🛡️ Jak rozpoznać phishing

7 sygnałów ostrzegawczych, najczęstsze schematy oszustw w Polsce i co zrobić, gdy padłeś ofiarą — kompletny poradnik bezpieczeństwa.

Co to jest phishing?

  1. Phishing to oszustwo polegające na podszywaniu się pod znaną instytucję (bank, kurier, urząd) w celu wyłudzenia danych lub pieniędzy.
  2. Najczęstsze kanały: e-mail, SMS (smishing), telefon (vishing), media społecznościowe.
  3. W 2024 r. w Polsce odnotowano ponad 80 000 zgłoszeń phishingu (CERT Polska).
  4. Straty Polaków wyniosły setki milionów złotych — ofiarą może paść każdy, niezależnie od wieku.

Jak rozpoznać phishing w e-mailu — 7 sygnałów ostrzegawczych

  1. 1. Adres nadawcy nie pasuje do firmy (np. 'inpost-pl@gmail.com' zamiast '@inpost.pl').
  2. 2. Naglące wezwania: 'Twoje konto zostanie zablokowane w 24h', 'Ostatnia szansa'.
  3. 3. Błędy językowe i dziwne sformułowania (często tłumaczenie maszynowe).
  4. 4. Prośba o kliknięcie linku i 'zalogowanie się' lub 'potwierdzenie danych'.
  5. 5. Załączniki .zip, .exe, .scr, .docm — NIGDY nie otwieraj.
  6. 6. Niezgodne logo lub niska jakość grafiki.
  7. 7. Brak personalizacji ('Drogi Kliencie' zamiast Twojego imienia).

Sprawdzanie podejrzanych linków

  1. Najedź kursorem na link (NIE klikaj) — w lewym dolnym rogu zobaczysz prawdziwy adres.
  2. Zwróć uwagę na drobne różnice: 'allegr0.pl', 'paypa1.com', 'mbank-pl.com'.
  3. Sprawdź link w VirusTotal.com lub URLscan.io przed kliknięciem.
  4. Skróty linków (bit.ly, tinyurl) — rozszerzaj przez CheckShortURL.com.
  5. Prawdziwe banki NIGDY nie proszą o kliknięcie linku w mailu/SMS-ie do zalogowania.

Smishing (SMS) i vishing (telefon)

  1. SMS od 'kuriera' z dopłatą 1,50 zł — zawsze oszustwo, nie klikaj.
  2. SMS 'Twoja paczka czeka' z linkiem — sprawdź na oficjalnej stronie kuriera.
  3. Telefon od 'pracownika banku' chcącego pomóc 'zabezpieczyć konto' — natychmiast rozłącz.
  4. Nigdy nie podawaj kodów BLIK, SMS ani danych karty przez telefon.
  5. Bank NIGDY nie poprosi o przelew na 'konto techniczne' ani instalację aplikacji typu AnyDesk.

Najpopularniejsze schematy phishingu w Polsce

  1. Fałszywe paczki InPost / DPD / DHL — SMS z linkiem do dopłaty.
  2. 'Twoje konto bankowe zostanie zablokowane' — fałszywy e-mail ze zdjęciem logo banku.
  3. OLP / Vinted — kupujący prosi o 'wysyłkę' i przesyła link do fałszywej bramki płatności.
  4. Allegro — wiadomość, że trzeba 'potwierdzić dane' do realizacji zamówienia.
  5. ZUS / US / KRUS — 'masz nadpłatę, kliknij aby otrzymać zwrot'.
  6. Microsoft / Apple — 'Twoje konto zostało zhakowane, zaloguj się tutaj'.
  7. Konkursy 'Wygrałeś iPhone'a' na Facebooku/Instagramie.

Co zrobić, gdy kliknąłeś w phishing?

  1. 1. NIE PANIKUJ — szybkie działanie minimalizuje straty.
  2. 2. Natychmiast zmień hasło do konta, na którym się zalogowałeś.
  3. 3. Włącz weryfikację dwuetapową (2FA) na wszystkich ważnych kontach.
  4. 4. Zadzwoń do banku (oficjalny numer z karty) i poinformuj o incydencie.
  5. 5. Zablokuj kartę przez aplikację bankową, jeśli podałeś dane karty.
  6. 6. Zgłoś phishing na incydent.cert.pl lub przez aplikację bankową.
  7. 7. Zgłoś przestępstwo na policji (online: konto.gov.pl).

Jak zgłosić phishing?

  1. CERT Polska — incydent.cert.pl (formularz online, działa 24/7).
  2. SMS-y phishingowe — przekaż na bezpłatny numer 8080.
  3. Fałszywe strony — zgłoś na safebrowsing.google.com/safebrowsing/report_phish.
  4. Phishing w Gmailu — przycisk 'Zgłoś phishing' w menu wiadomości.
  5. Fałszywe konta na Facebooku/Instagramie — Zgłoś profil → Podszywa się pod kogoś.

Jak chronić się przed phishingiem na co dzień?

  1. Włącz 2FA wszędzie, gdzie to możliwe (Google Authenticator, Authy).
  2. Używaj menedżera haseł (Bitwarden, 1Password) — unikalne hasło do każdego konta.
  3. Aktualizuj system, przeglądarkę i antywirus.
  4. Zainstaluj rozszerzenie uBlock Origin — blokuje wiele stron phishingowych.
  5. Nigdy nie klikaj linków w SMS-ach od kurierów / banków / urzędów.
  6. Loguj się TYLKO przez oficjalne aplikacje lub wpisując adres ręcznie w przeglądarce.
  7. Edukuj rodzinę — szczególnie seniorów, którzy są najczęstszymi ofiarami.

Najczęściej zadawane pytania

Czy bank kiedykolwiek prosi o hasło przez telefon?

NIGDY. Żaden bank, urząd ani policja nie poprosi przez telefon o pełne hasło, kod BLIK ani PIN. Każda taka prośba = oszustwo.

Co zrobić, jeśli podałem dane karty na fałszywej stronie?

Natychmiast zablokuj kartę w aplikacji bankowej i zadzwoń do banku z numeru na karcie. Zmień hasło i zgłoś incydent na incydent.cert.pl.

Czy SMS od InPostu z dopłatą 1,50 zł to oszustwo?

Tak — w 99% przypadków to phishing. InPost nie wysyła SMS-ów z dopłatami za paczki kurierskie. Sprawdź status paczki TYLKO w aplikacji InPost.

Jak rozpoznać fałszywą stronę banku?

Sprawdź adres URL (musi być dokładny — np. mbank.pl, nie m-bank.pl), kłódkę HTTPS, certyfikat SSL. Bank nigdy nie wysyła linków do logowania w mailu.

Czy antywirus chroni przed phishingiem?

Częściowo — wykrywa znane fałszywe strony i podejrzane załączniki. Najlepsza ochrona to świadomość + 2FA + menedżer haseł.