WSTE

Phishing stanowi jedno z największych zagrożeń w polskiej cyberprzestrzeni, zagrażając zarówno osobom prywatnym, jak i organizacjom. Prawie 9 na 10 Polaków obawia się phishingu jako głównego zagrożenia w sieci, a w 2024 roku CERT Polska przyjął ponad 600 000 zgłoszeń cyberzagrożeń, z czego 40 120 dotyczyło ataków phishingowych. Fałszywe strony banków to zaawansowana forma cyberataku, w której przestępcy tworzą witrynę niemal identyczną z oficjalną, by wyłudzić loginy i wrażliwe dane finansowe. Raport z 2025 roku wskazuje, że phishing odpowiada za 50 procent wszystkich incydentów w pierwszym kwartale. Zrozumienie mechanizmów ataków i umiejętność rozpoznania fałszywych stron bankowych jest kluczowe, bo nawet najnowocześniejsze zabezpieczenia nie zastąpią czujności użytkownika.

Zawartość

Natura i zasięg phishingu w polskiej cyberprzestrzeni

Phishing to forma cyberprzestępczości polegająca na wyłudzaniu danych poprzez podszywanie się pod zaufane instytucje w e‑mailach, SMS‑ach i na stronach internetowych. Nazwa nawiązuje do „łowienia” ofiar za pomocą przynęty, którą są sfałszowane komunikaty i linki. Od pierwszych ataków na banki w 2003 roku phishing rozwinął się w zorganizowane kampanie o ogromnej skali.

Najczęściej wykorzystywane kanały dystrybucji „przynęt” to:

  • e‑mail – masowe wysyłki z linkami do fałszywych stron lub złośliwymi załącznikami;
  • SMS (smishing) – krótkie wiadomości z pilnymi wezwaniami do działania i linkami;
  • komunikatory i media społecznościowe – wiadomości prywatne oraz posty podszywające się pod marki i osoby;
  • połączenia telefoniczne (vishing) – rozmowy z „konsultantem banku” wyłudzające dane.

Skala zagrożenia phishingiem w Polsce jest alarmująca. W 2024 roku odnotowano 355 tys. zgłoszeń podejrzanych SMS‑ów, o 60 procent więcej niż 221 tys. w 2023 roku. Najczęściej atakowane platformy e‑commerce to: OLX (9 865 przypadków), Allegro (4 053), Facebook (3 871). W 2025 roku phishing stał się dominującą metodą uzyskiwania początkowego dostępu do systemów ofiar, odpowiadając za 50 procent analizowanych incydentów. Globalnie liczba ataków wzrosła z ok. 0,44 mln w 2016 roku do niemal 9 mln w 2023 roku; średni koszt naruszenia związanego z phishingiem w 2025 roku wyniósł ok. 4,88 mln dolarów.

Oszustwa oparte na wiadomościach tekstowych to obecnie najczęstsze zagrożenie dla konsumentów. Dzięki zgłoszeniom na numer 8080 (CERT Polska) w 2024 roku zablokowano 1,5 mln złośliwych SMS‑ów. Mimo to zmienność i doskonalenie technik sprawiają, że nawet ostrożni użytkownicy padają ofiarą. Według badania „Postawy Polaków wobec cyberbezpieczeństwa” 41 procent badanych w 2025 roku zetknęło się z phishingiem. Coraz częściej wykorzystywane są też AI i deepfake.

Techniczne wskaźniki phishingu – jak rozpoznać fałszywą stronę bankową

Podczas weryfikacji strony logowania do banku zwróć uwagę na następujące wskaźniki bezpieczeństwa:

  • Certyfikat SSL/TLS – kłódka w pasku adresu oznacza szyfrowane połączenie, ale nie potwierdza własności domeny; kliknij kłódkę i sprawdź szczegóły certyfikatu (dla kogo wystawiony, przez jaki CA, okres ważności do 398 dni);
  • HTTPS – prawdziwe strony bankowe korzystają z HTTPS; brak „https” lub ostrzeżenia przeglądarki to sygnał, by natychmiast przerwać logowanie;
  • Adres URL – uważnie czytaj domenę, zwracając uwagę na literówki i znaki specjalne (np. „alorbank.pl” zamiast „aliorbank.pl”), a także podejrzane końcówki (np. „.shop”, „.biz”, „.tw”);
  • Prawdziwa domena – właściwa nazwa domeny znajduje się po „//” i przed kolejnym „/” (np. w „https://bank-przykladowy.com/login” domeną jest „bank-przykladowy.com”); złożone ciągi z nazwą banku w subdomenie (np. „aliorbank.pl.shop3876.tw”) są fałszywe;
  • Dodatkowe mechanizmy banku – obrazek bezpieczeństwa po wpisaniu loginu i klawiatura wirtualna wspierają wiarygodność procesu; brak znanego obrazka to ostrzeżenie;
  • Język i interfejs – literówki, brak polskich znaków diakrytycznych, dziwne komunikaty, powtarzające się banery czy niedziałające linki wskazują na fałszywkę; brak polskich liter na stronie banku to mocny sygnał ostrzegawczy;
  • Zachowanie formularza – nietypowe żądania (np. zawsze pełne hasło zamiast wybranych znaków), nienaturalnie długie logowanie, prośby o kody SMS wbrew procedurom banku wymagają natychmiastowego kontaktu z bankiem.

Rodzaje ataków phishingowych i ich ewolucja

Poniżej przedstawiono najczęściej spotykane formy ataków oraz ich specyfikę:

  • Phishing e‑mailowy – klasyczne masowe kampanie z wezwaniami do natychmiastowego działania i linkami do fałszywych stron;
  • Spear phishing – spersonalizowane wiadomości ukierunkowane na konkretne osoby lub zespoły, często o wyższej skuteczności;
  • Whaling – ataki na kadrę zarządzającą (np. CEO, CFO), często z użyciem presji i pilnych poleceń płatności;
  • Smishing – fałszywe SMS‑y z krótkimi, pilnymi komunikatami i linkami do stron wyłudzających dane;
  • Vishing – rozmowy telefoniczne z rzekomymi konsultantami bankowymi; AI umożliwia realistyczne naśladowanie głosu;
  • Pharming – przekierowanie na fałszywe strony przez manipulację DNS, mimo wpisania prawidłowego adresu;
  • Phishing w mediach społecznościowych – wykorzystanie fałszywych profili, wiadomości prywatnych i postów do przejęcia kont lub danych;
  • Phishing klonowy – kopia legalnej wiadomości z podmienionymi linkami/załącznikami, groźna dzięki uwiarygodnieniu oryginałem;
  • Phishing z wykorzystaniem HTTPS – kłódka w przeglądarce budzi zaufanie, ale potwierdza wyłącznie szyfrowanie, nie tożsamość serwisu;
  • Fałszywe kody QR – po zeskanowaniu przekierowują na złośliwe strony lub inicjują pobranie malware; wykorzystywane w „mandatach”, powiadomieniach o paczkach i kuponach.

Praktyczne kroki ochrony – mechanizmy zapobiegania i obrony

Poniższa lista zbiera najważniejsze praktyki, które realnie ograniczają ryzyko udanego ataku:

  • nie klikaj w linki z nieoczekiwanych wiadomości – adres banku wpisuj ręcznie w przeglądarce, nawet jeśli komunikat wygląda wiarygodnie;
  • weryfikuj nadawcę – sprawdzaj domenę e‑mail, unikaj ogólnych zwrotów („Szanowny Kliencie”), zwracaj uwagę na nazwy typu „verification/security” zamiast domeny banku;
  • używaj filtrów i ochrony antyphishing – aktualizuj przeglądarkę, włącz Google Safe Browsing, stosuj sprawdzony pakiet bezpieczeństwa;
  • włącz MFA/2FA – dodatkowy składnik logowania znacząco utrudnia przejęcie konta, nawet gdy hasło wycieknie;
  • stosuj różne metody MFA – OTP z aplikacji/SMS, klucze FIDO, biometria (odcisk palca, twarz);
  • twórz silne, unikalne hasła – co najmniej 12–14 znaków, zróżnicowane znaki i brak recyklingu między serwisami;
  • korzystaj z menedżera haseł – np. Google Password Manager lub Proton Pass do generowania i bezpiecznej synchronizacji haseł;
  • monitoruj rachunek i włącz alerty – powiadomienia SMS/e‑mail o każdej transakcji pomagają szybko wykryć nadużycia;
  • zastrzegaj numer PESEL – w mObywatel lub na gov.pl, cofaj zastrzeżenie tylko na czas załatwienia sprawy;
  • zastrzegaj dokumenty w BIK – system Dokumenty Zastrzeżone informuje banki i utrudnia wyłudzenia;
  • włącz Alerty BIK z monitoringiem Darknetu – szybka informacja o próbach kredytowych na twoje dane i wyciekach w sieci.

Zgłaszanie i raportowanie incydentów phishingowych

W przypadku podejrzenia phishingu skorzystaj z oficjalnych kanałów raportowania:

  • formularz CSIRT NASK – incydenty i fałszywe strony zgłaszaj na: https://incydent.cert.pl/ (dołącz pełną treść wiadomości, nagłówki, załączniki);
  • numer 8080 – podejrzane SMS‑y przekaż/udostępnij bez modyfikacji; z jednego numeru wyślesz maksymalnie 3 wiadomości w 4 godziny;
  • zgłoszenie do banku i CERT Polska – po weryfikacji strona trafia na listę ostrzeżeń (do 2025 roku niemal 15 tys. adresów), a operatorzy mogą ograniczyć jej obsługę;
  • zawiadomienie o przestępstwie – złóż na policji/prokuraturze lub online: https://www.gov.pl/web/gov/zglos-przestepstwo.

Co zrobić, gdy przypadkowo podaliśmy dane logowania na fałszywej stronie

Szybkie działanie jest krytyczne – liczy się każda minuta. Postępuj według poniższych kroków:

  1. Natychmiast zmień hasło na prawdziwej stronie usługi (bank, e‑mail) i w innych serwisach, gdzie było używane to samo lub podobne hasło.
  2. Sprawdź ustawienia bezpieczeństwa: ostatnie logowania i aktywne sesje (wyloguj nieznane), zaufane adresy e‑mail i numery, reguły przekierowań.
  3. Skontaktuj się z bankiem, zablokuj karty i dostęp do konta, poproś o wstrzymanie podejrzanych transakcji; zachowaj potwierdzenie zgłoszenia. Włamanie często wymaga zamknięcia rachunku i wydania nowych instrumentów dostępu.
  4. Zgłoś sprawę organom ścigania oraz przez oficjalne kanały banku/CERT; szybkie zgłoszenie ogranicza straty i ryzyko pożyczek na twoje dane.
  5. Przeskanuj urządzenia aktualnym antywirusem; jeśli otwarto załącznik/link, wykonaj pełne skanowanie i zaktualizuj system.
  6. Zmień hasła do kluczowych kont (poczta, bankowość, media społecznościowe, sklepy) i w razie wycieku zastrzeż dokumenty w BIK.
  7. Oceń podejrzaną wiadomość pod kątem „czerwonych flag” (presja czasu, „zbyt dobre” oferty, prośby o poufne dane lub nietypowe płatności) i nie klikaj linków.

Rola instytucji i organów w walce z phishingiem

Ministerstwo Cyfryzacji i CSIRT NASK koordynują przeciwdziałanie phishingowi, prowadząc m.in. listę ostrzeżeń przed fałszywymi stronami (do 2025 roku prawie 15 tys. adresów). Banki inwestują w edukację – np. Alior Bank prowadzi serwis phishingstop.aliorbank.pl z praktycznymi lekcjami rozpoznawania fałszywek.

Biuro Informacji Kredytowej (BIK) wspiera ochronę dzięki alertom i monitorowaniu Darknetu, a operatorzy telekomunikacyjni aktywnie blokują złośliwe wiadomości. W 2024 roku obowiązek blokowania SMS‑ów pozwolił zatrzymać 1,5 mln wiadomości.

Zagrożenia przyszłości i trendy w cyberatakach

Nadchodzące lata przyniosą dalszą automatyzację i profesjonalizację kampanii:

  • ataki wspierane AI – generowanie przekonujących treści, wykrywanie luk i szybkie dostosowanie kampanii w czasie rzeczywistym;
  • deepfake i BEC – realistyczne audio/wideo do podszywania się pod kadrę i partnerów biznesowych, w celu wymuszenia przelewów;
  • ransomware – szantaż, kradzież i destabilizacja obok szyfrowania; wzrost incydentów o +126 procent r/r zmienia profil ryzyka;
  • kryptojacking – potajemne kopanie kryptowalut z wykorzystaniem chmury i błędów konfiguracyjnych usług oraz API.