danych Osobowych) regularnie informuje o incydentach i obowiązkach administratorów danych, jednak jako użytkownik musisz polegać przede wszystkim na własnej czujności.

Podobne zagrożenia dotykają też wiadomości tekstowych — przeczytaj o Smishing: co to jest i jak rozpoznać fałszywy SMS?, żeby wiedzieć, jak rozpoznawać fałszywe SMS-y.

Co zrobić teraz?

• Zapisz numer banku z odwrocia karty do kontaktów jako „PKO BP — OFICJALNY” (lub analogicznie dla swojego banku) — wtedy podczas podejrzanego połączenia masz pod ręką numer do weryfikacji.
• Opowiedz o spoofingu bliskiej osobie — wystarczy 5 minut rozmowy, by zmniejszyć ryzyko.
• Sprawdź limity BLIK i przelewów w aplikacji mobilnej swojego banku i ogranicz je do kwot, które faktycznie przelewasz na co dzień.
• Włącz uwierzytelnianie przez aplikację zamiast SMS tam, gdzie to możliwe — szczegóły w Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć.
• Zastrzeż PESEL w rejestrze — to bezpłatne i zajmuje kilka minut w mObywatel.