Phishing i spoofing bankowy, jak weryfikować tożsamość konsultanta

Phishing i spoofing bankowy, jak weryfikować tożsamość konsultanta

In Banki, Blog
Tags:
by Jacek Grudniewski
Jeden komentarz

✅ Najważniejsze informacje w skrócie:

  • Phishing wyłudza dane (link, logowanie, kod), spoofing podszywa się pod numer lub nadawcę; najbezpieczniejsza procedura: rozłącz, sprawdź, oddzwoń przez aplikację lub na numer z oficjalnej strony banku.
  • W 2024 r. CSIRT KNF zidentyfikował 51 241 domen phishingowych (raport roczny, publikacja: 01/04/2025 r.).
  • CERT Polska w 2024 r. przeanalizował 600 990 zgłoszeń (raport roczny, publikacja: 04/2025 r.), a phishing należy do najczęściej zgłaszanych problemów.
  • Bank nie prosi o hasła, kody autoryzacyjne, kody BLIK, pełne dane karty ani instalację zdalnego pulpitu; taka prośba oznacza oszustwo.
  • Zrób dziś: zapisz oficjalne numery banku, włącz powiadomienia push i biometrię, ustaw niskie limity BLIK i kart, przećwicz w domu scenariusz „dzwoni konsultant”.

Phishing i spoofing bankowy to najczęstsze metody przejęcia pieniędzy, oparte na wyłudzeniu danych i podszyciu się pod zaufany kanał. Najbezpieczniejsza procedura: przerwij kontakt i zweryfikuj go niezależnie, w aplikacji banku lub dzwoniąc na numer z oficjalnej strony. Taki nawyk usuwa presję czasu i odcina oszustów od Twoich środków.

Sercem wielu ataków jest inżynieria społeczna, czyli celowe sterowanie emocjami. Napastnik wywołuje strach („blokada konta”), pośpiech („działamy natychmiast”) albo zysk („nagroda”), aby wyłączyć ocenę ryzyka. Gdy widzisz presję, traktuj ją jak sygnał alarmowy i przejdź na tryb weryfikacji.

Jak odróżnić phishing od spoofingu telefonicznego w bankowości i po czym rozpoznać próbę ataku?

Najważniejsze: phishing wyłudza dane przez link lub formularz, spoofing podszywa się pod numer lub nadawcę, a wspólnym mianownikiem jest presja czasu i żądanie wykonania działania „tu i teraz”.

Phishing przychodzi e-mailem, SMS-em, komunikatorem albo prowadzi na fałszywą stronę logowania. Celem jest pozyskanie loginu i hasła, kodu autoryzacyjnego, kodu BLIK lub danych karty. Spoofing polega na podmianie identyfikatora nadawcy: telefon „z infolinii”, SMS w wątku banku, adres podobny do prawdziwego.

  • „Blokada konta”, „podejrzana transakcja”, „zabezpieczenie środków” przez przelew na „bezpieczne konto”.
  • Prośba o kod BLIK, kod z SMS, autoryzację „testową” albo instalację AnyDesk/TeamViewer.
  • Odmowa potwierdzenia tożsamości w aplikacji banku i nacisk na działanie natychmiast.

Jak bezpiecznie zweryfikować tożsamość konsultanta banku podczas telefonu, SMS lub czatu?

Najważniejsze: kończysz kontakt i inicjujesz go ponownie sam, w aplikacji banku lub na numerze z oficjalnej strony.

Jeśli kontakt przychodzi „z banku”, zrób prostą rzecz: zakończ rozmowę i przejdź na weryfikację niezależnym kanałem. W praktyce działają trzy reguły:

  • Telefon: rozłącz się i zadzwoń na numer z oficjalnej strony banku lub zapisany wcześniej w kontaktach.
  • Czat: korzystaj wyłącznie z czatu wbudowanego w bankowość po samodzielnym zalogowaniu.
  • SMS/e-mail: nie loguj się z linku, wejdź do banku z aplikacji albo z zapisanej zakładki.

Jakie pytania kontrolne zadać konsultantowi i jakich danych nie przekazywać?

Najważniejsze: nie przekazujesz haseł i kodów, a dane identyfikacyjne podajesz wyłącznie wtedy, gdy to Ty inicjujesz kontakt (oddzwonienie na oficjalny numer).

Jeśli rozmawiasz z konsultantem w kontakcie, który sam zainicjowałeś, pytaj o rzeczy, których oszust nie potwierdzi w bezpiecznym kanale:

  • Czy potwierdzi Pan/Pani tożsamość w aplikacji?
  • Jaki numer sprawy zobaczę w aplikacji i gdzie dokładnie?
  • Na jaki oficjalny numer mam oddzwonić, aby kontynuować?

Nigdy nie podawaj: hasła, kodu z SMS, kodu BLIK, pełnego numeru karty, daty ważności i CVC/CVV, a także nie instaluj oprogramowania do zdalnego pulpitu.

Jak przerwać rozmowę i bezpiecznie potwierdzić kontakt, oddzwaniając na oficjalny numer banku?

Najważniejsze: nie oddzwaniasz z historii połączeń, numer wybierasz sam z oficjalnego źródła.
  1. Zakończ rozmowę przy pierwszej prośbie o kody, dane karty albo instalację aplikacji.
  2. Wejdź na stronę banku z zapisanej zakładki lub wpisz adres ręcznie.
  3. Wybierz numer infolinii z oficjalnej strony i opisz sytuację.
  4. Poproś o odnotowanie incydentu i sprawdzenie, czy bank faktycznie próbował kontaktu.

Skrypt 15 sekund, gdy „dzwoni bank”:

„Dziękuję, rozłączam się. Oddzwonię na numer z oficjalnej strony banku i tam potwierdzę sprawę.”

Jak sprawdzić autentyczność numeru, domeny i wiadomości przy użyciu aplikacji bankowej i certyfikatów?

Najważniejsze: numer porównujesz z oficjalną listą, linków z SMS nie używasz, a podejrzane domeny zgłaszasz do CERT Polska.
  • Numer telefonu: weryfikuj z listą na stronie banku, zapisz go jako stały kontakt w telefonie.
  • Domena: uważaj na wstawki typu „-secure”, „-verify”, literówki i zamiany znaków.
  • Certyfikat: kliknij kłódkę w przeglądarce i sprawdź, dla kogo wystawiono certyfikat.
  • Aplikacja: włącz powiadomienia push i szybkie blokady kart oraz BLIK.

Phishing 🎣 Spoofing 🦎
E-mail, SMS, komunikator, fałszywy formularz Telefon, SMS, e-mail z podszytym nadawcą lub numerem
Wyłudzenie danych, link do logowania, żądanie kodu Podszycie pod zaufany kanał, numer lub nazwa nadawcy
Presja czasu, „blokada konta”, „nagroda” „Dział bezpieczeństwa”, „pilny kontakt z banku”

Jakie są czerwone flagi, czyli 7 sygnałów, że kontakt jest próbą oszustwa?

Najważniejsze: jeden sygnał wystarcza, aby przerwać kontakt, a dwa sygnały oznaczają natychmiastowy tryb „rozłącz i oddzwoń”.
  1. Presja czasu i straszenie blokadą konta.
  2. Prośba o kod BLIK lub kod z SMS.
  3. Instrukcja instalacji AnyDesk/TeamViewer lub „pomoc zdalna”.
  4. „Zabezpieczenie środków” przelewem na „bezpieczne konto”.
  5. Link do logowania w SMS lub e-mailu, szczególnie z dziwną domeną.
  6. „Kurier po kartę/telefon”, „wymiana karty”, „odbiór urządzenia”.
  7. Odmowa potwierdzenia tożsamości w aplikacji banku.

Jakie procedury bezpieczeństwa stosują banki w Polsce i jak wykorzystać je w ustawieniach aplikacji?

Najważniejsze: powiadomienia push, biometryka, limity i szybkie blokady dają realną kontrolę, a kontakt z bankiem inicjujesz sam.

Silne uwierzytelnianie (SCA), biometryka i autoryzacje push utrudniają wykonanie transakcji bez Twojej zgody. Ustaw w aplikacji rozwiązania, które skracają czas reakcji i ograniczają straty.

Bank / Kanał Weryfikacja kontaktu w aplikacji Szybkie blokady (karta/BLIK) Limity BLIK i kart Komunikaty o zdalnym pulpicie
PKO BP (IKO) Weryfikacja w aplikacji i komunikaty bezpieczeństwa Tak Konfigurowalne Komunikaty na stronach banku
mBank Weryfikacja przez oficjalne kanały, brak próśb o kody przez telefon Tak Konfigurowalne Komunikaty o zakazie AnyDesk/TeamViewer
BOŚ Bank Oficjalne kanały i autoryzacje w bankowości Tak Konfigurowalne Bieżące komunikaty ostrzegawcze

Praktyczna porada: Ustal dzienny limit BLIK i kart poniżej typowych wydatków, a większe płatności wykonuj po czasowym podniesieniu limitu w aplikacji.
Wskazówka: Zapisz dwa numery: infolinię banku oraz numer do zastrzegania kart, skrócisz reakcję do kilkunastu sekund.
Ostrzeżenie: Prośba o instalację zdalnego pulpitu, kod BLIK albo dane karty oznacza oszustwo, przerwij kontakt natychmiast.

Jak rozpoznać najczęstsze scenariusze oszustw, w tym na BLIK, kuriera, zdalny pulpit i fałszywe alerty?

Najważniejsze: schematy różnią się historią, a kończą się tak samo: kod, instalacja, link, przelew na „bezpieczne konto”.
  • BLIK przez komunikator: nagła prośba „od znajomego” o kod i zatwierdzenie wypłaty.
  • „Kurier po kartę/telefon”: rzekoma „wymiana” i próba przejęcia urządzenia.
  • Zdalny pulpit: wymuszanie AnyDesk/TeamViewer i przejęcie ekranu.
  • Fałszywy alert: SMS o blokadzie rachunku, link do strony łudząco podobnej do banku.

Scenariusz ataku Twój kontr-krok
BLIK przez komunikator 🚫 Nie przekazujesz kodu, 🔒 weryfikujesz prośbę innym kanałem (telefon, wideo)
„Kurier po kartę/telefon” 📞 Kończysz kontakt, ☎️ dzwonisz na numer z oficjalnej strony banku
Zdalny pulpit (AnyDesk/TeamViewer) 🖥️ Nie instalujesz, 💳 blokujesz kartę i BLIK w aplikacji
Fałszywy alert SMS/e-mail 🔗 Nie klikasz, 🔎 logujesz się z aplikacji lub zapisanej zakładki

Jak przygotować się na vishing z użyciem AI (deepfake voice), czyli ataki głosowe oparte na klonowaniu?

Najważniejsze: głos przestał być dowodem, liczy się drugi kanał i zasada „kontakt inicjuję sam”.

Klonowanie głosu potrafi przypominać konsultanta albo członka rodziny. Obrona opiera się na zasadach technicznych, a nie na „rozpoznaniu po głosie”:

  • Drugi kanał: weryfikacja w aplikacji banku albo oddzwonienie na numer z oficjalnej strony.
  • Słowo bezpieczeństwa: rodzinne hasło używane wyłącznie do weryfikacji w nagłej sytuacji.
  • Wideo: przy prośbach o pieniądze, potwierdzenie wideo w znanej aplikacji, bez linków od rozmówcy.

Jak zareagować po kontakcie z podejrzanym konsultantem: blokady, reklamacja i zgłoszenie do CERT Polska oraz Policji?

Najważniejsze: pierwsze minuty decydują o skali strat, blokujesz narzędzia płatnicze, zabezpieczasz dowody i zgłaszasz sprawę.

Działaj sekwencyjnie:

  1. W aplikacji zablokuj BLIK, kartę i przelewy ekspresowe, jeśli masz taką opcję.
  2. Zmień hasło, wyloguj wszystkie urządzenia, sprawdź, czy nie dodano nowego odbiorcy przelewów.
  3. Skontaktuj się z bankiem i złóż reklamację transakcji nieautoryzowanej.
  4. Zgłoś domenę lub wiadomość do CERT Polska, zachowaj zrzuty ekranu i treści SMS.
  5. W razie strat złóż zawiadomienie na Policji.

Twoje prawa po transakcji nieautoryzowanej (ustawa o usługach płatniczych):

  • D+1: bank ma obowiązek zwrotu kwoty transakcji nieautoryzowanej lub przywrócenia rachunku, nie później niż do końca następnego dnia roboczego po zgłoszeniu.
  • Wyjątki: zgłoszenie po 13 miesiącach albo uzasadnione i udokumentowane podejrzenie oszustwa, zgłoszone organom ścigania.
  • Dowody: bank powinien wykazać autoryzację i prawidłowe zastosowanie zabezpieczeń, a nie ograniczać się do stwierdzenia „transakcja była uwierzytelniona”.

D+1 w praktyce:

Jeśli zgłaszasz transakcję nieautoryzowaną w poniedziałek, zwrot powinien nastąpić najpóźniej do końca wtorku (dzień roboczy po zgłoszeniu). Przy dniach wolnych liczy się następny dzień roboczy.

Jak przygotować własny protokół bezpieczeństwa na co dzień, z checklistą krok po kroku dla całej rodziny?

Najważniejsze: proste zasady „3×NIE” i ćwiczenie scenariusza raz w miesiącu ograniczają ryzyko błędu pod presją.

3×NIE: nie przekazujesz kodów, nie instalujesz oprogramowania, nie logujesz się z linków w wiadomościach. Ustal domowe reguły: oficjalne numery zapisane w telefonach, logowanie wyłącznie z aplikacji lub zapisanej zakładki, seniorzy i nastolatki znają schemat „rozłącz i oddzwoń”. Poniższy generator zamienia zasady w plan działania.

Checklista – krok po kroku

  1. T+0: kończysz kontakt przy pierwszej prośbie o kody, dane karty albo instalację aplikacji.
  2. T+5 min: wchodzisz do aplikacji, blokujesz BLIK i kartę, zmieniasz hasło, wylogowujesz urządzenia.
  3. T+15 min: dzwonisz na oficjalny numer z WWW banku, prosisz o weryfikację kontaktu i odnotowanie incydentu.
  4. T+60 min: składasz reklamację, zgłaszasz incydent do CERT i Policji, zabezpieczasz zrzuty, numery i treści wiadomości.

FAQ – najczęściej zadawane pytania

Czy bank w 2025 roku poprosi przez telefon o kod BLIK albo hasło do logowania?

Nie. Bank nie żąda haseł, kodów BLIK, kodów z SMS ani pełnych danych karty. Taka prośba oznacza oszustwo i wymaga natychmiastowego przerwania kontaktu.

Jak najszybciej sprawdzić, czy dzwoni prawdziwy konsultant banku?

Kończysz rozmowę i sam wybierasz numer z oficjalnej strony banku lub korzystasz z weryfikacji w aplikacji. Nie oddzwaniasz z historii połączeń.

Co zrobić, jeśli kliknąłem link z SMS i wpisałem dane na fałszywej stronie?

Natychmiast blokujesz BLIK i karty, zmieniasz hasło, wylogowujesz urządzenia, kontaktujesz się z bankiem i zgłaszasz incydent do CERT oraz Policji. Zabezpieczasz zrzuty ekranu.

Czy spoofing numeru telefonu banku zdarza się w Polsce?

Tak. Podszywanie pod numery i nadawców SMS jest częstym elementem kampanii. Obrona: kończysz kontakt i sam inicjujesz połączenie z bankiem.

Jakie mam prawa po nieautoryzowanej transakcji na rachunku bankowym?

D+1: bank zwraca kwotę transakcji nieautoryzowanej do końca następnego dnia roboczego po zgłoszeniu, z wyjątkami wskazanymi w ustawie o usługach płatniczych. W sporze liczą się dowody i dokumentacja.

Czy używać przycisku „oddzwoń” w historii połączeń?

Nie. Przy spoofingu historia połączeń wprowadza w błąd. Numer wybierasz sam z oficjalnej strony banku lub zapisanych kontaktów.

Jakie ustawienia w aplikacji bankowej realnie zmniejszają ryzyko strat?

Włączasz powiadomienia push i biometrię, ustawiasz niskie limity BLIK i kart, używasz szybkich blokad. Duże płatności zatwierdzasz po czasowym podniesieniu limitu.

Źródła


Aktualizacja artykułu: 15 grudnia 2025 r.

Autor: Jacek Grudniewski
Ekspert ds. produktów finansowych i pasjonat rynku nieruchomości

Kontakt za pośrednictwem LinkedIn:
https://www.linkedin.com/in/jacekgrudniewski/

Niniejszy artykuł ma wyłącznie charakter informacyjny i nie jest poradą finansową, prawną ani rekomendacją inwestycyjną w rozumieniu odpowiednich przepisów prawa. Pamiętaj, że wszelkie decyzje podejmujesz na własne ryzyko, świadom możliwości utraty kapitału, a prezentowane treści nie uwzględniają Twojej indywidualnej sytuacji finansowej. Zawsze skonsultuj się z licencjonowanym specjalistą (np. ekspertem finansowym, licencjonowanym doradcą inwestycyjnym lub prawnikiem) przed podjęciem jakichkolwiek działań mających skutki finansowe lub prawne. Chociaż dokładam starań o rzetelność informacji, nie mogę zagwarantować ich pełnej dokładności ani aktualności i nie ponoszę odpowiedzialności za skutki decyzji podjętych na ich podstawie. Artykuł może zawierać linki afiliacyjne, które wspierają rozwój tej strony, nie generując dla Ciebie żadnych dodatkowych kosztów.