Czym jest phishing?

Phishing – co to jest?

Phishing to rodzaj cyberoszustwa, w którym sprawcy podszywają się pod inne osoby lub podmioty – często renomowane, popularne marki – aby wyłudzić poufne informacje od konsumentów lub przedsiębiorców, np. dane dostępowe do usług online. Jeśli hasło „phishing” przypomina Ci słowo „fishing” (wędkarstwo), to masz trafne skojarzenia. Cyberprzestępcy stosują „przynęty” skłaniające odbiorców fałszywych wiadomości do wykonania szybkiej, nieprzemyślanej akcji, np. wpisania danych logowania do banku na stronie wyświetlonej po kliknięciu w skrócony link w e-mailu. Jak ostrzega Policja, wzbudzanie silnych emocji, np. strachu, sprawia, że ludzie działają impulsywnie i nieracjonalnie, nawet jeśli mają świadomość zagrożeń internetowych².

Przejęcie loginów i haseł do konta bankowego przez przestępców może doprowadzić do utraty poduszki finansowej, a zdobycie informacji z dowodu osobistego – ułatwić zaciągnięcie kredytu lub pożyczki na Twoje dane. Potencjalne ofiary ataków phishingowych otrzymują wiadomości e-mailowe lub SMS-owe z linkami do stron internetowych kontrolowanych przez cyberprzestępców. Oszuści udają firmy telekomunikacyjne, instytucje finansowe, podmioty administracji publicznej czy przewoźników³, aczkolwiek mogą się podszywać także pod bliskie osoby, które potrzebują pieniędzy. Ostatni scenariusz to tzw. oszustwo internetowe na BLIK⁴.

Phishing, smishing i vishing – podobieństwa i różnice

Kampanie phishingowe można podzielić na ataki smishingowe i vishingowe. Chociaż ich wspólnym celem jest skłonienie ofiar do wykonania czynności, które doprowadzą do wycieku poufnych danych lub utraty pieniędzy, to różnią się sposobem kontaktu z odbiorcami.

Smishing bazuje na wiadomościach SMS, a vishing – na połączeniach telefonicznych. Art. 3 ust. 1 pkt 2 ustawy o zwalczaniu nadużyć w komunikacji elektronicznej definiuje smishing jako wysłanie krótkiej wiadomości tekstowej, w której nadawca podszywa się pod inny podmiot, aby nakłonić odbiorcę SMS-a do pewnego zachowania, szczególnie do:

• przekazania danych osobowych,
• niekorzystnego rozporządzenia mieniem,
• otwarcia strony internetowej,
• inicjowania połączenia głosowego,
• instalacji oprogramowania.

Identyczne cele mogą mieć fałszywe wiadomości e-mail czy reklamy w social mediach.

Popularny scenariusz realizowany przez przestępców w ramach phishingu telefonicznego polega na podszywaniu się pod pracownika banku, który informuje ofiarę o nietypowej aktywności na jej koncie bankowym, oczywiście grożącej utratą pieniędzy. Oszuści grają na emocjach, namawiając rozmówcę do np. przelania środków na „specjalny rachunek techniczny”, na którym będą „bezpieczne”. W efekcie zmanipulowana, zestresowana i wystraszona osoba realizuje przelew na konto przestępców. Co ważne, rzekomy konsultant może nakłaniać właściciela konta również do instalacji złośliwego oprogramowania⁵ czy wypełnienia krótkiego formularza online, aby przejąć dane logowania.

Phishing, spear phishing i whale phishing – czym się różnią?

Najczęstsze kampanie phishingowe polegają na masowej wysyłce identycznych komunikatów pod przypadkowe adresy e-mailowe i numery telefonów. Oprócz tego istnieje tzw. phishing ukierunkowany, w którym ofiary ataków są selekcjonowane, a fałszywe wiadomości – spersonalizowane, aby zwiększyć szansę na wyłudzenie danych lub pieniędzy od konkretnej osoby.

Wyobraź sobie, że pracujesz jako księgowa i otrzymujesz e-mail z fakturą od właściciela przedsiębiorstwa. Wiesz, że Twoja firma nawiązała współpracę z nadawcą, bo nawet pochwaliła się tym w social mediach. Zlecasz przelew opiewający na stosunkowo niską kwotę, która nie wymaga zweryfikowania, czy numer konta bankowego znajduje się na białej liście podatników VAT. Niestety, okazuje się, że wiadomość pochodziła od oszusta podszywającego się pod inny podmiot. Takie przypadki to spear phishing, który bazuje na wcześniej zebranych informacjach o ofiarach⁶. Jeżeli celami ataków są osoby zajmujące wysokie stanowiska w organizacjach, mówimy o whale phishingu (whalingu), który można przetłumaczyć dosłownie jako „łowienie wielorybów” czy potoczne „łowienie grubych ryb”⁷.

Jak rozpoznać phishing? Rodzaje i przykłady phishingu

Jak podkreśla CERT Polska, cyberprzestępcy nie stosują wyłącznie jednego schematu szkodliwych wiadomości, ale istnieją pewne uniwersalne elementy, które ułatwiają rozpoznanie fałszywych komunikatów.

Ataki typu phishing charakteryzują się najczęściej wywieraniem presji czasu na ofierze. Oszuści wzywają do podjęcia jak najszybszego działania, zwykle pod groźbą przykrych konsekwencji, np. naliczenia odsetek za zwłokę w płatności, zablokowania konta na portalach społecznościowych czy zwrotu paczki do nadawcy. Nagłe wywołanie stresu ma sprawić, że treść zawierająca błędy językowe i podejrzany link nie wzbudzą niepokoju u odbiorcy. Wiadomości phishingowe często imitują powiadomienia generowane automatycznie przez systemy bankowe czy kurierskie⁸.

Co jeszcze powinno wzbudzić Twoją podejrzliwość? Wiadomości phishingowe cechują się też:

• mocnym nacechowaniem emocjonalnym, które nie pasuje do np. oficjalnych komunikatów wysyłanych przez urzędy,
• ogólnymi i specyficznymi zwrotami grzecznościowymi, np. „Szanowny Obywatelu”, „Drogi Kliencie”,
• nadawcami z międzynarodowymi numerami kierunkowymi.

Phishing w e-mailach

Jedne z najgłośniejszych ataków phishingowych w e-mailach wzbudzają strach w odbiorcach za pomocą np. wezwań do zaprzestania korzystania z naruszających treści. Cyberoszuści usiłują wmówić internautom, że naruszyli prawa autorskie i poniosą konsekwencje prawne, chyba że pobiorą „raport” i ustosunkują się do zarzutów. Ściągnięcie i otwarcie pliku wywoływało uruchomienie złośliwego oprogramowania, które wykradało dane⁹.

Ofiarą phishingu może zostać także osoba, która uwierzy, że ma nieopłacone faktury za media, więc będzie chciała szybko zweryfikować dokumenty dołączone do wiadomości. W okresach rozliczeń rocznych warto uważać na e-maile od oszustów stosujących metodę „na zwrot podatku”. Ten scenariusz phishingu nie przewiduje kary dla odbiorcy, a nagrodę – co najmniej kilkaset złotych rzekomej nadpłaty podatku. Jedyne, co musi zrobić ofiara, to potwierdzić dane, oczywiście na specjalnie spreparowanej stronie WWW¹⁰.

Phishing w social mediach i komunikatorach internetowych

Jak można przeczytać w raportach dotyczących phishingu w Polsce, 2024 rok upłynął pod znakiem fałszywych kampanii w social mediach¹¹. Phishing w mediach społecznościowych polega na m.in. podszywaniu się pod znane marki, np. sklepy internetowe z elektroniką. Co więcej, oszuści opłacają reklamy, w których nakłaniają odbiorców do podania poufnych danych lub wniesienia symbolicznej opłaty, aby zyskać szansę na wygranie drogiego sprzętu.

Jak podkreślają eksperci ds. cyberbezpieczeństwa, ataki phishingowe wykorzystujące social media i komunikatory internetowe pozwalają oszustom na ominięcie zabezpieczeń w środowiskach służbowych. Z tego względu przedsiębiorcy powinni uczulać pracowników na podejrzane wiadomości prywatne poza oficjalnymi kanałami komunikacji¹².

Phishing w SMS-ach

Smishing, czyli phishing w SMS-ach, dotyczy m.in. użytkowników platform streamingowych, którzy otrzymują wiadomości o rzekomym tymczasowym zawieszeniu lub trwałym zablokowaniu konta – oczywiście pod groźbą niewykonania danej akcji. Ofiary są nakłaniane do kliknięcia w fałszywy link i podania poufnych informacji osobowych oraz danych do zrealizowania płatności na spreparowanej stronie, np. numerów kart kredytowych. Ponadto oszuści usiłują wmówić odbiorcom SMS-ów, że:

• wykryto podejrzane transakcje na ich rachunku lub nieudane próby logowania,
• rachunek bankowy zostanie dezaktywowany,
• funkcje aplikacji bankowej zostały ograniczone,
• zamówienie złożone w nieokreślonym sklepie internetowym wymaga potwierdzenia,
• dostawa paczki została wstrzymana ze względu na nieprawidłowy adres,
• bliskiej osobie zepsuł się telefon i korzysta z innego urządzenia oraz numeru,
• mają zadłużenie w związku z niezapłaconymi fakturami za media,
• wygasa profil zaufany,
• płatność za subskrypcję została odrzucona.

Czy phishing jest przestępstwem?

Tak, phishing to przestępstwo, mimo że to pojęcie nie jest zdefiniowane w polskim ustawodawstwie, oprócz wspomnianego smishingu w ustawie o zwalczaniu nadużyć w komunikacji elektronicznej. Art. 30 ww. ustawy określa sankcję za smishing – karę pozbawienia wolności od 3 miesięcy do 5 lat. W wypadku mniejszej wagi sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Ponadto sprawcy phishingu mogą otrzymać karę za oszustwo komputerowe określone w art. 287 Kodeksu karnego. Przepis stanowi, że ten, kto bez upoważnienia:

• wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych,
• zmienia, usuwa albo wprowadza nowy zapis danych informatycznych,

aby osiągnąć korzyść majątkową lub wyrządzić szkodę innej osobie, podlega karze pozbawienia wolności od 3 miesięcy do 5 lat. W wypadku mniejszej wagi sprawca może otrzymać karę grzywny, karę ograniczenia wolności albo karę pozbawienia wolności do 1 roku. Oczywiście phishing może mieć znamiona innych przestępstw. Wszystko zależy od charakterystyki i konsekwencji ataku.

Jeśli oszuści sprawili, że ofiara przelała pieniądze na ich konto, wierząc, że zabezpiecza się przed np. naliczeniem odsetek za zwłokę przez urząd skarbowy, to mamy do czynienia z przestępstwem opisanym w art. 286 k.k., czyli doprowadzenia kogoś do niekorzystnego rozporządzenia własnym lub cudzym mieniem. Ponadto cyberoszuści mogą ponieść odpowiedzialność karną za podszywanie się pod inną osobę i wykorzystywanie jej wizerunku oraz innych danych w celu wyrządzenia szkody majątkowej lub osobistej. Zgodnie z art. 190 § 2 k.k. sprawca tego czynu podlega karze pozbawienia wolności od 6 miesięcy do 8 lat.

Jak się chronić przed phishingiem?

Niestety, nie da się całkowicie zabezpieczyć przed otrzymywaniem fałszywych wiadomości i telefonów. Skuteczna ochrona przed phishingiem wymaga zachowania zimnej krwi, kiedy odczytujesz podejrzaną treść wiadomości SMS, e-mail czy odbierasz połączenie telefoniczne od rzekomego pracownika instytucji finansowej. Unikaj pochopnego klikania w skrócone linki i podawania poufnych danych rozmówcy, który podaje się za konsultanta z banku. Przestępcy mają narzędzia do podszywania się pod realne numery telefonów, dlatego zweryfikowanie numeru infolinii na stronie WWW może się okazać niewystarczające. Lepiej się rozłączyć i samodzielnie zadzwonić do danego banku czy przedsiębiorstwa. Pamiętaj, że niektóre witryny mogą być spreparowane, dlatego jeśli masz wątpliwości, czy dana firma istnieje, zajrzyj do oficjalnego rejestru, np. CEIDG lub KRS.

Co jeszcze można zrobić w ramach ochrony przed phishingiem?

• Nie podawaj żadnych poufnych danych w e-mailach, SMS-ach i konwersacjach w komunikatorach internetowych.
• Zwracaj uwagę na adresy e-mail, z których przychodzą podejrzane wiadomości. Przyjrzyj się, czy nie doszło do np. celowej zamiany „I” (duża litera „i”) na „l” (małą literę „l”) w nazwie własnej. Sprawcy phishingu stosują takie sztuczki, aby podszywać się pod popularne firmy lub osoby.
• Używaj wieloetapowej weryfikacji i stosuj trudne hasła, które możesz przechowywać za pomocą specjalnych aplikacji. Jeśli to możliwe, używaj metod passwordless, czyli potwierdzania tożsamości, które nie wymaga wpisywania tradycyjnych ciągów znaków.
• Śledź media wyspecjalizowane w cyberbezpieczeństwie, które ostrzegają przed phishingiem na dużą skalę.
• Nie publikuj informacji o swoich dochodach czy instytucjach finansowych, z których usług korzystasz, w mediach społecznościowych, zwłaszcza jeśli masz publiczne (otwarte) profile.
• Nie pobieraj załączników z niepewnych źródeł, np. rzekomego wezwania do zaniechania naruszania praw autorskich od kancelarii prawnej, pod którą mogą się podszywać oszuści.
• Korzystaj z aplikacji identyfikujących numery telefonów komórkowych i stacjonarnych na podstawie ogólnodostępnych źródeł oraz komentarzy użytkowników.
• Nie klikaj w linki wysyłane przez osoby prywatne na portalach aukcyjnych. Chęć sprzedaży może być pozorowana, a link służący rzekomo do płatności może prowadzić do fałszywej strony internetowej, za pomocą której oszust przechwyci dane karty kredytowej.
• Nie wierz w wyjątkowo atrakcyjną ofertę pracy, w której obiecywane są zarobki na poziomie co najmniej kilku tysięcy złotych za wykonywanie banalnych czynności.
• Nigdy nie podawaj swoich haseł, nawet pod groźbą dezaktywacji konta¹³.

Warto również zastrzec numer PESEL. Pamiętaj, że samo korzystanie z sieci VPN nie chroni bezpośrednio przed phishingiem , ponieważ nie zapobiega m.in. otrzymywaniu fałszywych wiadomości.

Jak zgłosić phishing?

Jeżeli otrzymasz SMS-a od oszustów, możesz go przekazać na numer 8080. Użyj funkcji „Przekaż” i nie dopisuj do wiadomości żadnych dodatkowych informacji. Pamiętaj, że zgłoszenia phishingu w formie screenów nie są przetwarzane.

Fałszywe strony internetowe, podejrzane wiadomości e-mail czy witryny podszywające się pod sklepy internetowe możesz zgłaszać za pomocą formularza na stronie CERT. Wystarczy, że wybierzesz odpowiednią kategorię z listy, np. „Podejrzany telefon”, podasz swój e-mail i opcjonalnie numer telefonu (o ile oczekujesz kontaktu zwrotnego ze strony CSIRT NASK) i wypełnisz formularz.

Czy można odzyskać pieniądze utracone wskutek phishingu?

Jeśli zostaniesz ofiarą oszustów, którzy przejmą Twoje dane logowania do bankowości elektronicznej, dane z karty kredytowej lub wyłudzą od Ciebie pieniądze, jak najszybciej skontaktuj się ze swoim bankiem. W przypadku utraty pieniędzy musisz zawiadomić Policję o popełnieniu przestępstwa. Niestety, często takie sprawy są umarzane z powodu niemożliwości wykrycia sprawców, ale dokument potwierdzający złożenie zawiadomienia może Ci się przydać podczas składania reklamacji w banku.

Zdarza się, że banki odmawiają uznania reklamacji, szczególnie w sytuacji, w której klient samodzielnie wykonał przelew na rzecz przestępców, wierząc, że np. zabezpiecza pieniądze na „rachunku technicznym”. Argumentem za odrzuceniem niektórych reklamacji może być rażące niedbalstwo właściciela rachunku, aczkolwiek zdaniem UOKiK (Urzędu Ochrony Konkurencji i Konsumentów) to nie stanowi przesłanki do odmowy kwoty nieautoryzowanej transakcji. Finalnej oceny powinien dokonać sąd¹⁴.

Jak podkreśla UOKiK, banki są zobligowane do zwrotu kwoty nieautoryzowanej transakcji (np. zrealizowanej w wyniku kradzieży danych logowania) lub przywrócenia rachunku do stanu sprzed oszustwa. Instytucja powinna wywiązać się z tego obowiązku do końca dnia roboczego następującego po zgłoszeniu¹⁵. Pamiętaj, że każda sprawa wymaga indywidualnej analizy, więc jeśli masz wątpliwości wobec postępowania banku, możesz się zwrócić do rzecznika konsumentów lub kancelarii prawnej.

Źródła:
1. https://cert.pl/posts/2025/04/raport-roczny-2024/
2. https://opolska.policja.gov.pl/op/kwp-opole/aktualnosci/135642,Dezinformacja-jak-ja-rozpoznac-i-skutecznie-sie-przed-nia-bronic.html
3. https://www.gov.pl/web/baza-wiedzy/czym-jest-phishing-i-jak-nie-dac-sie-nabrac-na-podejrzane-widomosci-e-mail-oraz-sms-y
4. https://dolnoslaska.policja.gov.pl/wr1/aktualnosci/biezace-inf/126449,Oszustwo-metoda-na-BLIK-policjanci-ostrzegaja.html
5. https://www.gov.pl/web/baza-wiedzy/uwazaj-na-vishing---czyli-oszustwo-z-wykorzystaniem-polaczen-telefonicznych
6. https://cebrf.knf.gov.pl/component/content/article/spear-phishing?catid=26&Itemid=101
7. https://vademecumbezpieczenstwainformacyjnego.uken.krakow.pl/2020/03/12/phishing/
8. https://cert.pl/posts/2023/04/phishing-webmail/
9. https://cert.orange.pl/cyber-threat-intelligence/krajobraz-zagrozen-24-30-03-25/#phishing
10. https://www.gov.pl/web/ias-bialystok/uwaga-na-proby-oszustwa-metoda-na-zwrot-podatku
11. https://cert.orange.pl/wp-content/uploads/2025/04/Raport_CERT_Orange_Polska_2024.pdf
12. https://cert.orange.pl/cyber-threat-intelligence/krajobraz-zagrozen-12-18-05-25/#phishing
13. https://cert.pl/uploads/docs/CERT_Polska_Bezpieczna_poczta_i_konta_spolecznosciowe.pdf
14. https://finanse.uokik.gov.pl/produkcja/wp-content/uploads/Stanowisko-Prezesa-UOKiK-w-sprawie-transakcji-nieautoryzowanych.pdf
15. https://finanse.uokik.gov.pl/tag/nieautoryzowane-transakcje/