Phishing

Jak rozpoznać phishing? Praktyczny przewodnik dla użytkowników w Polsce

Zaktualizowano: 11 czerwca 2026 Czas czytania: ok. 6 min
Przykład fałszywej wiadomości phishingowej z zaznaczonymi elementami oszustwa

Phishing polega na podszywaniu się pod zaufane instytucje – banki, urzędy, firmy kurierskie lub platformy społecznościowe – w celu wyłudzenia danych logowania, numerów kart płatniczych lub poufnych informacji osobowych. W Polsce ataki tego typu są zgłaszane do CERT Polska przez tysiące użytkowników rocznie, a metody stosowane przez przestępców stają się coraz trudniejsze do odróżnienia od prawdziwej komunikacji.

Czym dokładnie jest phishing?

Termin pochodzi od angielskiego słowa fishing (wędkowanie) – atakujący „zarzuca przynętę" i czeka, aż ofiara ją chwyci. Najczęściej odbywa się to przez wiadomości e-mail, SMS (smishing) lub połączenia telefoniczne (vishing). Celem jest nakłonienie odbiorcy do:

  • kliknięcia w link prowadzący do fałszywej strony logowania,
  • pobrania zainfekowanego załącznika,
  • podania danych karty płatniczej lub hasła przez telefon.

Sygnały ostrzegawcze w wiadomości e-mail

Nie każda fałszywa wiadomość wygląda jak oczywista próba oszustwa. Wiele z nich jest starannie przygotowana wizualnie i zawiera logo, stopkę i język charakterystyczny dla danej firmy. Mimo to warto zwrócić uwagę na kilka powtarzalnych wzorców:

1. Adres nadawcy niezgodny z domeną instytucji

Prawdziwy bank lub urząd wysyła wiadomości wyłącznie ze swojej oficjalnej domeny. Jeśli dostałeś wiadomość rzekomo od PKO BP, a pole „Od:" zawiera adres w stylu pkobp@secure-banking-pl.xyz, to ewidentna próba phishingu. Domenę nadawcy zawsze należy sprawdzić – nie wystarczy patrzeć wyłącznie na wyświetlaną nazwę, bo ta może być dowolnie ustawiona.

2. Presja czasu i nagłość komunikatu

Phisherzy celowo wywołują poczucie pilności: „Twoje konto zostanie zablokowane w ciągu 24 godzin", „Paczka oczekuje na odbiór – potwierdź adres natychmiast". Instytucje finansowe i urzędowe rzadko komunikują się w ten sposób przez e-mail, a ważne decyzje wymagają czasu i weryfikacji tożsamości.

3. Podejrzany link – sprawdź zanim klikniesz

Najedź kursorem na link (bez klikania) i sprawdź, dokąd faktycznie prowadzi. Adres wyświetlony w pasku statusu przeglądarki powinien zgadzać się z domeną instytucji. Często stosuje się domeny z drobnymi literówkami, np. alleqro.pl zamiast allegro.pl, albo długie poddomeny ukrywające właściwą domenę, np. allegro.pl.login-secure.com – prawdziwą domeną jest tu login-secure.com, nie Allegro.

Wskazówka: Zamiast klikać w linki z wiadomości, wpisz adres strony banku lub sklepu bezpośrednio w pasek przeglądarki. Możesz też skorzystać z zakładek (ulubionych), które wcześniej ręcznie zapisałeś.

4. Prośba o dane, których bank nigdy nie pyta

Żaden bank ani urząd skarbowy nie prosi przez e-mail ani SMS o pełny numer karty, CVV, PIN ani hasło. Jeśli wiadomość zawiera taką prośbę – niezależnie od tego, jak wygląda – jest próbą oszustwa.

Smishing – phishing przez SMS

W Polsce smishing stał się szczególnie powszechny dzięki masowemu rozsyłaniu fałszywych wiadomości podszywających się pod firmy kurierskie (InPost, DPD, DHL) i operatorów telefonii komórkowej. Schemat jest zwykle podobny: „Twoja przesyłka oczekuje na dopłatę 0,49 zł. Kliknij link, aby zapłacić." Strona, do której prowadzi link, wygląda jak autentyczny portal płatności, ale służy wyłącznie przechwytywaniu danych karty.

Warto wiedzieć, że operatorzy pocztowi i kurierzy pobierają opłaty celne i magazynowe w określony sposób, z reguły nie przez SMS z linkiem do płatności kartą. W razie wątpliwości skontaktuj się bezpośrednio z firmą kurierską przez jej oficjalną stronę.

Vishing – phishing przez telefon

Vishing (voice phishing) polega na bezpośrednim kontakcie telefonicznym. Atakujący podszywa się pod pracownika banku, policjanta lub pracownika operatora telekomunikacyjnego i próbuje nakłonić ofiarę do działania – przelania pieniędzy na „bezpieczne konto", podania kodów SMS lub zainstalowania oprogramowania zdalnego dostępu.

W Polsce funkcjonuje oficjalny mechanizm weryfikacji: jeśli ktoś dzwoni do Ciebie i twierdzi, że jest pracownikiem banku, masz prawo rozłączyć się i samodzielnie zadzwonić na oficjalny numer infolinii podany na karcie płatniczej lub stronie banku. Prawdziwy pracownik nie będzie miał zastrzeżeń.

Co zrobić po kliknięciu w phishingowy link?

  1. Nie podawaj żadnych danych – zamknij stronę natychmiast.
  2. Zmień hasło do konta, którego dotyczyła fałszywa strona, ze sprawdzonego urządzenia.
  3. Zablokuj kartę (jeśli podałeś dane płatnicze) dzwoniąc bezpośrednio do banku przez numer z tylnej strony karty.
  4. Zgłoś incydent do CERT Polska przez formularz na incydent.cert.pl.
  5. Sprawdź urządzenie pod kątem złośliwego oprogramowania, jeśli pobierałeś jakiekolwiek pliki.

Narzędzia, które pomagają wykrywać phishing

Nowoczesne przeglądarki (Chrome, Firefox, Edge) posiadają wbudowane filtry ostrzegające przed stronami phishingowymi. Warto mieć je włączone. Dodatkowo możesz korzystać z rozszerzeń typu uBlock Origin, które blokują znane domeny złośliwego oprogramowania.

Do sprawdzenia podejrzanego linku możesz użyć narzędzia VirusTotal – po wklejeniu URL przeskanuje go za pomocą kilkudziesięciu silników antywirusowych i poinformuje o ewentualnych zagrożeniach.

Źródła i dalsze informacje