W 2025 roku polscy internauci zgłosili do zespołu CERT Polska blisko 80 000 prób phishingu — to mniej więcej co trzeci z wszystkich zarejestrowanych incydentów bezpieczeństwa. Rok wcześniej takich przypadków było 40 120. Liczba podwoiła się w dwanaście miesięcy, a wiadomość, która dziś ląduje w twojej skrzynce, coraz częściej jest napisana nienaganną polszczyzną i podszywa się pod markę, której naprawdę używasz: OLX, Allegro, twój bank albo firmę kurierską.
Phishing — co to właściwie jest?
Phishing to oszustwo polegające na podszywaniu się pod zaufaną instytucję — bank, urząd, kuriera czy sklep — żeby wyłudzić hasła, dane karty lub dane logowania albo nakłonić ofiarę do zainstalowania złośliwego oprogramowania. W 2025 roku był najczęstszą formą oszustwa internetowego w Polsce.
Nazwa pochodzi od angielskiego „fishing" — łowienia. Oszust zarzuca przynętę w postaci wiarygodnie wyglądającej wiadomości i czeka, aż ktoś „chwyci": kliknie link, wpisze dane, pobierze załącznik. Według CERT Polska, krajowego zespołu reagowania na incydenty komputerowe działającego w instytucie NASK, mechanizm prawie zawsze opiera się na jednym: na emocjach. Strach przed utratą konta, presja terminu, obietnica zwrotu pieniędzy albo dopłaty do paczki — to dźwignie, które wyłączają u ofiary chłodną ocenę sytuacji.
Iwona Prószyńska z zespołu komunikacji strategicznej do spraw cyberbezpieczeństwa w NASK ujęła to wprost:
„Do takiego oszustwa nie jest potrzebna żadna zaawansowana technologia."
— Iwona Prószyńska, NASK (nask.pl)
Po czym poznać phishingowy e-mail — sygnały ostrzegawcze
Najważniejsze sygnały phishingu to: adres nadawcy łudząco podobny do prawdziwego (np. paypa1.com zamiast paypal.com), presja czasu i straszenie (rzekoma blokada konta, pilna dopłata), ogólne powitanie zamiast imienia oraz podejrzane linki i załączniki. Według CERT Polska samo kliknięcie zwykle nie szkodzi — niebezpieczne jest dopiero wpisanie danych na fałszywej stronie.
Klasyczna lista kontrolna wciąż działa — pod warunkiem, że wiesz, na co patrzeć. Sprawdź po kolei te elementy, zanim zareagujesz na jakąkolwiek wiadomość proszącą o dane lub pieniądze:
- Sprawdź dokładny adres nadawcy, nie samą nazwę.
- Uważaj na presję czasu i straszenie.
- Zwróć uwagę na ogólne powitanie zamiast imienia.
- Sprawdź, dokąd prowadzi link, i nie otwieraj nieznanych załączników.
- Wejdź na stronę instytucji samodzielnie, nie z linku.
Jest jednak haczyk. Najpopularniejsza porada „rozpoznasz oszustwo po błędach językowych" przestała być wiarygodna. Modele sztucznej inteligencji generują dziś bezbłędne wiadomości po polsku, a technologia deepfake pozwala podrobić głos lub twarz znajomej osoby. To, co jeszcze kilka lat temu zdradzało oszusta na pierwszy rzut oka, dziś bywa nie do odróżnienia od prawdziwej korespondencji.
Czy naprawdę chodzi o to, by „nie klikać w linki"?
Niekoniecznie. CERT Polska otwarcie krytykuje radę „nie klikaj w podejrzane linki" jako nieprecyzyjną: samo kliknięcie w większości przypadków nie jest groźne — szkoda powstaje dopiero, gdy ofiara wpisze dane logowania lub dane karty na fałszywej stronie. Skuteczniejsza ochrona to weryfikacja adresu w pasku przeglądarki w momencie wpisywania danych.
To jeden z dwóch mitów, które tracą ważność. Skracacze adresów i łatwe fałszowanie nagłówków sprawiają, że przeciętny użytkownik i tak nie zweryfikuje celu linku z samego maila. Dlatego CERT Polska radzi przenieść uwagę z pytania „czy kliknąć?" na pytanie „czy na pewno jestem na prawdziwej stronie, zanim wpiszę hasło?". Drugi obalany mit to wspomniane już „poznasz phishing po błędach językowych" — w erze sztucznej inteligencji to założenie jest wręcz niebezpieczne, bo usypia czujność.
Rodzaje phishingu — nie tylko e-mail
Phishing przybiera wiele form: klasyczny e-mailowy, spear phishing (atak ukierunkowany po rozpoznaniu ofiary), smishing (przez SMS), vishing (przez połączenia głosowe), whaling (atak na kadrę zarządzającą) oraz pharming (przekierowanie na fałszywą stronę). Każda forma wykorzystuje ten sam mechanizm — zaufanie do znanej marki lub osoby.
Choć najczęściej mówimy o mailach, oszuści atakują wszystkimi kanałami naraz. Poniższe zestawienie pokazuje, czym różnią się główne odmiany — i dlaczego rada „uważaj na maile" to za mało.
| Kanał | Na czym polega | |
|---|---|---|
| Phishing e-mailowy | Masowa wiadomość podszywająca się pod znaną markę | |
| Spear phishing | E-mail ukierunkowany | Atak na konkretną osobę po rozpoznaniu |
| Smishing | SMS | Fałszywy SMS, np. o dopłacie do paczki |
| Vishing | Telefon | Oszust dzwoni i podszywa się pod bank lub urząd |
| Whaling | Atak wymierzony w prezesów i dyrektorów firm | |
| Pharming | Strona WWW | Ciche przekierowanie na podrobioną stronę |
Spear phishing i whaling są groźne właśnie dlatego, że nie są masowe. Oszust zbiera o ofierze informacje — z mediów społecznościowych, ze strony firmy — i pisze wiadomość tak dopasowaną, że trudno ją odróżnić od prawdziwej prośby od szefa czy kontrahenta.
Skala phishingu w Polsce — liczby, które robią wrażenie
W 2025 roku CERT Polska zarejestrował 260 783 incydenty bezpieczeństwa, z czego 253 238 (97%) to oszustwa komputerowe — wzrost o 158% rok do roku. Phishing pozostał najczęstszą kategorią: blisko 80 000 przypadków, czyli około 30% wszystkich incydentów, dwa razy więcej niż 40 120 w 2024 roku.
Skala rośnie w tempie, które trudno zignorować. Liczba zgłoszonych prób phishingu podwoiła się w jeden rok — z 40 120 w 2024 roku do blisko 80 000 w 2025 roku. Dla porównania: to tak, jakby każdego dnia roku w Polsce doszło do ponad dwustu udokumentowanych prób oszustwa tą jedną metodą.
| Rok | Incydenty phishingowe | Udział w incydentach |
|---|---|---|
| 2024 | 40 120 | 39% |
| 2025 | blisko 80 000 | ok. 30% |
Pod kogo podszywają się oszuści? Najczęściej pod serwisy ogłoszeniowo-zakupowe. W 2025 roku CERT Polska odnotował 28 462 zdarzenia z wykorzystaniem marki OLX i 22 513 z marką Allegro, a tuż za nimi uplasowały się firmy kurierskie — Poczta Polska i InPost — oraz serwisy państwowe. Osobny, równie niepokojący trend to fałszywe oferty inwestycyjne: wykorzystano do nich blisko 100 000 domen, ponad dwa razy więcej niż rok wcześniej.
Kliknąłem w link i podałem dane — co teraz?
Jeśli podałeś dane logowania, natychmiast zmień hasło i włącz uwierzytelnianie dwuskładnikowe (2FA). Jeśli podałeś dane karty, zablokuj ją w aplikacji banku lub telefonicznie. Następnie przeskanuj urządzenie programem antywirusowym i zgłoś incydent do CERT Polska. Szybkość reakcji decyduje o tym, czy oszust zdąży wykorzystać dane.
Panika nie pomaga — pomaga kolejność działań. Wykonaj je w tej właśnie sekwencji:
- Podane dane logowania — zmień hasło i włącz 2FA.
- Podane dane karty — zablokuj kartę w banku.
- Przeskanuj urządzenie antywirusem.
- Zgłoś incydent do CERT Polska (SMS na 8080, e-mail na cert@cert.pl).
Zgłoszenie ma realny sens. Podejrzaną wiadomość SMS przekażesz bezpłatnie na numer 8080 (maksymalnie trzy wiadomości z jednego numeru w ciągu czterech godzin) — kanał działa od 22 listopada 2023 roku. E-maile i fałszywe strony zgłosisz na adres cert@cert.pl lub przez formularz na stronie incydent.cert.pl. Każde zgłoszenie może trafić na Listę Ostrzeżeń, która chroni kolejnych użytkowników.
Jak chronić się przed phishingiem na co dzień
Najskuteczniejszą ochroną jest sprzętowy klucz bezpieczeństwa FIDO2/U2F, który przypina logowanie do prawdziwej domeny i odmawia uwierzytelnienia na fałszywej stronie. Uzupełniają go menedżer haseł (uzupełnia dane tylko na prawdziwych domenach) oraz uwierzytelnianie dwuskładnikowe. Pomaga też Lista Ostrzeżeń CERT Polska, blokująca niebezpieczne domeny.
Według CERT Polska najmocniejszą barierą jest sprzętowy klucz bezpieczeństwa w standardzie FIDO2/U2F. Działa mechanicznie: klucz „przypina" twoje logowanie do prawdziwej domeny i po prostu odmawia uwierzytelnienia, gdy strona jest podrobiona — nawet jeśli wygląda identycznie. Podobnie działa menedżer haseł: skoro automatycznie uzupełnia dane tylko na zapisanej, prawdziwej domenie, brak podpowiedzi staje się sygnałem ostrzegawczym, że jesteś na fałszywej stronie.
Na poziomie całego kraju pomaga Lista Ostrzeżeń CERT Polska. W 2025 roku gromadziła blisko 250 000 niebezpiecznych domen, jest aktualizowana co 5 minut, a wpisana domena pozostaje na niej przez 6 miesięcy. Operatorzy telekomunikacyjni blokują te adresy w systemie DNS, przekierowując użytkownika na stronę z ostrzeżeniem, zanim zdąży wpisać dane.
A jeśli już padniesz ofiarą oszustwa? W polskim prawie phishing kwalifikowany jest najczęściej jako oszustwo z art. 286 Kodeksu karnego, zagrożone karą od 6 miesięcy do 8 lat pozbawienia wolności, a także jako oszustwo komputerowe z art. 287 k.k. Zawiadomienie o podejrzeniu przestępstwa składa się na policji lub w prokuraturze.
Ten artykuł nie zastępuje porady prawnej.
Zastanawiałeś się kiedyś, dlaczego oszuści tak chętnie sięgają po emocje zamiast po zaawansowaną technologię — i co to mówi o tym, jak naprawdę działa nasza czujność w sieci?
Najczęściej zadawane pytania
Czy samo kliknięcie w link phishingowy jest niebezpieczne?
Według CERT Polska w większości przypadków samo kliknięcie nie powoduje szkody — niebezpieczne jest dopiero wpisanie danych logowania lub danych karty na fałszywej stronie. Dlatego kluczowa jest weryfikacja adresu w pasku przeglądarki w momencie, gdy strona prosi o dane. Wyjątkiem są załączniki, które mogą zawierać złośliwe oprogramowanie.
Jak zgłosić phishing do CERT Polska?
Podejrzaną wiadomość SMS przekażesz bezpłatnie na numer 8080 (funkcja „Przekaż", maksymalnie trzy wiadomości z jednego numeru w ciągu czterech godzin). Fałszywe e-maile i strony zgłosisz na adres cert@cert.pl lub przez formularz na incydent.cert.pl. Kanał SMS pod numerem 8080 działa od 22 listopada 2023 roku.
Po czym najłatwiej poznać phishingowy e-mail?
Najpewniejsze sygnały to adres nadawcy łudząco podobny do prawdziwego (np. jedna zmieniona litera), presja czasu i straszenie blokadą konta oraz ogólne powitanie zamiast twojego imienia. Uwaga: błędy językowe przestały być wiarygodnym wyróżnikiem — sztuczna inteligencja generuje dziś bezbłędne wiadomości po polsku.
Pod jakie marki najczęściej podszywają się oszuści w Polsce?
Według raportu CERT Polska za 2025 rok najczęściej były to serwisy ogłoszeniowo-zakupowe — OLX (28 462 zdarzenia) i Allegro (22 513) — a także firmy kurierskie, czyli Poczta Polska i InPost, oraz serwisy państwowe. Osobnym, szybko rosnącym zagrożeniem są fałszywe oferty inwestycyjne.
Jak najskuteczniej zabezpieczyć się przed phishingiem?
CERT Polska wskazuje sprzętowy klucz bezpieczeństwa FIDO2/U2F, który odmawia logowania na fałszywej domenie. Uzupełnij go menedżerem haseł i uwierzytelnianiem dwuskładnikowym (2FA). To połączenie chroni nawet wtedy, gdy nie rozpoznasz, że strona jest podrobiona.
Czy phishing jest w Polsce przestępstwem?
Tak. Phishing kwalifikowany jest najczęściej jako oszustwo z art. 286 Kodeksu karnego, zagrożone karą od 6 miesięcy do 8 lat pozbawienia wolności, oraz jako oszustwo komputerowe z art. 287 k.k. Zawiadomienie o podejrzeniu przestępstwa składa się na policji lub w prokuraturze.
