- Phishing wyłudza dane, spoofing podszywa się pod numer lub nadawcę; bezpieczna procedura: rozłącz, sprawdź, oddzwoń przez aplikację lub oficjalną infolinię banku.
- W 2024 r. CSIRT KNF zidentyfikował 51 241 domen phishingowych (Raport 2024, 01.04.2025).
- CERT Polska raportuje ponad 600 000 zgłoszeń incydentów w 2024 r., phishing dominuje (Analiza 25.04.2025).
- Banki nie żądają haseł, kodów BLIK, danych kart ani instalacji zdalnego pulpitu; takie żądanie sygnalizuje oszustwo.
- Zrób teraz: zapisz oficjalne numery banku, włącz powiadomienia push i biometrię, ustaw niskie limity BLIK/kart, przećwicz scenariusz „dzwoni konsultant”.
Phishing i spoofing bankowy to najczęstsze metody przejęcia Twoich pieniędzy, działające przez wyłudzenie danych i podszycie się pod zaufany kanał. Najbezpieczniejsza procedura to przerwanie rozmowy i niezależna weryfikacja w aplikacji lub na oficjalnej infolinii. Ten rytuał eliminuje presję czasu i zamyka przestępcom drogę do Twoich środków.
Sercem wielu ataków jest inżynieria społeczna – precyzyjna manipulacja emocjami. Napastnik wywołuje strach („blokada konta”), pośpiech („oferta na już”), lub chciwość („nagroda”), aby wyłączyć ocenę ryzyka. Świadomość, że celem jest Twoja psychika, a nie wyłącznie hasło, zwiększa odporność i skraca czas reakcji.
Jak odróżnić phishing od spoofingu telefonicznego w bankowości i po czym rozpoznać próbę ataku?
Krótka odpowiedź: phishing wyłudza dane, spoofing podszywa się pod numer/nadawcę; wspólne sygnały to presja czasu i żądanie kodów lub instalacji.
Phishing nadchodzi e-mailem, SMS-em, komunikatorem lub przez fałszywą stronę. Cel: wymuszenie logowania, podanie kodu BLIK albo danych karty. Spoofing zmienia prezentację nadawcy: telefon „z infolinii”, SMS w wątku banku, domena podobna do prawdziwej. Czerwone lampki: komunikat o „blokadzie konta”, prośba o zdalny pulpit, „zabezpieczenie środków” przelewem na „bezpieczne konto”, żądanie kodu BLIK lub danych karty. Brak gotowości do potwierdzenia w aplikacji oznacza ryzyko oszustwa.
Jak bezpiecznie zweryfikować tożsamość konsultanta banku podczas telefonu, SMS lub czatu?
Krótka odpowiedź: przerwij połączenie i zweryfikuj konsultanta w aplikacji lub oddzwoń na numer z oficjalnej strony banku.
Zakończ rozmowę, odczekaj 30–60 sekund (środek ostrożności), a następnie ręcznie wybierz numer infolinii ze strony WWW banku. Na czacie korzystaj wyłącznie z czatu wbudowanego w bankowość po samodzielnym zalogowaniu. W SMS sprawdzaj pełny adres URL i certyfikat strony, nie loguj się z linku w wiadomości. Rytuał „rozłącz, sprawdź, oddzwoń” konsekwentnie ogranicza ryzyko.
Jakie pytania kontrolne zadać konsultantowi i jakich danych nigdy nie powinien żądać?
Krótka odpowiedź: pytaj o weryfikację w aplikacji i numer sprawy; nigdy nie przekazuj haseł, kodów BLIK, danych karty ani PESEL.
Pytania kontrolne: „Czy potwierdzi Pan/Pani tożsamość w aplikacji?”, „Jaki numer sprawy zobaczę w aplikacji i gdzie?”, „Jaki jest oficjalny numer infolinii do oddzwonienia?”. Konsultant banku nie żąda loginu, hasła, pełnego numeru karty, daty ważności i CVC/CVV, nie prosi o kody autoryzacyjne ani BLIK, nie zleca instalacji AnyDesk/TeamViewer. Reguła: bank prosi o potwierdzenie w aplikacji, oszust prosi o podanie danych.
Jak przerwać rozmowę i bezpiecznie potwierdzić kontakt, oddzwaniając na oficjalny numer banku?
Krótka odpowiedź: zakończ rozmowę, odczekaj 30–60 s, a następnie sam wybierz numer z oficjalnej strony banku.
Proces: 1) zakończ rozmowę przy pierwszej prośbie o dane/instalację, 2) odczekaj minimum pół minuty, 3) wejdź na stronę banku z zakładki lub wyszukiwarki, 4) zadzwoń na numer infolinii podany na stronie, 5) opisz sytuację i poproś o weryfikację, 6) poproś o odnotowanie incydentu. Nie oddzwaniaj z historii połączeń – przy spoofingu identyfikator potrafi wyglądać poprawnie.
Jak sprawdzić autentyczność numeru, domeny i wiadomości przy użyciu aplikacji bankowej i certyfikatów?
Krótka odpowiedź: porównuj numer z oficjalną listą, sprawdzaj domenę i certyfikat, korzystaj z weryfikacji w aplikacji i zgłaszaj fałszywki do CERT.
Numer telefonu weryfikuj z listą na stronie banku, najlepiej zapisz go w telefonie jako stały kontakt. Domena ma odpowiadać nazwie banku, bez wstawek „-secure”, „-verify”. Kliknij kłódkę w przeglądarce i sprawdź „wystawiony dla”. W aplikacji włącz powiadomienia push oraz – jeśli dostępna – opcję potwierdzania tożsamości konsultanta. Podejrzaną stronę lub wiadomość zgłoś do CERT Polska; to przyspiesza blokowanie złośliwych treści.
| Phishing 🎣 | Spoofing 🦎 |
|---|---|
| E-mail, SMS, komunikator, fałszywy formularz | Telefon, SMS, e-mail z podszytym nadawcą/numerem |
| Wyłudzenie danych, link do logowania, żądanie kodu | Podszycie pod zaufany kanał, numer, nazwę nadawcy |
| Presja czasu, „blokada konta”, „nagroda” | „Dział bezpieczeństwa”, „pilny telefon z banku” |
| Bank / Kanał | Weryfikacja konsultanta w aplikacji | Szybkie blokady (karta/BLIK) | Limity BLIK/karty | Ostrzeżenia „zdalny pulpit” |
|---|---|---|---|---|
| PKO BP (IKO) | Powiadomienie z kontekstem kontaktu | Tak | Konfigurowalne | Publikowane na stronach banku |
| mBank | Zasada: brak danych przez telefon | Tak | Konfigurowalne | Zakaz AnyDesk/TeamViewer |
| BOŚ Bank | Oficjalne kanały i autoryzacje | Tak | Konfigurowalne | Bieżące komunikaty |
Jakie procedury bezpieczeństwa stosują banki w Polsce i jak wykorzystać je na swoją korzyść?
Krótka odpowiedź: korzystaj z SCA, autoryzacji push i niskich limitów; kontakt z bankiem inicjuj samodzielnie.
Silne uwierzytelnianie (SCA), biometryka i autoryzacje push utrudniają nieautoryzowane transakcje. Włącz powiadomienia, ustaw niskie limity BLIK i kart, a wysokie transakcje wykonuj po czasowym podniesieniu limitu. Zapisz oficjalne numery infolinii oraz numer do zastrzegania kart. Śledź komunikaty bezpieczeństwa banku – ułatwia to rozpoznanie bieżących schematów oszustw.
Jak rozpoznać najczęstsze scenariusze oszustw, w tym na BLIK, kuriera, zdalny pulpit i fałszywe alerty?
Krótka odpowiedź: cztery dominujące scenariusze: BLIK przez komunikator, „kurier po kartę/telefon”, zdalny pulpit i fałszywy alert z linkiem.
BLIK przez komunikator: nagła prośba o kod i potwierdzenie wypłaty w bankomacie. Kurier: rzekoma „wymiana” karty/telefonu; oddanie urządzenia prowadzi do przejęcia kont. Zdalny pulpit: „dział bezpieczeństwa” wymusza AnyDesk/TeamViewer i przejmuje ekran. Fałszywy alert: SMS o blokadzie rachunku lub wygaśnięciu dostępu, link do strony podobnej do banku. Kontr-kroki: żadnych kodów, żadnych instalacji, brak logowania z linków, kontakt zainicjowany przez Ciebie.
| Scenariusz ataku | Twój kontr-krok |
|---|---|
| BLIK przez komunikator | 🚫 Nie przekazuj kodu, 🔒 sprawdź powiadomienia w aplikacji |
| „Kurier po kartę/telefon” | 📞 Rozłącz, ☎️ oddzwoń na numer z WWW banku |
| Zdalny pulpit (AnyDesk/TeamViewer) | 🖥️ Nie instaluj, 💳 zablokuj BLIK/kartę w aplikacji |
| Fałszywy alert SMS/e-mail | 🔗 Nie klikaj, 🔎 zaloguj się z zapisanej zakładki |
Jak przygotować się na vishing z użyciem AI (deepfake voice), czyli głosowe ataki przyszłości?
Krótka odpowiedź: traktuj każdy głos jak potencjalnie syntetyczny; weryfikuj przez drugi kanał i ustal z rodziną „hasło bezpieczeństwa”.
Klonowanie głosu w czasie zbliżonym do rzeczywistego sprawia, że rozpoznawanie „po głosie” przestaje być wiarygodne. Napastnik jest w stanie brzmieć jak konsultant, członek rodziny, a nawet Ty. Obrona: drugi kanał weryfikacji (aplikacja banku lub połączenie zainicjowane przez Ciebie), prośba o krótkie połączenie wideo przez oficjalną aplikację, rodzinne „słowo bezpieczeństwa”, które nie pada w codziennych rozmowach. Zapisz w telefonie zaufane kontakty i korzystaj z nich zamiast historii połączeń.
Jak zareagować po kontakcie z podejrzanym konsultantem, czyli blokady, reklamacja i zgłoszenie do CERT Polska oraz policji?
Krótka odpowiedź: natychmiast zablokuj metody płatności, zmień hasło, zgłoś incydent do banku, CERT i Policji; zachowaj dowody.
Działaj sekwencyjnie: w aplikacji zablokuj BLIK, kartę i przelewy ekspresowe, wyloguj wszystkie urządzenia i zmień hasło. Skontaktuj się z bankiem i złóż reklamację nieautoryzowanej transakcji. Zgłoś fałszywą domenę/SMS w formularzu CERT, zachowaj zrzuty ekranu, numery i treść wiadomości. W razie strat złóż zawiadomienie na Policji. Czas ogranicza ryzyko kolejnych transakcji, dlatego każdy krok wykonaj bez zwłoki.
- D+1: bank zwraca kwotę nieautoryzowanej transakcji najpóźniej do końca następnego dnia roboczego (art. 46 UUP).
- Wyjątki: uzasadnione podejrzenie oszustwa po stronie klienta albo zgłoszenie po 13 miesiącach.
- Ciężar dowodu: to bank udowadnia autoryzację i nienaruszenie zabezpieczeń.
Jak przygotować własny protokół bezpieczeństwa na co dzień, z checklistą krok po kroku dla całej rodziny?
Krótka odpowiedź: ustal zasady „3×NIE”, role domowe i harmonogram reakcji T+0, T+5, T+60; wykorzystaj generator planu poniżej.
3×NIE: nie przekazujesz kodów, nie instalujesz oprogramowania, nie logujesz się z linków w wiadomościach. Zasady rodzinne: oficjalne numery zapisane w telefonach, logowanie wyłącznie z aplikacji lub zapisanej zakładki, seniorzy i nastolatki znają schemat „rozłącz i oddzwoń”. Raz w miesiącu przećwicz scenariusz „dzwoni konsultant”. Poniższy generator zamienia wskazówki w spersonalizowany plan.
Checklista – krok po kroku
- T+0: rozłącz rozmowę przy pierwszej prośbie o kody, dane karty lub instalację aplikacji.
- T+5 min: wejdź do aplikacji, zablokuj BLIK/kartę, zmień hasło, wyloguj wszystkie urządzenia.
- T+15 min: oddzwoń na oficjalny numer z WWW banku, poproś o weryfikację kontaktu i oznaczenie alertu.
- T+60 min: złóż reklamację, zgłoś incydent do CERT i Policji; zachowaj zrzuty, numery i treść wiadomości.
FAQ – najczęściej zadawane pytania
Nie. Bank nie żąda haseł, kodów BLIK, pełnych danych karty ani instalacji zdalnego pulpitu. Taka prośba oznacza oszustwo i wymaga natychmiastowego rozłączenia.
Rozłącz się, odczekaj 30–60 sekund i sam wybierz numer z oficjalnej strony banku lub użyj funkcji weryfikacyjnych w aplikacji.
Natychmiast zablokuj BLIK i karty w aplikacji, zmień hasło, wyloguj urządzenia, skontaktuj się z bankiem i zgłoś incydent do CERT oraz Policji. Zabezpiecz zrzuty ekranu.
Tak. Podszywanie pod numery i nadawców SMS to częsty element kampanii. Obrona: przerwij rozmowę i samodzielnie zestaw połączenie z infolinią banku.
D+1: bank zwraca kwotę nieautoryzowanej transakcji do końca następnego dnia roboczego, z wyjątkami z art. 46 UUP. Ciężar dowodu spoczywa na banku.
Nie. To ryzykowne przy spoofingu. Zawsze wybierz numer ręcznie z oficjalnej strony banku albo z zapisanych wcześniej kontaktów.
Włącz powiadomienia push i biometrię, ustaw niskie limity BLIK/kart, używaj szybkich blokad; wysokie płatności autoryzuj po czasowym podniesieniu limitów.
Aktualizacja artykułu: 23 września 2025 r.
Autor: Jacek Grudniewski
Ekspert ds. produktów finansowych i pasjonat rynku nieruchomości
Kontakt za pośrednictwem LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/
Niniejszy artykuł ma wyłącznie charakter informacyjny i nie jest poradą finansową, prawną ani rekomendacją inwestycyjną w rozumieniu odpowiednich przepisów prawa. Pamiętaj, że wszelkie decyzje podejmujesz na własne ryzyko, świadom możliwości utraty kapitału, a prezentowane treści nie uwzględniają Twojej indywidualnej sytuacji finansowej. Zawsze skonsultuj się z licencjonowanym specjalistą (np. ekspertem finansowym, licencjonowanym doradcą inwestycyjnym lub prawnikiem) przed podjęciem jakichkolwiek działań mających skutki finansowe lub prawne. Chociaż dokładam starań o rzetelność informacji, nie mogę zagwarantować ich pełnej dokładności ani aktualności i nie ponoszę odpowiedzialności za skutki decyzji podjętych na ich podstawie. Artykuł może zawierać linki afiliacyjne, które wspierają rozwój tej strony, nie generując dla Ciebie żadnych dodatkowych kosztów.