Słownik

Phishing — co to jest i jak się bronić?

Phishing to atak, w którym przestępcy podszywają się pod znane instytucje, by wyłudzić dane lub pieniądze. Poznaj metody ataku i skuteczną ochronę.

Redakcja Bezpieczny Internet Ostatnia aktualizacja

Phishing to forma cyberataku, w której przestępcy podszywają się pod zaufane osoby, firmy lub instytucje — banki, urzędy, kurierów, platformy streamingowe — by nakłonić Cię do ujawnienia danych logowania, numerów kart płatniczych lub kodu BLIK, albo do pobrania złośliwego oprogramowania. Nazwa pochodzi od angielskiego słowa fishing (wędkowanie) — atakujący “zarzucają przynętę” na tysiące ofiar i czekają, kto się złapie.

CERT Polska odnotował w 2024 r. ponad 600 tys. zgłoszeń incydentów bezpieczeństwa — wzrost o 62% rok do roku — a phishing stanowi około 98% wszystkich zaraportowanych przypadków.

Jak to działa

Klasyczny atak phishingowy przebiega w kilku krokach:

  1. Przynęta — dostajesz e-mail, SMS lub wiadomość w mediach społecznościowych. Wygląda jak oficjalna korespondencja od banku, InPostu, ZUS-u, mObywatela, Allegro lub innej zaufanej marki.
  2. Fałszywe poczucie pilności — treść wywiera presję: „Twoje konto zostanie zablokowane”, „Dopłać 1,23 zł za przesyłkę”, „Sprawdź podejrzaną transakcję”.
  3. Fałszywa strona — klikasz link prowadzący do strony identycznej (lub bardzo podobnej) z oryginalną. Różnica leży w adresie URL — np. inpost-dostawa.pl zamiast inpost.pl.
  4. Kradzież danych — wpisujesz dane logowania, numer karty lub kod 2FA, które trafiają bezpośrednio do przestępców.

Warianty phishingu:

  • Spear phishing — ukierunkowany atak na konkretną osobę lub firmę, z użyciem spersonalizowanych informacji.
  • Smishing — phishing przez SMS. W Polsce popularne schematy: dopłata do przesyłki InPost, niezapłacony mandat, weryfikacja konta bankowego.
  • Vishing — phishing głosowy. Przestępca dzwoni, podając się za pracownika banku lub policji.
  • Quishing — phishing przez kody QR, przekierowujące na złośliwe strony.

Przykłady

Phishing na BLIK — dostajesz wiadomość na Facebooku od “znajomego” z prośbą o pożyczkę. Prosisz o kod BLIK. Przestępca, który przejął konto znajomego, podaje Ci kod w podrobionym oknie dialogowym i wypłaca pieniądze z bankomatu.

Fałszywa strona PKO BP lub mBanku — e-mail z linkiem do strony łudząco podobnej do bankowości internetowej. Klient wpisuje login i hasło, a przestępca loguje się na konto w tym samym momencie.

Wyłudzenie numeru PESEL — SMS z informacją o rzekomym wycieku danych i prośbą o “weryfikację” na fałszywej stronie, gdzie podajesz PESEL, datę urodzenia i serię dowodu.

InPost/DHL dopłata — SMS: „Twoja paczka czeka na dopłatę 1 zł”. Link prowadzi do strony imitującej operatora, gdzie wpisujesz dane karty płatniczej.

Powiązane pojęcia

Phishing często prowadzi do instalacji malware — złośliwe oprogramowanie może być ukryte w załączniku lub ściągane po wejściu na fałszywą stronę. Skuteczną obroną jest uwierzytelnianie dwuskładnikowe (2FA) — nawet jeśli atakujący zdobędzie hasło, nie zaloguje się bez drugiego czynnika. Unikalnych, silnych haseł dla każdego serwisu pomaga pilnować menedżer haseł, a nowoczesne passkeys są w ogóle odporne na phishing, bo klucz kryptograficzny jest powiązany z konkretną domeną.

Nie daj się oszukać w sieci

Praktyczne poradniki, niezależne testy i jasne porównania — wszystko po polsku, bez marketingowej ściemy.

Czytaj poradniki Sprawdź narzędzia